知識星球根據安全站點HackenProof的報告,HackenProof的安全研究員Bob Diachenko發現了一個沒有採取任何安全保護措施的MongoDB資料庫伺服器:
在Shodan搜尋結果中也出現了相同的IP :
經過仔細檢查,一個 854 GB 大小的 MongoDB 資料庫沒有採取任何安全保護措施,無需密碼/登入驗證即可檢視和訪問 202,730,434 份國人求職簡歷。
這些記錄記錄不僅包含求職者的技能和工作經驗,還包括他們的個人資訊,如手機號碼,電子郵件,婚姻,子女,政治,身高,體重,駕照,學歷水平,薪資期望等等。
順著這條線,某Twitter使用者發現了一個GitHub專案 xzfan/data-import(如今專案頁面已被刪除),該專案的資料來源未知,其中包含的一些Web程式原始碼,其結構樣式與洩露的簡歷中使用的相同
這個專案3年前就已經建立了,疑似為收集這些簡歷資料的爬蟲。該爬蟲會收集來自58同城等各個求職平臺的簡歷。
針對此事,58同城安全團隊表示:已經檢查完自己所有的資料庫儲存,否認洩露的樣本資料是來自他們,懷疑是第三方洩露出去的。
目前,該資料庫已經得到了保護,但透過日誌發現,在這之前已經有數十個IP曾經訪問過該資料庫。
如今,越來越多的使用者資料被置身於‘裸奔’的狀態,企業組織應該正確認識到保護任何第三方資料庫服務的重要性,降低資料洩露風險。個人使用者也應謹慎對待自己的個人資訊,當給出姓名、電話、身份證、銀行卡等可與自己直接關聯的資料時,更要特別謹慎。
