FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究员Bob Diachenko与nexos.ai团队合作，于2025年11月23日发现一个未受保护的MongoDB数据库。这个约16TB的庞大数据库完全暴露在互联网上，导致43亿条专业记录面临被犯罪分子用于定向攻击的风险。

MongoDB是企业广泛用于存储海量数据的流行数据库类型。Diachenko表示，他们在通知所有者两天后数据库才得到保护，但无法确认此前是否有他人访问过这些数据。

数据发现与详情

Cybernews团队调查发现，该数据集包含九个独立"集合"，包括"profiles"、"people"和"unique_profiles"等名称。其中至少三个集合暴露了近20亿条个人记录。

泄露的个人身份信息(PII)包含全名、电子邮箱、电话号码、职位、工作经历、教育背景及LinkedIn等专业平台链接。仅"unique_profiles"集合就包含超过7.32亿条带照片的记录。研究人员还发现"people"集合包含与Apollo.io网络相关的指标和ID。

Cybernews研究人员解释："特定集合内的所有记录都是唯一的，但不同集合间可能存在重复数据。"数据总量和组织方式表明，这些信息可能通过爬取技术从多个来源收集，包括最早可追溯至2021年的历史泄露数据。

暴露的数据库（来源：Cybernews）

数据归属与潜在风险

虽然最终所有者尚未确认，但数据库中的网页链接表明其可能属于一家潜在客户开发公司（这类公司通常掌握数亿专业人士信息）。Cybernews团队指出："不能直接将泄露归咎于该公司，这些数据可能是他人从该公司数据库中爬取所得。"

此类结构化大数据对犯罪分子极具价值。凭借如此详细的个人信息，攻击者可自动化实施高度个性化的诈骗，如钓鱼攻击或CEO欺诈。研究人员警告，这些记录可能成为网络罪犯创建可搜索数据库的基础，便于针对大公司员工等高价值目标发起攻击。

专业人员应始终使用强密码并启用双因素认证(2FA)，及时更新软件修复安全漏洞。以下是全部9个集合的记录数量详情：

• people – 169,061,357条文档（3.95 TB）
• profiles – 1,135,462,992条文档（5.85 TB）
• sitemap – 163,765,524条文档（20.22 GB）
• intent – 2,054,410,607条文档（604.76 GB）
• companies – 17,302,088条文档（72.9 GB）
• intent_archive – 2,073,723条文档（620 MB）
• address_cache – 8,126,667条文档（26.78 GB）
• unique_profiles – 732,412,172条文档（5.63 TB）
• company_sitemap – 17,301,617条文档（3.76 GB）

参考来源：

16TB of MongoDB Database Exposes 4.3 Billion Lead Gen Records

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）