0
| 本文作者: 靈火K | 2019-01-13 15:55 |
1月13日,HackenProof的安全研究員Bob Diachenko發現,MongoDB數據庫中有超過2.02億中國求職者的詳細簡歷信息已在網上被公布,疑似第三方應用泄露。經一位Twitter用戶查證,已被刪除的應用主要來源之一是bj.58.com。
雷鋒網了解到,MongoDB的數據庫存儲的2.02億簡歷文件中包含了 202,730,434 條記錄,其中有求職者姓名,身高,體重,電子郵件ID,婚姻狀況,政治傾向,技能、工作經歷、電話號碼、工資預期和駕駛執照等眾多個人信息,總計一共854GB。
Hacken.io和HackenProof的網絡風險研究主管Bob Diachenko說:“經調查,MongoDB數據庫不安全且不受保護,因此無需通過高尖端的手段來獲取,而實際上大量的求職信息是通過簡單的BinaryEdge或Shodan搜索找到的,沒有任何密碼保護。”
“目前,我們沒有發現與這些數據庫相關的任何特定服務,但這并不意味著這2.02億中國用戶的信息就不會被后來者非法使用。”Diachenko說:“實際上,我們確實在GitHub上發現了一個應用程序的3年歷史存儲庫。該應用程序包含幾乎‘相同的結構模式’,其中被使用的數據與中國求職者簡歷信息服務很像。”
雷鋒網獲悉,現階段HackenProof還沒有足夠證據證明這2.02億中國求職者簡歷已經被挪為他用,因為這些數據已經被一個名為'data-import'的工具全部刪除了。
一位Twitter用戶透漏:“這個工具(三年前創建)是一個已經刪除的 GitHub 存儲庫,該存儲庫包含 Web 應用程序的源代碼,此應用程序具有與泄露數據庫中數據結構完全相同的數據,這清楚表明該程序應該是一個收集用戶簡歷的第三方應用。似乎是為了從不同的中國分類廣告中獲取數據(簡歷)而創建的,比如bj.58.com等。”
目前尚不清楚它是用于收集所有申請人詳細信息的官方申請還是非法申請,甚至有可能是那些被標記為來自“私人”的申請。
在事件宣布不久后,雷鋒網得知該數據庫被加進了保護機制,但這已經距離數據庫的成立過去太久,這種后來的保護很有可能起不到太大作用。根據MongoDB日志,“至少有十幾個”IP可能在脫機之前訪問了數據庫。
然而,Zettaset公司的安全架構師Eric Murray說:“此類情況并非個例,越來越多的用戶數據被置身于‘裸奔’的狀態,企業組織應該正確認識到保護任何第三方數據庫服務的重要性。顯然,此事件中簡歷網站沒有行使保護數據安全的責任,使得如此多用戶的詳細簡歷信息被公開查閱,這件事確實讓人感到驚訝!”
關于事后的補救工作,JASK公司的安全研究主管Rod Soto認為是否應該要求軟件開發人員引入自動給代碼打補丁的機制這個問題還需要詳細考慮。他說:“盡管這樣做能夠有效減少被互聯網上已知應用程序攻擊的幾率,但強行更新或打補丁通常會帶來意想不到的后果。”
此前,MongoDB多次遭遇安全問題,其無需身份驗證的開放式數據庫被多個黑客組織攻擊,并被反過來加密要求受害者付費購買這些數據。
來源:hackread
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
