未受保護的 MongoDB 實例泄露了 2 億多中國公民的簡歷

一名安全研究人員發現一個暴露無遺的MongoDB實例含有2.02億中國公民的簡歷，但頗具戲劇性的是，目前不知道誰擁有這個資料庫。

Hacken的Bob Diachenko在去年12月底就發現，這個MongoDB實例含有854.8 GB的數據，無需填入密碼/登錄信息以驗證身份，就可以查看和訪問2億多個中國求職者的詳細簡歷信息。

據說數據包括眾多個人信息，比如手機號碼、電子郵件、婚姻狀況、子女、政治面貌、身高、體重、駕駛執照信息、文化水平和工資預期等。

儘管數據來源仍然是個未知數，但那個MongoDB實例此後已得到了嚴加保護。

Zettaset公司的安全架構師Eric Murray告訴外媒SiliconANGLE：「由於諸如此類的情況變得越來越普遍，企業組織應該認識到正確保護任何第三方資料庫伺服器有多重要，應採取必要的措施來加密數據，確保萬一數據落到不法分子的手裡，無法被用於歪道。在這起事件中，簡歷網站沒有使用速率限制以防止數據抓取工具攫取敏感的用戶信息確實讓人很驚訝。但願我們在暴露的伺服器上看到的這種趨勢能夠讓人們認識到迫切需要採取更有效的安全措施。」

JASK公司的安全研究主管Rod Soto特別指出，像已知易受攻擊的產品被利用這種事件引發了一個問題，即是否應該要求軟體開發人員引入自動給代碼打補丁的機制。

Soto解釋道：「如今這個流程基本上已經在使用，操作系統和一些Web應用程序可以自動更新，因而減小了部署在互聯網上的這些已知易受攻擊的應用程序的攻擊面。」

Soto還特別指出，強行更新或打補丁通常會帶來意想不到的後果。他說：「然而，由於這種泄密事件以及隨之而來的相關犯罪活動層出不窮，現在是時候權衡任由這些產品未打補丁、暴露無遺與打補丁確保其安全，並處理間接影響的優缺點了。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！