Justin Paine坐在加州奥克兰的一家酒吧里，在互联网上搜索着你最敏感的数据。很快，他就找到了有希望的线索。

他在自己的笔记本电脑上打开了Shodan，一个云服务器和其他互联网连接设备的可搜索索引。然后，他键入关键词“Kibana”，调出了1．5万多个在线存储的数据库，开始挖掘结果。

“这个来自俄罗斯”Paine说。“这个居然权限大开。”

通过Shodan，Paine可以筛选每个数据库并检查其内容。一个数据库似乎有关于酒店客房服务的信息。如果他继续往下看，可能会找到信用卡或护照号码。这样的事情并不令人感到惊讶，过去，他曾发现数据库中包含着来自戒毒中心的患者信息，以及图书馆借阅记录和在线赌博交易。

Paine是非正式网络研究大军的一部分，这些人沉溺于一种非常模糊的激情：搜索互联网上不安全的数据库。未加密且清晰可见的数据库可以包含各种敏感信息，包括姓名、地址、电话号码、银行详细信息、社会保险号和医疗诊断。如果落入坏人之手，这些数据可能会被用于欺诈、身份盗窃或敲诈。

数据狩猎社区既兼收并蓄，又全球化。它的一些成员是专业的安全专家，另一些则是爱好者。有些是高级程序员，有些却一行代码也不会写。他们分布在乌克兰、以色列、澳大利亚、美国，和几乎任何你能够提到的国家。他们只有一个共同的目的：促使数据库所有者锁定你的信息。

搜寻不安全数据似乎成为了这个时代的标志。任何组织，包括私人公司、非营利组织或政府机构，都可以轻松且廉价地在云上存储数据。但是许多帮助将数据库放到云中的软件工具，在默认情况下都会暴露数据。即使这些工具从一开始就意图让其成为私有数据，但也不是每个组织都有相应的专业知识，知道应该保留哪些保护措施。通常，数据只是以纯文本形式存在，等待读取。这意味着像Paine这样的人总能找到一些东西。今年4月，以色列的研究人员发现了8000多万美国家庭的人口统计细节，包括地址、年龄和收入水平。

网络安全专家Troy Hunt表示，没有人知道问题的规模有多大。Hunt在自己的博客上记录了数据库泄漏的问题。他说，不安全的数据库比研究人员公布的要多得多，但你只能对所能看到的进行统计。此外，不断地有新数据库被添加到云中。

Hunt说：“这只是冰山一角。”

要搜索数据库，你必须对无聊和失望拥有着很高的容忍度。Paine说，要发现酒店客房服务数据库是否实际上是暴露敏感数据的缓存需要几个小时的时间。钻研数据库可能会让人麻木，而且往往会充满错误的线索。它虽然不像大海捞针，但却像在堆满干草堆的田野里搜寻一根针一样。此外，我们也不能保证狩猎者能够提示暴露数据库的所有者修复这个问题。有时，所有者会威胁采取法律行动。

数据库大奖

然而，回报可能是激动人心的。来自乌克兰的Bob Diachenko曾在一家名为Kromtech的公司从事公关工作，该公司从一名安全研究员那里得知存在数据泄露。这段经历引起了Diachenko的兴趣，他在没有任何经验的情况下就加入了数据库狩猎大军。7月，他在一个不安全的数据库中找到了数千名美国选民的记录，只需使用关键词“选民”就可以查看到。

“如果我，一个没有技术背景的人，能找到这些数据，”Diachenko说。“那么世界上任何人都能找到这些数据。”

今年1月，Diachenko在一个公开的数据库中发现了2400万份与美国抵押贷款和银行业务相关的金融文件。这一发现以及其他发现所产生的宣传，帮助Diachenko推广了SecurityDiscovery．com——他离职后创办的一家网络安全咨询公司。