1月13日,HackenProof的安全研究员Bob Diachenko发现,MongoDB数据库中有超过2.02亿中国求职者的详细简历信息已在网上被公布,疑似第三方应用泄露。经一位Twitter用户查证,已被删除的应用主要来源之一是bj.58.com。
了解到,MongoDB的数据库存储的2.02亿简历文件中包含了 202,730,434 条记录,其中有求职者姓名,身高,体重,电子邮件ID,婚姻状况,政治倾向,技能、工作经历、电话号码、工资预期和驾驶执照等众多个人信息,总计一共854GB。
Hacken.io和HackenProof的网络风险研究主管Bob Diachenko说:「经调查,MongoDB数据库不安全且不受保护,因此无需通过高尖端的手段来获取,而实际上大量的求职信息是通过简单的BinaryEdge或Shodan搜索找到的,没有任何密码保护。」
「目前,我们没有发现与这些数据库相关的任何特定服务,但这并不意味着这2.02亿中国用户的信息就不会被后来者非法使用。」Diachenko说:「实际上,我们确实在GitHub上发现了一个赢咖4平台的3年历史存储库。该赢咖4平台包含几乎『相同的结构模式』,其中被使用的数据与中国求职者简历信息服务很像。」
获悉,现阶段HackenProof还没有足够证据证明这2.02亿中国求职者简历已经被挪为他用,因为这些数据已经被一个名为'data-import'的工具全部删除了。
一位Twitter用户透漏:「这个工具(三年前创建)是一个已经删除的 GitHub 存储库,该存储库包含 Web 赢咖4平台的源代码,此赢咖4平台具有与泄露数据库中数据结构完全相同的数据,这清楚表明该程序应该是一个收集用户简历的第三方应用。似乎是为了从不同的中国分类广告中获取数据(简历)而创建的,比如bj.58.com等。」
目前尚不清楚它是用於收集所有申请人详细信息的官方申请还是非法申请,甚至有可能是那些被标记为来自「私人」的申请。
在事件宣布不久后,得知该数据库被加进了保护机制,但这已经距离数据库的成立过去太久,这种后来的保护很有可能起不到太大作用。根据MongoDB日志,「至少有十几个」IP可能在脱机之前访问了数据库。
然而,Zettaset公司的安全架构师Eric Murray说:「此类情况并非个例,越来越多的用户数据被置身於『裸奔』的状态,企业组织应该正确认识到保护任何第三方数据库服务的重要性。显然,此事件中简历网站没有行使保护数据安全的责任,使得如此多用户的详细简历信息被公开查阅,这件事确实让人感到惊讶!」
关於事后的补救工作,JASK公司的安全研究主管Rod Soto认为是否应该要求软件开发人员引入自动给代码打补丁的机制这个问题还需要详细考虑。他说:「尽管这样做能够有效减少被互联网上已知赢咖4平台攻击的几率,但强行更新或打补丁通常会带来意想不到的后果。」
此前,MongoDB多次遭遇安全问题,其无需身份验证的开放式数据库被多个黑客组织攻击,并被反过来加密要求受害者付费购买这些数据。
