12月28日,Hacken Proof的网络风险研究主管兼网络安全研究员Bob Diachenko在推特上爆料称,一个包含2.02亿中国求职者简历信息的数据库泄露,被称为中国有史以来最大的数据曝光之一。
据他所说,包含854 GB数据的MongoDB数据库无人看管,处于不受保护的状态。共计202,730,434条简历详尽记录了大量敏感信息,包括个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、过去的工作经验等等。
仅仅通过Shodan一类的物联网搜索引擎或BinaryEdge.io搜索就可以查到相关信息,这意味着任何人无需密码或登录验证即可查看和访问2亿多中国求职者的简历。
这座数据金库“裸奔”将近一周时间(12月23至28日)之后,直到曝光之日才终于做出下线处理。期间至少有十几个IP在脱机之前访问了数据库。
考虑到事态严重性,《南华早报》在事发后联系了四位安全研究员,他们认为所说的数据泄露“貌似是可信的”。科技博主Jane Wong作为一名逆向工程师,致力于挖掘科技公司不透明的数据处理方式,曾经解密大型互联网平台Facebook、Instagram的隐藏应用功能。她形容这次数据泄露时说,“就像没有密码保护的情况下,你把手机落在了公共场所。”
对于数据库所有者的讨论中,Diachenko向外回应“不知情”,一位推特用户称自己在GitHub上发现一个已经删除的储存库(目前页面已不可见,但仍然储存于Google缓存中)。该储存库中Web应用程序与泄露简历的应用程序包含几乎相同的结构模式,使用数据与中国求职者简历信息数据非常接近。他判定,名为“data-import”(数据导入)的工具是一个第三方应用,用于从中国分类广告中收集用户简历。
事实上,如此庞大的数据库暗示着巨大的用户规模和强大的数据收集能力。有用户在评论中提到了前程无忧51Job,这是首个在美国纳斯达克上市的中国人力资源服务企业。Diachenko在11月8日的贴文和接受ZDNet采访时说,58同城(bj.58.com )似乎是这些简历的数据来源之一,同时也并不排除其他门户网站的可能性。
美国老牌科技媒体ZDNet和《南华早报》发出的额外请求并未得到置评。
加拿大安全研究员Huo Ju为此感到担忧,“如果没有数据库提供的信息,技术不精明的诈骗者也很难找出这些关系”,现在如果有人想要深入研究某个人的社会关系,那么2亿求职者的数据宝库将为他提供教育背景、工作经验和其他信息。她说,“每个人都应该理解这一点:你认为这只是一份简历,但它可以用于其他目的。”在Diachenko看来“网络犯罪分子利用私人信息窃取你的身份,接着以你的名义进行金融交易。”
值得一提的是,越来越多的用户数据被置身于‘裸奔’的状态,除了政府积极完善相关规则,企业组织也应该正确认识到保护任何第三方数据库服务的重要性。
