2019-05-06 22:06:2213325人阅读
据ZDNet报道,安全研究者Sanyam Jain发现,中国企业今年前3个月出现数起简历信息泄露事件涉及5.9亿份简历。大多数数据泄漏都是因为安全性较差的MongoDB数据库和ElasticSearch服务器的安全管理不到位造成的,黑客无需密码就可在网上看到信息,或防火墙出现错误直接导致信息泄露。
在过去的几个月,ZDNet收到部分服务器泄露信息的相关内容,这些服务器属于中国HR企业。大多数泄漏事件都是由安全研究员兼GDI基金会成员Sanyam Jain发现的。
仅在过去的一个月里,Jain就发现并报告了七起此类案件,在本文发表之前只有四起被删除。
3月10日,Jain发现有一台ElasticSearch不安全,其存有3300万中国用户的简历。随后,他将问题报告给中国国家计算机应急响应小组(CNCERT),4天后数据库得到修复。
他的第二个发现是ElasticSearch服务器,他在3月13日发现了包含8480万张中文简历被曝光(工作经历,教育,技能,接受的培训,以前所有工作的报酬)。安全研究员Devin Stokes几天前也发现了这一点。在CNCERT的帮助下,该服务器目前也被拆除了。
3月15日,Jain找到一台问题ElasticSearch服务器,存有9300万份简历,已向CNCERT汇报,并未收到回应。Jain告诉ZDNet:
数据库意外脱机,在向他们报告后我没有收到CNCERT的回复。
第四台服务器存放来自中国企业的简历数据,存有900万份简历,服务器同样来自ElasticSearch。
第五台服务器是一个拥有超过1.29亿份简历的ElasticSearch集群。在撰写本文时,因为Jain无法识别其所有者,该数据库仍然在线公开。
第六个是ElasticSearch服务器,托管18万份简历,而第七个只存储1.7万份简历。
但是,Jain并不是唯一一个发现这些数据库的研究人员。两周前,另一位安全研究员Devin Stokes发现,一个ElasticSearch服务器,包含1900万中国用户的简历,均为管理职位。
此服务器除了简历信息外,还包含每个用户的完整配置文件,包括当前工作,招聘人员和高管之间最近的对话,培训课程等。
2018年12月28日,Hacken Proof的网络风险研究主管兼网络安全研究员Bob Diachenko在推特上爆料称,一个包含2.02亿中国求职者简历信息的数据库泄露,被称为中国有史以来最大的数据曝光之一。
据他所说,包含854 GB数据的MongoDB数据库无人看管,处于不受保护的状态。共计202,730,434条简历详尽记录了大量敏感信息,包括个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、过去的工作经验等等。
根据截图来看,该用户所曝光的这些数据应该是来源于一个完整的数据库。
这座数据金库“裸奔”将近一周时间(12月23至28日)之后,直到曝光之日才终于做出下线处理。期间至少有十几个IP在脱机之前访问了数据库。
一位推特用户称自己在GitHub上发现一个已经删除的储存库(目前页面已不可见,但仍然储存于Google缓存中)。该储存库中Web应用程序与泄露简历的应用程序包含几乎相同的结构模式,使用数据与中国求职者简历信息数据非常接近。他判定,名为“data-import”(数据导入)的工具是一个第三方应用,用于从中国分类广告中收集用户简历。
廉价的简历数据,你的简历只值两毛钱
早在2017年,就报道过,有淘宝电商出售“58同城简历数据”。
其中一位旺旺号为“lsgjart”的店铺透露:
一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。
转载自: https://www.4hou.com/info/news/17256.html,原文标题《数起简历信息泄露事件曝光——涉及中国企业的5.9亿份简历》