外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容
经过 Twitter 上一位用户的努力,已确定大致来源为一个已经删除的 GitHub 存储库,该存储库包含 Web 应用程序的源代码,此应用程序具有与泄露数据库中数据结构完全相同的数据,这清楚表明该程序应该是一个收集用户简历的第三方应用。
用户查证,该已删除应用的简历主要来源之一是 bj.58.com,当 Diachenko 与 bj.58.com 工作人员联系时,他们也给出了初步评估,确定数据来自第三方应用泄露,并非官方泄露。据悉,该安全研究员上个月也曾发现一个类似的 MongoDB 服务器,暴露了超过 6600 万条记录,似乎最初来自于 LinkedIn。此前,MongoDB 也多次出现安全问题。
领取专属 10元无门槛券
私享最新 技术干货