互联网上有超过2.02亿中国求职者的详细信息

2019-01-11 08:20:03 10 2404

网络安全研究人员在网上发现了一个庞大的数据库,其中包含超过2.02亿中国公民的记录,互联网上的任何人都可以访问这些记录




网络安全研究人员在网上发现了一个庞大的数据库,其中包含超过2.02亿中国公民的记录,互联网上的任何人都可以访问这些记录,直到上周才进行身份验证。

未受保护的854.8千兆字节的数据库存储在MongoDB的实例中,这是一个NoSQL高性能和跨平台的面向文档的数据库,由美国服务器托管公司托管。

该数据库共包含202,730,434条关于来自中国的求职者的记录,包括候选人的个人信息,如姓名,出生日期,电话号码,电子邮件地址,婚姻状况和驾驶执照信息,以及他们的专业经验和工作期望。

Hacken.io和bug赏金平台HackenProof的网络风险研究主管Bob Diachenko在两周前发现了数据库的存在,这在他在Twitter上发布通知后不久就得到了保护。

但是,值得注意的是,“MongoDB日志显示至少有十几个IP可能在脱机之前访问过这些数据,”Diachenko说。

虽然数据来源仍然未知,但Diachenko认为有人可能会使用一种名为“data-import”的旧简历抓取工具来收集所有这些求职者的简历,这些简历来自不同的中国分类网站,如bj.58.com。

Diachenko认为是因为泄漏数据库的格式与抓取工具存储收集信息的方式完全一致。

Diachenko还与BJ.58.com团队进行了沟通,后者告诉他泄漏的数据并非来自其网站,但暗示它可能是从收集许多CV网站数据的第三方泄露出来的。

“我们已经搜遍了我们的数据库并调查了所有其他存储,结果是样本数据没有从我们身上泄露,”BJ.58.com告诉Diachenko。
这不是第一次发现MongoDB实例暴露给Internet。近年来,我们发布了几个类似的报告,其中未受保护的MongoDB服务器暴露了数十亿条记录

关于作者

评论10次

要评论?请先  登录  或  注册