疑似2亿中文简历最新进展

近日，有人在推特上发布了这样一则消息。

“刚刚遇到一个拥有超过202百万（约2亿）中国简历的巨型数据库，其中包含非常详细的信息。 - 姓名，电子邮件，电话，性别，子女，婚姻状况，政治面貌 - 当然还有技能，工作经历等。任何想法在哪里报告？”

随后，又发布了一则推送，内容为某人简历的部分内容截图：

该推特账号的主人Bob Diachenko是Hacken Proof的网络风险研究主管。Bob表示，目前还不确定该数据库的主人是谁，不过该服务器的数据可能在网上遭到了曝光。

但后续Bob更新推文显示，BJ.58.com的安全团队确认数据来自其它来源：

“我们搜遍了整个数据库并调查了所有其他存储，并得出结论，样本数据并未从我们这里泄漏。似乎数据是从第三方泄露出来的，这些第三方从许多CV的网站上删除了数据。”

Bob在Twitter上发布通知后不久，数据库已得到保护。值得注意的是，MongoDB日志显示至少有十几个可能在脱机之前访问过数据的IP。

“ 200M +详细简历在线登陆。在美国的服务器上发现了与中国有关的这种规模的第一次曝光。”Bob账号后续发文。

Bob表示，截至该文发布之日，数据所有者尚无正式确认。

以下为《No more privacy: 202 Million private resumes exposed》部分内容：

12月28日，Hacken.io网络风险研究总监兼诈骗平台HackenProof的Bob Diachenko分析了BinaryEdge搜索引擎的数据流，并确定了一个开放且不受保护的MongoDB实例：

Shodan搜索结果中也出现了相同的IP ：

经过仔细检查，一个854 GB大小的MongoDB数据库无人看管，无需密码/登录验证即可查看和访问中国求职者超过2亿份非常详细的简历。

202,730,434条记录中的每条记录不仅包含候选人的技能和工作经验，还包括他们的个人信息，如手机号码，电子邮件，婚姻，子女，政治面貌，身高，体重，驾驶执照，识字水平，薪水，期望等等。

在我的一个Twitter粉丝指向GitHub存储库（页面不再可用但仍保存在Google缓存中）之前，数据的来源仍然未知，其中包含的Web应用程序源代码具有与暴露中使用的结构模式相同的结构模式简历：

目前尚不清楚它是用于收集所有申请人详细信息的官方申请还是非法申请，即使是那些被标记为“私人”的申请。

BJ.58.com的安全团队未确认数据来源：

我们搜遍了整个数据库并调查了所有其他存储，并得出结论，样本数据并未从我们这里泄漏。似乎数据是从第三方泄露出来的，这些第三方从许多CV的网站上删除了数据。

在我在Twitter上发布通知后不久，数据库已得到保护。值得注意的是，MongoDB日志显示至少有十几个可能在脱机之前访问过数据的IP。

截至本出版物发布之日，数据所有者尚无正式确认。我们已经在这里讨论了网络抓取的问题：https：//blog.hackenproof.com/industry-news/new-report-unknown-data-scraper-breach/