一个不安全的数据库公布了中国2.02亿求职者的个人信息-王其杉博客|程序员|科技新闻
在中国,2.02亿求职者的个人信息,包括电话号码、电子邮件地址、驾驶执照和工资期望等信息,由于数据库不安全,任何人只要知道在哪里寻找,就可以免费获得长达三年的信息。
这是安全研究人员Bob Diachenko发表的研究结果,他在12月下旬发现了一个开放且未受保护的MongoDB实例,其中包含了202730434“非常详细”的记录。该数据库在数据搜索引擎binary edge和shodan中建立索引,在没有密码或登录名的情况下可以自由查看。只有在diachenko在twitter上发布了关于它存在的信息后,它才被私有化。
Diachenko是Hacken的网络风险研究主管,他无法将数据库与特定的服务相匹配,但他确实找到了一个三年前的Github存储库,用于一个包含“与公开简历中使用的相同结构模式”的应用程序。同样,尽管记录看起来确实如此,但目前的所有权还不清楚。包含从中国分类系统(包括像58.com这样的Craigslist)中获取的数据。
一位58.com的发言人否认这些记录是其创造的。相反,他们声称他们的服务是从第三方窃取信息的受害者。
一位发言人对迪亚琴科说:“我们搜索了我们所有的数据库,并调查了所有其他的存储,结果发现样本数据并没有从我们这里泄露出来。似乎数据是从从从从许多简历网站上搜集数据的第三方那里泄露出来的。”
TechCrunch联系了58.com,但我们尚未收到回复。
虽然数据库现在已经得到保护,但它可能在长达三年的时间内容易受到攻击,而且已经有证据表明它已经被定期访问。尽管如此,还不清楚谁来过。
“值得注意的是,MongoDB日志显示了至少12个IP,这些IP可能在数据离线之前就已经访问了,”迪亚琴科写道。
这里有很多谜团——不清楚58.com是否在幕后,或者它是一个竞争对手服务还是一个刮刀——但更确定的是,这个漏洞是中国同类网站中最大的一个。