据 ZDNet 报道,安全研究者 Sanyam Jain 统计,中国今年前 3 个月出现数起简历信息泄露事件涉及 5.9 亿份简历。大多数数据泄漏都是因为安全性较差的 MongoDB 数据库和 ElasticSearch 服务器的安全管理不到位造成的,互联网上无需密码就可在网上看到信息,或防火墙出现错误直接导致信息泄露。
在过去的几个月,ZDNet 收到部分服务器泄露信息的相关内容,这些服务器属于中国 HR 企业。
仅在过去的一个月里,Jain 就发现并报告了七起此类案件,在本文发表之前只有四起被删除。
3 月 10 日,Jain 发现有一台 ElasticSearch 不安全,其存有 3300 万中国用户的简历。随后,他将问题报告给中国国家计算机应急响应小组(CNCERT),4 天后数据库得到修复。
第二个发现是 ElasticSearch 服务器,他在 3 月 13 日发现了包含 8480 万张中文简历被曝光(工作经历,教育,技能,接受的培训,以前所有工作的报酬)。安全研究员 Devin Stokes 几天前也发现了这一点。在 CNCERT 的帮助下,该服务器目前也被拆除了。
3 月 15 日,Jain 找到一台问题 ElasticSearch 服务器,存有 9300 万份简历,已向 CNCERT (国家互联网应急中心)汇报,截至目前仍未收到回应。
第四台服务器存放来自中国企业的简历数据,存有 900 万份简历,服务器同样来自 ElasticSearch。
第五台服务器是一个拥有超过 1.29 亿份简历的 ElasticSearch 集群。在撰写本文时,因为 Jain 无法识别其所有者,该数据库仍然在线公开。
第六个是 ElasticSearch 服务器,托管 18 万份简历,而第七个只存储 1.7 万份简历。
但是,Jain 并不是唯一一个发现这些数据库的研究人员。两周前,另一位安全研究员 Devin Stokes 发现,一个 ElasticSearch 服务器,包含 1900 万中国用户的简历,均为管理职位。
此服务器除了简历信息外,还包含每个用户的完整配置文件,包括当前工作,招聘人员和高管之间最近的对话,培训课程等。
2018 年 12 月 28 日,Hacken Proof 的网络风险研究主管兼网络安全研究员 Bob Diachenko 在推特上爆料称,一个包含 2.02 亿中国求职者简历信息的数据库泄露,被称为中国有史以来最大的数据曝光之一。
据他所说,包含 854 GB 数据的 MongoDB 数据库无人看管,处于不受保护的状态。共计 202,730,434 条简历详尽记录了大量敏感信息,包括个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、过去的工作经验等等。
根据截图来看,该用户所曝光的这些数据应该是来源于一个完整的数据库。
这座数据金库 “裸奔” 将近一周时间(12 月 23 至 28 日)之后,直到曝光之日才终于做出下线处理。期间至少有十几个 IP 在脱机之前访问了数据库。
一位推特用户称自己在 github 上发现一个已经删除的储存库(目前页面已不可见,但仍然储存于 google 缓存中)。该储存库中 Web 应用程序与泄露简历的应用程序包含几乎相同的结构模式,使用数据与中国求职者简历信息数据非常接近。他判定,名为 “data-import”(数据导入)的工具是一个第三方应用,用于从中国分类广告中收集用户简历。
你的简历只值两毛钱
早在 2017 年,就报道过,有淘宝电商出售 “58 同城简历数据”。
一次购买 2 万份以上,3 毛一条;10 万以上,2 毛一条。要多少有多少,全国同步实时更新。
