曝2.02亿中国求职者履历遭泄露 - 168大数据

就在我们享受难得的周末时光时，却发生了一件令人非常不快的信息泄露事件，曝超过2.02亿中国求职者的个人简历在网上公布，共计854GB！

据了解，该安全事件由HackenProof的安全研究员BobDiachenko发现，遭泄露的是MongoDB数据库，其中存有大量中国求职者的详细信息。据一位Twitter用户查证，已被删除的应用主要来源之一是bj.58.com。

安全研究员BobDiachenko表示：“经过调查，MongoDB数据库不安全且不受保护，因此无需通过高尖端的手段就可获取用户信息，实际上，大量的求职信息是通过简单的BinaryEdge或Shodan搜索找到的，没有任何密码保护。”

“目前，我们没有发现与这些数据库相关的任何特定服务，但并不意味这2.02亿中国用户的信息就不会被不法分子非法使用。实际上，我们确实在GitHub上发现了一个应用程序的三年历史存储库。该应用程序包含几乎‘相同的结构模式’，其中被使用的数据与中国求职者简历信息服务很像。”

目前，HackenProof还未能给出充足的证据，以证明这2.02亿中国求职者的简历已经被挪为他用，原因在于这些数据已被一个名为“data-import”的工具全部删除。因此，尚不清楚它是用于收集所有申请人详细信息的官方申请还是非法申请，甚至是那些被标记为来自“私人”的申请。

该事件发生不久后，该数据库被加入了保护机制，但这距离数据库成立已过去很久，因此这种后来的保护很有可能起不到多少作用。根据MongoDB日志，至少有十几个IP可能在脱机之前访问了数据库。

事后“亡羊补牢”。JASK公司的安全研究主管RodSoto认为，或许应该要求软件开发人员引入自动给代码打补丁的机制。他说：“尽管这样做能够有效降低被互联网上已知应用程序攻击的几率，但强行更新或打补丁通常会带来意想不到的后果。”

实际上，此类情况并非个例，如今有越来越多的用户数据被置身于‘裸奔’状态，企业应该正确的认识到保护第三方数据库的重要性。显然，此次事件中简历网站并没有行使保护数据安全的责任，让数量如此众多的用户的简历信息被公开查阅。