简历泄露事件:2.02亿私人简历泄露过程分享 – 作者:黑鸟

前言:

经过仔细检查,一个 854 GB 大小的 MongoDB 数据库无人看管,无需密码/登录验证即可查看和访问中国求职者超过 2 亿份非常详细的简历。

以下关于数据泄露的新闻,我全程翻译,不带个人主见,这条新闻过后全是我的主见,请放心食用。

信息来源。这个人发的。

12 月 28 日,Hacken.io 网络风险研究总监兼诈骗平台 HackenProof 的 Bob Diachenko 分析了 BinaryEdge 搜索引擎

(https://app.binaryedge.io/)

的数据流,并确定了一个开放且不受保护的 MongoDB 实例:

Shodan 搜索结果中也出现了相同的 IP :

经过仔细检查,一个 854 GB 大小的 MongoDB 数据库无人看管,无需密码/登录验证即可查看和访问中国求职者超过 2 亿份非常详细的简历。

202,730,434 条记录中的每条记录不仅包含候选人的技能和工作经验,还包括他们的个人信息,如手机号码,电子邮件,婚姻,子女,政治,身高,体重,驾驶执照,识字水平,薪水等。期望等等。

PDF(可见知识星球)

(https://share.hsforms.com/1RPuO1I05TdK1nIpOJE4FvQ2s770)

在我的一个 Twitter 粉丝指向 GitHub 存储库(页面不再可用但仍保存在 Google 缓存中)之前,数据的来源仍然未知,其中包含的 Web 应用程序源代码具有与暴露中使用的结构模式相同的结构模式简历:

https://github.com/xzfan/data-import

名为「data-import」(3 年前创建)的工具似乎是为了从不同的中文分类广告(例如 bj.58.com 和其他分类广告)中 drop 数据(简历)而创建的。

目前尚不清楚它是用于收集所有申请人详细信息的官方申请还是非法申请,即使是那些被标记为「私人」的申请。

BJ.58.com 的安全团队未确认数据来源, 声称如下:

我们搜遍了我们的数据库并调查了所有其他存储,结果发现样本数据没有泄露给我们。

而数据似乎是从第三方泄露出来的,这些第三方从许多 CV 网站上抓取数据。

在我在 Twitter 上发布通知后不久,该数据库已得到保护。值得注意的是,MongoDB 日志显示至少有十几个 IP 可能在脱机之前访问过数据。

截至本出版物发布之日,数据所有者尚无正式确认。

这里讨论了网络抓取的问题

https://blog.hackenproof.com/industry-news/new-report-unknown-data-scraper-breach

相关链接:

https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

来源:freebuf.com 2019-01-11 10:05:39 by: 黑鸟

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论