Banco de Dados Desprotegido Expōe os Currículos de 200 Milhões de Pessoas na China
Os especialistas em segurança não podem parar de incentivar os usuários a começarem a levar a sua segurança on-line mais a sério. Para as pessoas, no entanto, seguir esse conselho é um trabalho muito árduo, e elas continuam as mesmas e velhas práticas ruins. Esta é uma boa notícia para os hackers que não têm muita dificuldade em invadir as contas online de outras pessoas e roubar dados. Você pode até dizer que os usuários geralmente pedem isso, especialmente à luz do fato de que agora há ferramentas cada vez mais fáceis de se usar que podem protegê-los. Às vezes, no entanto, as pessoas não são culpadas. Às vezes, as coisas estão além do seu controle. O pesquisador de segurança Bob Diachenko tropeçou em um desses casos no final do ano passado.
Índice
Um enorme banco de dados deixado a céu aberto
Diachenko, que trabalha para a HackenProof, estava colhendo algumas informações sobre ameaças em 28 de dezembro, quando percebeu um banco de dados do MongoDB desprotegido. A primeira coisa surpreendente foi o tamanho - 854 GB. Depois de aberto, no entanto, ele teve um choque ainda maior.
O banco de dados continha mais de 200 milhões de currículos de chineses candidatos a emprego. Cada currículo expôs informações sobre as habilidades e experiência de trabalho da vítima, bem como detalhes pessoais como e-mail, número de telefone, peso, altura, estado civil, carteira de habilitação, nível de alfabetização, expectativas salariais, etc.
Tudo isso foi armazenado na Internet e estava acessível sem qualquer forma de autenticação.
A fonte dos dados permanece desconhecida
Diachenko imediatamente partiu para encontrar as pessoas responsáveis e lembra-las de que que colocar dados confidenciais atrás de uma senha é uma boa ideia. Isto provou ser mais difícil do que ele imaginou.
Depois de pedir ajuda aos seus seguidores no Twitter, ele foi avisado sobre uma ferramenta de coleta de dados que estava disponível no GitHub na época e organizou as informações de uma maneira bastante semelhante. No início, parecia que pelo menos alguns dos dados tinham vindo de um site chamado bj.58.com, mas depois de falar com os seus donos, ele estava certo de que outro portal havia sido a fonte.
Ainda não sabemos se a ferramenta de coleta de dados que colocou as informações no banco de dados é legal ou não, e também não temos idéia de a quem o banco de dados realmente pertence. O que sabemos é que ambos foram colocados off-line pouco depois de Bob Diachenko ter anunciado suas descobertas no Twitter.
Infelizmente, já era tarde demais
Antes da queda do banco de dados, Diachenko conseguiu examinar os logs do MongoDB e viu que "pelo menos uma dúzia de IPs" poderiam ter acessado os dados antes de terem sido colocados offline. Só podemos esperar que os proprietários desses IPs não tenham nenhuma intenção maliciosa, porque, se tiverem, as consequências poderão ser bastante severas para as pessoas que tiveram os seus dados expostos.
A pior coisa é que tudo era evitável. Uma configuração simples e uma senha forte tornariam a informação inacessível ao mundo. Esse incidente realmente mostra quão facilmente as coisas podem dar errado na Internet.
