正在閱讀:曝2.02億中國求職者履歷遭洩露 有沒有你!曝2.02億中國求職者履歷遭洩露 有沒有你!

2019-01-16 00:15 出處:PConline原創 作者:卡夫卡 責任編輯:sunziyi

  【PConline 資訊】就在我們享受難得的周末時光時,卻發生了一件令人非常不快的資訊洩露事件,曝超過2.02億中國求職者的個人簡歷在網上公佈,共計854GB!

  據了解,該安全事件由HackenProof的安全研究員BobDiachenko發現,遭洩露的是MongoDB資料庫,其中存有大量中國求職者的詳細資訊。據一位Twitter用戶查證,已被刪除的應用主要來源之一是bj.58.com。

   安全研究員BobDiachenko表示:“經過調查,MongoDB資料庫不安全且不受保護,因此無需透過高尖端的手段就可穫取用戶資訊,實際上,大量的求職資訊是透過簡單的BinaryEdge或Shodan搜索找到的,沒有任何密碼保護。”

   “目前,我們沒有發現與這些資料庫相關的任何特定服務,但並不意味這2.02億中國用戶的資訊就不會被不法分子非法使用。實際上,我們確實在GitHub上發現了一個應用程式的三年歷史存儲庫。該應用程式包含幾乎‘相同的結構模式’,其中被使用的數據與中國求職者簡歷資訊服務很像。”

   目前,HackenProof還未能給出充足的證據,以證明這2.02億中國求職者的簡歷已經被挪為他用,原因在於這些數據已被一個名為“data-import”的工具全部刪除。因此,尚不清楚它是用於收集所有申請人詳細資訊的官方申請還是非法申請,甚至是那些被標記為來自“私人”的申請。

   該事件發生不久後,該資料庫被加入了保護機制,但這距離資料庫成立已過去很久,因此這種後來的保護很有可能起不到多少作用。根據MongoDB日誌,至少有十幾個IP可能在離線之前訪問了資料庫。

   事後“亡羊補牢”。JASK公司的安全研究主管RodSoto認為,或許應該要求軟體開發人員引入自動給代碼打補丁的機制。他說:“儘管這樣做能夠有效降低被互聯網上已知應用程式攻擊的幾率,但強行更新或打補丁通常會帶來意想不到的後果。”

   實際上,此類情況並非個例,如今有越來越多的用戶數據被置身於‘裸奔’狀態,企業應該正確的認識到保護第三方資料庫的重要性。顯然,此次事件中簡歷網站並沒有行使保護數據安全的責任,讓數量如此眾多的用戶的簡歷資訊被公開查閱。

 
回憶那次初秋之旅?不如用榮耀MINI照片印表機 SpaceX迎來今年第一射 將為銥星發射10顆衛星 利用5G進行遠端手術?世界首例外科手術測試成功 即便到了2019年 它依舊是網路攻擊的主要目標 再次提速下的高品質 惠普頁寬式複合機P77960dn首測

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品