国人2亿求职简历泄露来源确认 涉事MongoDB数据库已无法访问

图片来源互联网，与本文无关

据了解，MongoDB的数据库存储的2.02亿简历文件中包含了 202,730,434 条记录，其中有求职者姓名，身高，体重，电子邮件ID，婚姻状况，政治倾向，技能、工作经历、电话号码、工资预期和驾驶执照等众多个人信息，总计一共854GB。

Hacken.io和HackenProof的网络风险研究主管Bob Diachenko说：“经调查，MongoDB数据库不安全且不受保护，因此无需通过高尖端的手段来获取，而实际上大量的求职信息是通过简单的BinaryEdge或Shodan搜索找到的，没有任何密码保护。”

“目前，我们没有发现与这些数据库相关的任何特定服务，但这并不意味着这2.02亿中国用户的信息就不会被后来者非法使用。”Diachenko说：“实际上，我们确实在GitHub上发现了一个应用程序的3年历史存储库。该应用程序包含几乎‘相同的结构模式’，其中被使用的数据与中国求职者简历信息服务很像。”

通过对比简历的数据模式，发现GitHub项目xzfan/data-import（目前该项目已经被删除）疑似为收集这些简历数据的爬虫。该爬虫会收集来自国内多个求职平台的简历。现阶段HackenProof还没有足够证据证明这2.02亿中国求职者简历已经被挪为他用。

目前尚不清楚它是用于收集所有申请人详细信息的官方申请还是非法申请，甚至有可能是那些被标记为来自“私人”的申请。

在事件宣布不久后，该数据库被加进了保护机制，但这已经距离数据库的成立过去太久，这种后来的保护很有可能起不到太大作用。根据MongoDB日志，“至少有十几个”IP可能在脱机之前访问了数据库。

然而，Zettaset公司的安全架构师Eric Murray说：“此类情况并非个例，越来越多的用户数据被置身于‘裸奔’的状态，企业组织应该正确认识到保护任何第三方数据库服务的重要性。显然，此事件中简历网站没有行使保护数据安全的责任，使得如此多用户的详细简历信息被公开查阅，这件事确实让人感到惊讶！”

关于事后的补救工作，JASK公司的安全研究主管Rod Soto认为是否应该要求软件开发人员引入自动给代码打补丁的机制这个问题还需要详细考虑。他说：“尽管这样做能够有效减少被互联网上已知应用程序攻击的几率，但强行更新或打补丁通常会带来意想不到的后果。”

此前，MongoDB多次遭遇安全问题，其无需身份验证的开放式数据库被多个黑客组织攻击，并被反过来加密要求受害者付费购买这些数据。

来源：hackread