MongoDB裸奔!2亿国人求职简历惨遭泄露

程序猿(ID:imkuqin)编译

链接:https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed/

根据安全站点HackenProof的报告,HackenProof的安全研究员Bob Diachenko发现了一个没有采取任何安全保护措施的MongoDB数据库服务器:

在Shodan搜索结果中也出现了相同的IP :

经过仔细检查,一个854 GB大小的 MongoDB 数据库没有采取任何安全保护措施,无需密码/登录验证即可查看和访问202,730,434份国人求职简历。

这些记录记录不仅包含求职者的技能和工作经验,还包括他们的个人信息,如手机号码,电子邮件,婚姻,子女,政治,身高,体重,驾照,学历水平,薪资期望等等。

顺着这条线,某Twitter用户发现了一个GitHub项目xzfan/data-import(如今项目页面已被删除),该项目的数据来源未知,其中包含的一些Web程序源代码,其结构模式与泄露的简历中使用的相同

这个项目3年前就已经创建了,疑似为收集这些简历数据的爬虫。该爬虫会收集来自58同城等各个求职平台的简历。

针对此事,58同城安全团队表示:已经检查完自己所有的数据库存储,否认泄露的样本数据是来自他们,怀疑是第三方泄露出去的。

目前,该数据库已经得到了保护,但通过日志发现,在这之前已经有数十个IP曾经访问过该数据库。

如今,越来越多的用户数据被置身于‘裸奔’的状态,企业组织应该正确认识到保护任何第三方数据库服务的重要性,降低数据泄露风险。个人用户也应谨慎对待自己的个人信息,当给出姓名、电话、身份证、银行卡等可与自己直接关联的数据时,更要特别谨慎。

●编号282,输入编号直达本文

●输入m获取文章目录

推荐↓↓↓

黑客技术与网络安全

更多推荐《25个技术类公众微信》

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190115B0F42000?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券