MongoDB 背鍋、58 同城中槍，2 億簡歷遭泄露竟禍起程序員爬蟲？

MongoDB 的這個新年，有點不快樂……

前面剛有 AWS 開戰 MongoDB，雙方「隔空互嗆」，這廂又曝出 2 億+簡歷信息泄露——MongoDB 的這場開年似乎「充實」得過分了些。長期以來，作為「最受歡迎的 NoSQL 資料庫」，MongoDB 的安全問題一直備受關注，而近年來的它也確乎多次在安全事件報道中以「負面」形象露面，究其緣何屢屢被狙，又孰是孰非？

超 2 億中國求職者簡歷曝光，MongoDB 又被狙！

MongoDB：什麼情況，這次又關我什麼事？

近日，Hacken 網路風險研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的數據流時，偶然發現了一個公開且未受保護的 MongoDB 資料庫實例。

Shodan 搜索結果中也出現了相同的 IP

據悉，整個實例包含 854 GB 數據，整體處於「無人看管」的狀態，無需密碼/登錄身份驗證即可查看並訪問超 2 億份內容極為詳盡的中國求職者簡歷。其中共涉 202,730,434 條記錄，不僅含有個人技能和工作經歷，還包括電話號碼、電郵地址、婚煙狀況、子女狀況、政治面貌、身高體重、文化水平、薪資期望等私人信息內容，且信息來源難以追蹤。

隨後，在一位 Twitter 粉絲的幫助下，Bob Diachenko 終於將數據來源鎖定在一個已被刪除的 GitHub 存儲庫上（頁面不再可用但仍保存在 Google 緩存中），其中包含的 Web 應用程序源代碼具有與泄露信息中結構模式完全相同的數據。

該倉庫包含了來自中國不同分類廣告網站的數據，如 58 同城，但尚不清楚究竟是官方操作還是屬於非法收集。名為「data-import」（3 年前創建）的工具似乎就是為了從不同的中文分類廣告中刪除數據（簡歷）而創建的。對此，58 同城安全團隊回應稱該此次數據來自第三方應用泄露。

雖然 Bob Diachenko 在 Twitter 上發布事件通知後不久，該資料庫就已經得到了保護，但據訪問日誌顯示，在下線前它曾被幾十個 IP 訪問過。

MongoDB 的漫漫「背鍋」史？

MongoDB 資料庫又雙叒叕被攻擊了……

這似乎是一句頗眼熟的「台詞」，從 2016 年底開始，MongoDB 在安全方面就很不太平。

先是 2016 年 12 月曝出的「MongoDB 啟示錄」事件引發熱議——GDI Foundation 安全研究人員 Victor Gevers 的一條推文將 MongoDB 勒索事件送入公眾視野。多方黑客開始攻擊無須身份驗證的開放式 MongoDB 資料庫實例，並加密攻破的資料庫內容，繼而藉此索取贖金，金額為 0.15 到 1 個比特幣不等。事件自始發日起不斷升級，至少 5 個不同的黑客組織參與其中，所涉資料庫實例上萬。究其原因，主要是由於部分用戶將自己的資料庫擺上公網，並且未設賬戶密碼。對此，MongoDB 官方團隊曾作出回應，稱「MongoDB 資料庫本身是具有企業級安全性的，受攻擊的 MongoDB 實例大多是因為未遵照生產環境部署手冊進行部署」。

翻譯一下大概就是，你把資料庫放在公網「裸奔」，還要來怪我……

2017 年 9 月，三個黑客團伙劫持了 2.6 萬餘台 MongoDB 資料庫伺服器，其中規模最大的一組超過 22000 台，安全專家分析表明這一波仍屬於此前事件的輻射延續。

再到此次的簡歷信息泄露，亦不乏評論為 MongoDB 「喊冤」：

房主自己不鎖門被偷了就怪鎖有安全問題，這種邏輯也是怪了……

這其實並不是 MongoDB 的問題吧，是運維的鍋……

MongoDB 又成背鍋俠了，運維進來挨打！

所以 MongoDB 這波真的冤枉嗎？

禍起「爬蟲」

關於這個問題，CSDN（ID：CSDNnews）特別請到 Mongoing 中文社區聯合發起人唐建法進行了分析，在談及此次事件的起因時，他直言：

這和過去發生的一起美國婚戀網站信息泄露事件類似，所涉其實也都是公開信息。究其根源，基本上就是一個程序猿寫了個腳本，把數據從 58 同城網站上爬了下來——爬蟲程序猿很喜歡用 Mongo，因為靈活方便。而這類程序猿卻又往往缺乏安全意識，連最基本的密碼都沒有設置，甚至還將數據放在雲里公網上！

同時，他還站在官方立場為 MongoDB 「正名」：

實際上 Mongo 有很完善的安全機制，許多金融機構如滙豐銀行、中行 和太平洋保險等都在大規模使用，MongoDB 企業版更是具備非常完備的企業級安全手段。Mongo 官網或社區都有相應的文章告訴大家如何加固自己的 Mongo 安裝：http://mongoing.com/archives/631。

參考鏈接：

https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！