2.02億中國求職者履歷曝光！MongoDB數據庫發安全事故

雷鋒網了解到，MongoDB的數據庫存儲的2.02億簡歷檔案中包含了 202,730,434 條記錄，其中有求職者姓名，身高，體重，電子郵件ID，婚姻狀況，政治傾向，技能、工作經歷、電話號碼、工資預期和駕駛執照等眾多個人資訊，總計一共854GB。

Hacken.io和HackenProof的網絡風險研究主管Bob Diachenko說：“經調查，MongoDB數據庫不安全且不受保護，因此無需通過高尖端的手段來獲取，而實際上大量的求職資訊是通過簡單的BinaryEdge或Shodan搜索找到的，沒有任何密碼保護。”

“目前，我們沒有發現與這些數據庫相關的任何特定服務，但這並不意味著這2.02億中國用戶的資訊就不會被後來者非法使用。”Diachenko說：“實際上，我們確實在GitHub上發現了一個應用程式的3年歷史存儲庫。該應用程式包含幾乎‘相同的結構模式’，其中被使用的數據與中國求職者簡歷資訊服務很像。”

雷鋒網獲悉，現階段HackenProof還沒有足夠證據證明這2.02億中國求職者簡歷已經被挪為他用，因為這些數據已經被一個名為'data-import'的工具全部刪除了。

目前尚不清楚它是用於收集所有申請人詳細資訊的官方申請還是非法申請，甚至有可能是那些被標記為來自“私人”的申請。

在事件宣布不久後，雷鋒網得知該數據庫被加進了保護機制，但這已經距離數據庫的成立過去太久，這種後來的保護很有可能起不到太大作用。根據MongoDB日誌，“至少有十幾個”IP可能在脫機之前訪問了數據庫。

然而，Zettaset公司的安全架構師Eric Murray說：“此類情況並非個例，越來越多的用戶數據被置身於‘裸奔’的狀態，企業組織應該正確認識到保護任何第三方數據庫服務的重要性。顯然，此事件中簡歷網站沒有行使保護數據安全的責任，使得如此多用戶的詳細簡歷資訊被公開查閱，這件事確實讓人感到驚訝！”

關於事後的補救工作，JASK公司的安全研究主管Rod Soto認為是否應該要求軟體開發人員引入自動給代碼打補丁的機制這個問題還需要詳細考慮。他說：“儘管這樣做能夠有效減少被互聯網上已知應用程式攻擊的幾率，但強行更新或打補丁通常會帶來意想不到的後果。”

此前，MongoDB多次遭遇安全問題，其無需身份驗證的開放式數據庫被多個黑客組織攻擊，並被反過來加密要求受害者付費購買這些數據。

來源：hackread