2.02億中國求職者履歷曝光！MongoDB資料庫發生重大安全事故

1月13日，HackenProof的安全研究員Bob Diachenko發現，MongoDB資料庫中有超過2.02億中國求職者的詳細簡歷信息已在網上被公布，疑似第三方應用泄露。經一位Twitter用戶查證，已被刪除的應用主要來源之一是bj.58.com。

雷鋒網了解到，MongoDB的資料庫存儲的2.02億簡歷文件中包含了 202,730,434 條記錄，其中有求職者姓名，身高，體重，電子郵件ID，婚姻狀況，政治傾向，技能、工作經歷、電話號碼、工資預期和駕駛執照等眾多個人信息，總計一共854GB。

Hacken.io和HackenProof的網路風險研究主管Bob Diachenko說：「經調查，MongoDB資料庫不安全且不受保護，因此無需通過高尖端的手段來獲取，而實際上大量的求職信息是通過簡單的BinaryEdge或Shodan搜索找到的，沒有任何密碼保護。」

「目前，我們沒有發現與這些資料庫相關的任何特定服務，但這並不意味著這2.02億中國用戶的信息就不會被後來者非法使用。」Diachenko說：「實際上，我們確實在GitHub上發現了一個應用程序的3年歷史存儲庫。該應用程序包含幾乎『相同的結構模式』，其中被使用的數據與中國求職者簡歷信息服務很像。」

雷鋒網獲悉，現階段HackenProof還沒有足夠證據證明這2.02億中國求職者簡歷已經被挪為他用，因為這些數據已經被一個名為"data-import"的工具全部刪除了。

一位Twitter用戶透漏：「這個工具（三年前創建）是一個已經刪除的 GitHub 存儲庫，該存儲庫包含 Web 應用程序的源代碼，此應用程序具有與泄露資料庫中數據結構完全相同的數據，這清楚表明該程序應該是一個收集用戶簡歷的第三方應用。似乎是為了從不同的中國分類廣告中獲取數據（簡歷）而創建的，比如bj.58.com等。」

目前尚不清楚它是用於收集所有申請人詳細信息的官方申請還是非法申請，甚至有可能是那些被標記為來自「私人」的申請。

在事件宣布不久後，雷鋒網得知該資料庫被加進了保護機制，但這已經距離資料庫的成立過去太久，這種後來的保護很有可能起不到太大作用。根據MongoDB日誌，「至少有十幾個」IP可能在離線之前訪問了資料庫。

然而，Zettaset公司的安全架構師Eric Murray說：「此類情況並非個例，越來越多的用戶數據被置身於『裸奔』的狀態，企業組織應該正確認識到保護任何第三方資料庫服務的重要性。顯然，此事件中簡歷網站沒有行使保護數據安全的責任，使得如此多用戶的詳細簡歷信息被公開查閱，這件事確實讓人感到驚訝！」

關於事後的補救工作，JASK公司的安全研究主管Rod Soto認為是否應該要求軟體開發人員引入自動給代碼打補丁的機制這個問題還需要詳細考慮。他說：「儘管這樣做能夠有效減少被互聯網上已知應用程序攻擊的幾率，但強行更新或打補丁通常會帶來意想不到的後果。」

此前，MongoDB多次遭遇安全問題，其無需身份驗證的開放式資料庫被多個黑客組織攻擊，並被反過來加密要求受害者付費購買這些數據。

來源：hackread

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！