据外媒报道,国际网络安全咨询公司HackenProof的网络风险研究主管Bob Diachenko日前在网上发现了一个未受到保护的MongoDB数据库,其中包含超过2.02亿中国公民的个人信息。在此之前,任何人都能够访问这些信息。直至上周,该数据库的管理方才启用了身份验证限制。
Bob Diachenko表示,暴露的数据总大小约为854.8GB,共有202,730,434条记录。其中,大部分都是中国公民的简历信息。在这些可公开访问的信息中,有许多属于敏感信息,如名字、家庭住址、电话号码、电子邮箱地址、婚姻状况、子女数量、政治面貌、身高、体重、期望薪资、教育水平、工作经历等。
由于这些信息对整个互联网开放,因此想要确认数据的来源几乎是不可能。为此,Bob Diachenko曾试图通过推特寻求帮助。他的一位粉丝表示,这些数据可能是通过一款名为“data-import”的Web应用程序收集而来的,该应用程序的源代码托管在一个GitHub存储库上(在三年前被创建,现已被删除)。Bob Diachenko的这位粉丝表示,这款应用程序很可能是为了从合法的分类信息网站上爬取简历而开发的,它包含的数据结构与这个可公开访问数据库的数据结构完全相同。Bob Diachenko最初认为,暴露的数据似乎是从58同城等中文分类信息网站爬取而来的。
为此,Bob Diachenko最还与58同城的安全团队进行了联系。58同城的安全团队证实了Bob Diachenko粉丝的说法,即这些数据来自数据爬取工具,而不是黑客入侵或网络泄露。但是,58同城发言人表示:“我们已经检查了所有的数据库,并检查了其他所有的存储设备。得出的结论是,这些数据并非是从我们这里泄露的。相反,它们很可能是通过旨在从许多求职网站爬取数据的第三方泄露的。”
好消息是,Bob Diachenko在推特上的求助也引起了数据库管理方的注意,该数据库很快就得到了保护。但值得注意的是,MongoDB日志显示,至少有十几个IP在此之前已经访问过这些数据。