互联网上有超过2.02亿中国求职者的详细信息
网络安全研究人员在网上发现了一个庞大的数据库,其中包含超过2.02亿中国公民的记录,互联网上的任何人都可以访问这些记录
网络安全研究人员在网上发现了一个庞大的数据库,其中包含超过2.02亿中国公民的记录,互联网上的任何人都可以访问这些记录,直到上周才进行身份验证。
未受保护的854.8千兆字节的数据库存储在MongoDB的实例中,这是一个NoSQL高性能和跨平台的面向文档的数据库,由美国服务器托管公司托管。
该数据库共包含202,730,434条关于来自中国的求职者的记录,包括候选人的个人信息,如姓名,出生日期,电话号码,电子邮件地址,婚姻状况和驾驶执照信息,以及他们的专业经验和工作期望。
Hacken.io和bug赏金平台HackenProof的网络风险研究主管Bob Diachenko在两周前发现了数据库的存在,这在他在Twitter上发布通知后不久就得到了保护。
但是,值得注意的是,“MongoDB日志显示至少有十几个IP可能在脱机之前访问过这些数据,”Diachenko说。
虽然数据来源仍然未知,但Diachenko认为有人可能会使用一种名为“data-import”的旧简历抓取工具来收集所有这些求职者的简历,这些简历来自不同的中国分类网站,如bj.58.com。
Diachenko认为是因为泄漏数据库的格式与抓取工具存储收集信息的方式完全一致。
Diachenko还与BJ.58.com团队进行了沟通,后者告诉他泄漏的数据并非来自其网站,但暗示它可能是从收集许多CV网站数据的第三方泄露出来的。
“我们已经搜遍了我们的数据库并调查了所有其他存储,结果是样本数据没有从我们身上泄露,”BJ.58.com告诉Diachenko。
这不是第一次发现MongoDB实例暴露给Internet。近年来,我们发布了几个类似的报告,其中未受保护的MongoDB服务器暴露了数十亿条记录
评论10次
只要在网上留过痕迹的,没有不知道的
这个前两天查的时候shodan还是能查到的,只不过有了口令了,还是没找到资料所有者。
MongoDB的弱口令漏洞也是很多 唉
twitter上说上周就报告了 大家散了吧
找到了,不过ping不通了。
信息已经泄露到不行。。
我这个几年前用过的会不会也。。
服务器已经挂了,大家不用找了
怎么都躲不掉
我刚注册了58……