扫一扫下载界面新闻APP

超过2亿中国求职者简历信息泄露,数据“裸奔”将近一周

越来越多的用户数据被置身于“裸奔”状态,有可能被犯罪分子利用。企业组织应该正确认识到保护任何第三方数据库服务的重要性。

图片来源:视觉中国

12月28日,Hacken Proof的网络风险研究主管兼网络安全研究员Bob Diachenko在推特上爆料称,一个包含2.02亿中国求职者简历信息的数据库泄露,被称为中国有史以来最大的数据曝光之一。

据他所说,包含854 GB数据的MongoDB数据库无人看管,处于不受保护的状态。共计202,730,434条简历详尽记录了大量敏感信息,包括个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、过去的工作经验等等。

仅仅通过Shodan一类的物联网搜索引擎或BinaryEdge.io搜索就可以查到相关信息,这意味着任何人无需密码或登录验证即可查看和访问2亿多中国求职者的简历。

这座数据金库“裸奔”将近一周时间(12月23至28日)之后,直到曝光之日才终于做出下线处理。期间至少有十几个IP在脱机之前访问了数据库。

考虑到事态严重性,《南华早报》在事发后联系了四位安全研究员,他们认为所说的数据泄露“貌似是可信的”。科技博主Jane Wong作为一名逆向工程师,致力于挖掘科技公司不透明的数据处理方式,曾经解密大型互联网平台Facebook、Instagram的隐藏应用功能。她形容这次数据泄露时说,“就像没有密码保护的情况下,你把手机落在了公共场所。”

对于数据库所有者的讨论中,Diachenko向外回应“不知情”,一位推特用户称自己在GitHub上发现一个已经删除的储存库(目前页面已不可见,但仍然储存于Google缓存中)。该储存库中Web应用程序与泄露简历的应用程序包含几乎相同的结构模式,使用数据与中国求职者简历信息数据非常接近。他判定,名为“data-import”(数据导入)的工具是一个第三方应用,用于从中国分类广告中收集用户简历。

以下内容来自数据库的一份简历,包括求职者自我介绍的中英文翻译。

事实上,如此庞大的数据库暗示着巨大的用户规模和强大的数据收集能力。有用户在评论中提到了前程无忧51Job,这是首个在美国纳斯达克上市的中国人力资源服务企业。Diachenko在11月8日的贴文和接受ZDNet采访时说,58同城(bj.58.com )似乎是这些简历的数据来源之一,同时也并不排除其他门户网站的可能性。

Diachenko尝试与58同城取得联系。58同城的新闻发言人告诉他,“我们搜遍了整个数据库并调查了所有数据存储,可以很确切地说,简历数据不是从58同城的平台上泄露的”,并补充道“只有用户将个人简历设置为公开可见时,第三方才能获取其简历”。这种回复印证了他此前的判断,这些数据来自于第三方数据抓取,而不是网络泄露。

美国老牌科技媒体ZDNet和《南华早报》发出的额外请求并未得到置评。

加拿大安全研究员Huo Ju为此感到担忧,“如果没有数据库提供的信息,技术不精明的诈骗者也很难找出这些关系”,现在如果有人想要深入研究某个人的社会关系,那么2亿求职者的数据宝库将为他提供教育背景、工作经验和其他信息。她说,“每个人都应该理解这一点:你认为这只是一份简历,但它可以用于其他目的。”在Diachenko看来“网络犯罪分子利用私人信息窃取你的身份,接着以你的名义进行金融交易。”

值得一提的是,越来越多的用户数据被置身于‘裸奔’的状态,除了政府积极完善相关规则,企业组织也应该正确认识到保护任何第三方数据库服务的重要性。

未经正式授权严禁转载本文,侵权必究。
表情
您至少需输入5个字

评论 73

相关文章