未受保护的 MongoDB 实例泄露了 2 亿多中国公民的简历

一名安全研究人员发现一个暴露无遗的MongoDB实例含有2.02亿中国公民的简历，但颇具戏剧性的是，目前不知道谁拥有这个数据库。

Hacken的Bob Diachenko在去年12月底就发现，这个MongoDB实例含有854.8 GB的数据，无需填入密码/登录信息以验证身份，就可以查看和访问2亿多个中国求职者的详细简历信息。

据说数据包括众多个人信息，比如手机号码、电子邮件、婚姻状况、子女、政治面貌、身高、体重、驾驶执照信息、文化水平和工资预期等。

尽管数据来源仍然是个未知数，但那个MongoDB实例此后已得到了严加保护。

Zettaset公司的安全架构师Eric Murray告诉外媒SiliconANGLE：“由于诸如此类的情况变得越来越普遍，企业组织应该认识到正确保护任何第三方数据库服务器有多重要，应采取必要的措施来加密数据，确保万一数据落到不法分子的手里，无法被用于歪道。在这起事件中，简历网站没有使用速率限制以防止数据抓取工具攫取敏感的用户信息确实让人很惊讶。但愿我们在暴露的服务器上看到的这种趋势能够让人们认识到迫切需要采取更有效的安全措施。”

JASK公司的安全研究主管Rod Soto特别指出，像已知易受攻击的产品被利用这种事件引发了一个问题，即是否应该要求软件开发人员引入自动给代码打补丁的机制。

Soto解释道：“如今这个流程基本上已经在使用，操作系统和一些Web应用程序可以自动更新，因而减小了部署在互联网上的这些已知易受攻击的应用程序的攻击面。”

Soto还特别指出，强行更新或打补丁通常会带来意想不到的后果。他说：“然而，由于这种泄密事件以及随之而来的相关犯罪活动层出不穷，现在是时候权衡任由这些产品未打补丁、暴露无遗与打补丁确保其安全，并处理间接影响的优缺点了。”