導語:安全研究者Sanyam Jain發現,中國企業今年前3個月出現數起簡歷信息洩露事件涉及5.9億份簡歷。
據ZDNet報道,安全研究者Sanyam Jain發現,中國企業今年前3個月出現數起簡歷信息洩露事件涉及5.9億份簡歷。大多數數據洩漏都是因為安全性較差的MongoDB數據庫和ElasticSearch服務器的安全管理不到位造成的,黑客無需密碼就可在網上看到信息,或防火牆出現錯誤直接導致信息洩露。
在過去的幾個月,ZDNet收到部分服務器洩露信息的相關內容,這些服務器屬於中國HR企業。大多數洩漏事件都是由安全研究員兼GDI基金會成員Sanyam Jain發現的。
僅在過去的一個月裡,Jain就發現並報告了七起此類案件,在本文發表之前只有四起被刪除。
3月10日,Jain發現有一臺ElasticSearch不安全,其存有3300萬中國用戶的簡歷。隨後,他將問題報告給中國國家計算機應急響應小組(CNCERT),4天后數據庫得到修復。
他的第二個發現是ElasticSearch服務器,他在3月13日發現了包含8480萬張中文簡歷被曝光(工作經歷,教育,技能,接受的培訓,以前所有工作的報酬)。安全研究員Devin Stokes幾天前也發現了這一點。在CNCERT的幫助下,該服務器目前也被拆除了。
3月15日,Jain找到一臺問題ElasticSearch服務器,存有9300萬份簡歷,已向CNCERT彙報,並未收到回應。Jain告訴ZDNet:
數據庫意外脫機,在向他們報告後我沒有收到CNCERT的回覆。
第四臺服務器存放來自中國企業的簡歷數據,存有900萬份簡歷,服務器同樣來自ElasticSearch。
第五臺服務器是一個擁有超過1.29億份簡歷的ElasticSearch集群。在撰寫本文時,因為Jain無法識別其所有者,該數據庫仍然在線公開。
第六個是ElasticSearch服務器,託管18萬份簡歷,而第七個只存儲1.7萬份簡歷。
但是,Jain並不是唯一一個發現這些數據庫的研究人員。兩週前,另一位安全研究員Devin Stokes發現,一個ElasticSearch服務器,包含1900萬中國用戶的簡歷,均為管理職位。
此服務器除了簡歷信息外,還包含每個用戶的完整配置文件,包括當前工作,招聘人員和高管之間最近的對話,培訓課程等。
2018年12月28日,Hacken Proof的網絡風險研究主管兼網絡安全研究員Bob Diachenko在推特上爆料稱,一個包含2.02億中國求職者簡歷信息的數據庫洩露,被稱為中國有史以來最大的數據曝光之一。
據他所說,包含854 GB數據的MongoDB數據庫無人看管,處於不受保護的狀態。共計202,730,434條簡歷詳盡記錄了大量敏感信息,包括個人全名家庭住址,手機號碼,電子郵件,婚姻狀況,子女數量,政治關係,身高,體重,駕駛執照,識字水平,薪水期望、教育背景、過去的工作經驗等等。
根據截圖來看,該用戶所曝光的這些數據應該是來源於一個完整的數據庫。
這座數據金庫“裸奔”將近一週時間(12月23至28日)之後,直到曝光之日才終於做出下線處理。期間至少有十幾個IP在脫機之前訪問了數據庫。
一位推特用戶稱自己在GitHub上發現一個已經刪除的儲存庫(目前頁面已不可見,但仍然儲存於Google緩存中)。該儲存庫中Web應用程序與洩露簡歷的應用程序包含幾乎相同的結構模式,使用數據與中國求職者簡歷信息數據非常接近。他判定,名為“data-import”(數據導入)的工具是一個第三方應用,用於從中國分類廣告中收集用戶簡歷。
廉價的簡歷數據,你的簡歷只值兩毛錢
早在2017年,就報道過,有淘寶電商出售“58同城簡歷數據”。
其中一位旺旺號為“lsgjart”的店鋪透露:
一次購買2萬份以上,3毛一條;10萬以上,2毛一條。要多少有多少,全國同步實時更新。
