MongoDB裸奔!2亿国人求职简历惨遭泄露

程序猿(ID:imkuqin)编译

链接:https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed/

根据安全站点HackenProof的报告,HackenProof的安全研究员Bob Diachenko发现了一个没有采取任何安全保护措施的MongoDB数据库服务器:



在Shodan搜索结果中也出现了相同的IP :



经过仔细检查,一个 854 GB 大小的 MongoDB 数据库没有采取任何安全保护措施,无需密码/登录验证即可查看和访问 202,730,434 份国人求职简历。


这些记录记录不仅包含求职者的技能和工作经验,还包括他们的个人信息,如手机号码,电子邮件,婚姻,子女,政治,身高,体重,驾照,学历水平,薪资期望等等。


顺着这条线,某Twitter用户发现了一个GitHub项目 xzfan/data-import(如今项目页面已被删除),该项目的数据来源未知,其中包含的一些Web程序源代码,其结构模式与泄露的简历中使用的相同





这个项目3年前就已经创建了,疑似为收集这些简历数据的爬虫。该爬虫会收集来自58同城等各个求职平台的简历。


针对此事,58同城安全团队表示:已经检查完自己所有的数据库存储,否认泄露的样本数据是来自他们,怀疑是第三方泄露出去的。


目前,该数据库已经得到了保护,但通过日志发现,在这之前已经有数十个IP曾经访问过该数据库。


如今,越来越多的用户数据被置身于‘裸奔’的状态,企业组织应该正确认识到保护任何第三方数据库服务的重要性,降低数据泄露风险。个人用户也应谨慎对待自己的个人信息,当给出姓名、电话、身份证、银行卡等可与自己直接关联的数据时,更要特别谨慎。

推荐↓↓↓
数据库开发
上一篇:分库分表,读写分离后,数据库中间件扮演了一个怎样的角色? 下一篇:MySQL InnoDB锁介绍及不同SQL语句分别加什么样的锁