未受保護的數據庫洩露了中國2億人的簡歷
安全專家不能停止敦促用戶更加重視他們的在線安全。然而,對於人們而言,堅持所有這些建議是太辛苦的工作,並且他們繼續使用相同的舊的不良做法。對於那些沒有太多麻煩闖入其他人的在線賬戶並竊取數據的黑客來說,這是個好消息。您甚至可以說用戶經常要求它,特別是考慮到現在有越來越多易於使用的工具可以保護它們。然而,有時人們不應該受到指責。有時候,事情是他們無法控制的。安全研究員Bob Diachenko在去年年底偶然發現了一起這樣的案件。
Table of Contents
一個龐大的數據庫在公開場合被遺漏了
為臭蟲賞金平台HackenProof工作的Diachenko在12月28日註意到一個未受保護的MongoDB數據庫時正在做一些威脅情報。關於它的第一個引人注目的事情是它的大小 - 854 GB。然而,在他打開它之後,他受到了更大的衝擊。
該數據庫包含超過2億的中國求職者簡歷。每份簡歷都公開了有關受害者技能和工作經歷的信息,以及個人詳細信息,如電子郵件,電話號碼,體重,身高,婚姻狀況,駕駛執照,識字水平,工資預期等。
所有這些都存儲在互聯網上,無需任何形式的身份驗證即可訪問。
數據來源仍然未知
Diachenko立即著手找到負責人,並提醒他們為什麼將敏感數據放在密碼後面是一個好主意。這被證明比他最初想像的更難。
在詢問他的Twitter粉絲尋求幫助後,他被告知當時GitHub上提供的數據抓取工具,並以非常類似的方式組織信息。起初,看起來至少有一些數據來自一個名為bj.58.com的網站,但在與其所有者交談後,他確信另一個門戶網站已成為源頭。
我們仍然不知道將數據放入數據庫的數據抓取工具是否合法,我們也不知道數據庫實際屬於誰。我們所知道的是,在Bob Diachenko首次在推特上宣布他的調查結果後不久,兩人都被取消了。
不幸的是,為時已晚
在數據庫發生故障之前,Diachenko設法檢查了MongoDB日誌,發現“至少有十幾個IP”可能在脫機之前訪問了數據。我們只能希望這些IP的所有者沒有任何惡意,因為如果他們這樣做,對於那些暴露數據的人來說,後果可能非常嚴重。
最糟糕的是,這一切都是可以避免的。簡單的配置設置和強密碼會使信息無法訪問世界。這一事件真實地表明了互聯網上出現問題的難易程度。