1月13日，HackenProof的安全研究員Bob Diachenko發(fā)現(xiàn)，MongoDB數(shù)據(jù)庫(kù)中有超過(guò)2.02億中國(guó)求職者的詳細(xì)簡(jiǎn)歷信息已在網(wǎng)上被公布，疑似第三方應(yīng)用泄露。經(jīng)一位Twitter用戶查證，已被刪除的應(yīng)用主要來(lái)源之一是bj.58.com。

雷鋒網(wǎng)了解到，MongoDB的數(shù)據(jù)庫(kù)存儲(chǔ)的2.02億簡(jiǎn)歷文件中包含了 202,730,434 條記錄，其中有求職者姓名，身高，體重，電子郵件ID，婚姻狀況，政治傾向，技能、工作經(jīng)歷、電話號(hào)碼、工資預(yù)期和駕駛執(zhí)照等眾多個(gè)人信息，總計(jì)一共854GB。

Hacken.io和HackenProof的網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管Bob Diachenko說(shuō)：“經(jīng)調(diào)查，MongoDB數(shù)據(jù)庫(kù)不安全且不受保護(hù)，因此無(wú)需通過(guò)高尖端的手段來(lái)獲取，而實(shí)際上大量的求職信息是通過(guò)簡(jiǎn)單的BinaryEdge或Shodan搜索找到的，沒(méi)有任何密碼保護(hù)。”

“目前，我們沒(méi)有發(fā)現(xiàn)與這些數(shù)據(jù)庫(kù)相關(guān)的任何特定服務(wù)，但這并不意味著這2.02億中國(guó)用戶的信息就不會(huì)被后來(lái)者非法使用?！盌iachenko說(shuō)：“實(shí)際上，我們確實(shí)在GitHub上發(fā)現(xiàn)了一個(gè)應(yīng)用程序的3年歷史存儲(chǔ)庫(kù)。該應(yīng)用程序包含幾乎‘相同的結(jié)構(gòu)模式’，其中被使用的數(shù)據(jù)與中國(guó)求職者簡(jiǎn)歷信息服務(wù)很像?！?/p>

雷鋒網(wǎng)獲悉，現(xiàn)階段HackenProof還沒(méi)有足夠證據(jù)證明這2.02億中國(guó)求職者簡(jiǎn)歷已經(jīng)被挪為他用，因?yàn)檫@些數(shù)據(jù)已經(jīng)被一個(gè)名為'data-import'的工具全部刪除了。

 一位Twitter用戶透漏：“這個(gè)工具（三年前創(chuàng)建）是一個(gè)已經(jīng)刪除的 GitHub 存儲(chǔ)庫(kù)，該存儲(chǔ)庫(kù)包含 Web 應(yīng)用程序的源代碼，此應(yīng)用程序具有與泄露數(shù)據(jù)庫(kù)中數(shù)據(jù)結(jié)構(gòu)完全相同的數(shù)據(jù)，這清楚表明該程序應(yīng)該是一個(gè)收集用戶簡(jiǎn)歷的第三方應(yīng)用。似乎是為了從不同的中國(guó)分類廣告中獲取數(shù)據(jù)（簡(jiǎn)歷）而創(chuàng)建的，比如bj.58.com等。”

目前尚不清楚它是用于收集所有申請(qǐng)人詳細(xì)信息的官方申請(qǐng)還是非法申請(qǐng)，甚至有可能是那些被標(biāo)記為來(lái)自“私人”的申請(qǐng)。

在事件宣布不久后，雷鋒網(wǎng)得知該數(shù)據(jù)庫(kù)被加進(jìn)了保護(hù)機(jī)制，但這已經(jīng)距離數(shù)據(jù)庫(kù)的成立過(guò)去太久，這種后來(lái)的保護(hù)很有可能起不到太大作用。根據(jù)MongoDB日志，“至少有十幾個(gè)”IP可能在脫機(jī)之前訪問(wèn)了數(shù)據(jù)庫(kù)。

然而，Zettaset公司的安全架構(gòu)師Eric Murray說(shuō)：“此類情況并非個(gè)例，越來(lái)越多的用戶數(shù)據(jù)被置身于‘裸奔’的狀態(tài)，企業(yè)組織應(yīng)該正確認(rèn)識(shí)到保護(hù)任何第三方數(shù)據(jù)庫(kù)服務(wù)的重要性。顯然，此事件中簡(jiǎn)歷網(wǎng)站沒(méi)有行使保護(hù)數(shù)據(jù)安全的責(zé)任，使得如此多用戶的詳細(xì)簡(jiǎn)歷信息被公開(kāi)查閱，這件事確實(shí)讓人感到驚訝！”

關(guān)于事后的補(bǔ)救工作，JASK公司的安全研究主管Rod Soto認(rèn)為是否應(yīng)該要求軟件開(kāi)發(fā)人員引入自動(dòng)給代碼打補(bǔ)丁的機(jī)制這個(gè)問(wèn)題還需要詳細(xì)考慮。他說(shuō)：“盡管這樣做能夠有效減少被互聯(lián)網(wǎng)上已知應(yīng)用程序攻擊的幾率，但強(qiáng)行更新或打補(bǔ)丁通常會(huì)帶來(lái)意想不到的后果。”

此前，MongoDB多次遭遇安全問(wèn)題，其無(wú)需身份驗(yàn)證的開(kāi)放式數(shù)據(jù)庫(kù)被多個(gè)黑客組織攻擊，并被反過(guò)來(lái)加密要求受害者付費(fèi)購(gòu)買(mǎi)這些數(shù)據(jù)。

來(lái)源：hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。