未受保护的数据库泄露了中国2亿人的简历

200 Million CVs Exposed

安全专家不能停止敦促用户更加重视他们的在线安全。然而,对于人们而言,坚持所有这些建议是太辛苦的工作,并且他们继续使用相同的旧的不良做法。对于那些没有太多麻烦闯入其他人的在线账户并窃取数据的黑客来说,这是个好消息。您甚至可以说用户经常要求它,特别是考虑到现在有越来越多易于使用的工具可以保护它们。然而,有时人们不应该受到指责。有时候,事情是他们无法控制的。安全研究员Bob Diachenko在去年年底偶然发现了一起这样的案件。

一个庞大的数据库在公开场合被遗漏了

为臭虫赏金平台HackenProof工作的Diachenko在12月28日注意到一个未受保护的MongoDB数据库时正在做一些威胁情报。关于它的第一个引人注目的事情是它的大小 - 854 GB。然而,在他打开它之后,他受到了更大的冲击。

该数据库包含超过2亿的中国求职者简历。每份简历都公开了有关受害者技能和工作经历的信息,以及个人详细信息,如电子邮件,电话号码,体重,身高,婚姻状况,驾驶执照,识字水平,工资预期等。

所有这些都存储在互联网上,无需任何形式的身份验证即可访问。

数据来源仍然未知

Diachenko立即着手找到负责人,并提醒他们为什么将敏感数据放在密码后面是一个好主意。这被证明比他最初想象的更难。

在询问他的Twitter粉丝寻求帮助后,他被告知当时GitHub上提供的数据抓取工具,并以非常类似的方式组织信息。起初,看起来至少有一些数据来自一个名为bj.58.com的网站,但在与其所有者交谈后,他确信另一个门户网站已成为源头。

我们仍然不知道将数据放入数据库的数据抓取工具是否合法,我们也不知道数据库实际属于谁。我们所知道的是,在Bob Diachenko首次在推特上宣布他的调查结果后不久,两人都被取消了。

不幸的是,为时已晚

在数据库发生故障之前,Diachenko设法检查了MongoDB日志,发现“至少有十几个IP”可能在脱机之前访问了数据。我们只能希望这些IP的所有者没有任何恶意,因为如果他们这样做,对于那些暴露数据的人来说,后果可能非常严重。

最糟糕的是,这一切都是可以避免的。简单的配置设置和强密码会使信息无法访问世界。这一事件真实地表明了互联网上出现问题的难易程度。

January 28, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
7 + 10是什么?