MongoDB數(shù)據(jù)庫重大泄露：2.02億中國求職者履歷網(wǎng)上被公開

1月13日，HackenProof的安全研究員BobDiachenko發(fā)現(xiàn)，MongoDB數(shù)據(jù)庫中有超過2.02億中國求職者的詳細簡歷信息已在網(wǎng)上被公布，疑似第三方應(yīng)用泄露。經(jīng)一位Twitter用戶查證，已被刪除的應(yīng)用主要來源之一是bj.58.com。

MongoDB的數(shù)據(jù)庫存儲的2.02億簡歷文件中包含了202,730,434條記錄，其中有求職者姓名、身高、體重、電子郵件ID、婚姻狀況、政治傾向、技能、工作經(jīng)歷、電話號碼、工資預(yù)期和駕駛執(zhí)照等眾多個人信息，總計一共854GB。

Hacken.io和HackenProof的網(wǎng)絡(luò)風(fēng)險研究主管BobDiachenko說：“經(jīng)調(diào)查，MongoDB數(shù)據(jù)庫不安全且不受保護，因此無需通過高尖端的手段來獲取，而實際上大量的求職信息是通過簡單的BinaryEdge或Shodan搜索找到的，沒有任何密碼保護?！?/p>

“目前，我們沒有發(fā)現(xiàn)與這些數(shù)據(jù)庫相關(guān)的任何特定服務(wù)，但這并不意味著這2.02億中國用戶的信息就不會被后來者非法使用?！盌iachenko說，“實際上，我們確實在GitHub上發(fā)現(xiàn)了一個應(yīng)用程序的3年歷史存儲庫。該應(yīng)用程序包含幾乎‘相同的結(jié)構(gòu)模式’，其中被使用的數(shù)據(jù)與中國求職者簡歷信息服務(wù)很像?！?/p>

現(xiàn)階段HackenProof還沒有足夠證據(jù)證明這2.02億中國求職者簡歷已經(jīng)被挪為他用，因為這些數(shù)據(jù)已經(jīng)被一個名為“data-import”的工具全部刪除了。

一位Twitter用戶透漏：“這個工具（三年前創(chuàng)建）是一個已經(jīng)刪除的GitHub存儲庫，該存儲庫包含Web應(yīng)用程序的源代碼，此應(yīng)用程序具有與泄露數(shù)據(jù)庫中數(shù)據(jù)結(jié)構(gòu)完全相同的數(shù)據(jù)，這清楚表明該程序應(yīng)該是一個收集用戶簡歷的第三方應(yīng)用。似乎是為了從不同的中國分類廣告中獲取數(shù)據(jù)（簡歷）而創(chuàng)建的，比如bj.58.com等?！?/p>

目前尚不清楚它是用于收集所有申請人詳細信息的官方申請還是非法申請，甚至有可能是那些被標(biāo)記為來自“私人”的申請。

在事件宣布不久后，該數(shù)據(jù)庫被加進了保護機制，但這已經(jīng)距離數(shù)據(jù)庫的成立過去太久，這種后來的保護很有可能起不到太大作用。

根據(jù)MongoDB日志，“至少有十幾個”IP可能在脫機之前訪問了數(shù)據(jù)庫。

然而，Zettaset公司的安全架構(gòu)師EricMurray說：“此類情況并非個例，越來越多的用戶數(shù)據(jù)被置身于‘裸奔’的狀態(tài)，企業(yè)組織應(yīng)該正確認識到保護任何第三方數(shù)據(jù)庫服務(wù)的重要性。顯然，此事件中簡歷網(wǎng)站沒有行使保護數(shù)據(jù)安全的責(zé)任，使得如此多用戶的詳細簡歷信息被公開查閱，這件事確實讓人感到驚訝！”

關(guān)于事后的補救工作，JASK公司的安全研究主管RodSoto認為是否應(yīng)該要求軟件開發(fā)人員引入自動給代碼打補丁的機制這個問題還需要詳細考慮。他說：“盡管這樣做能夠有效減少被互聯(lián)網(wǎng)上已知應(yīng)用程序攻擊的幾率，但強行更新或打補丁通常會帶來意想不到的后果?！?/p>

此前，MongoDB多次遭遇安全問題，其無需身份驗證的開放式數(shù)據(jù)庫被多個黑客組織攻擊，并被反過來加密要求受害者付費購買這些數(shù)據(jù)。