MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

百家 作者:CSDN 2019-01-14 13:18:52

MongoDB 的这个新年,有点不快乐……

前面刚有 AWS 开战 MongoDB,双方“隔空互呛”,这厢又曝出 2 亿+简历信息泄露——MongoDB 的这场开年似乎“充实”得过分了些。长期以来,作为“最受欢迎的 NoSQL 数据库”,MongoDB 的安全问题一直备受关注,而近年来的它也确乎多次安全事件报道中以“负面”形象露面,究其缘何屡屡被狙,又孰是孰非?


超 2 亿中国求职者简历曝光,MongoDB 又被狙!


MongoDB:什么情况,这次又关我什么事?

近日,Hacken 网络风险研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的数据流时,偶然发现了一个公开且未受保护的 MongoDB 数据库实例。

Shodan 搜索结果中也出现了相同的 IP

据悉,整个实例包含 854 GB 数据,整体处于“无人看管”的状态,无需密码/登录身份验证即可查看并访问超 2 亿份内容极为详尽的中国求职者简历。其中共涉 202,730,434 条记录,不仅含有个人技能和工作经历,还包括电话号码、电邮地址、婚烟状况、子女状况、政治面貌、身高体重、文化水平、薪资期望等私人信息内容,且信息来源难以追踪。

随后,在一位 Twitter 粉丝的帮助下,Bob Diachenko 终于将数据来源锁定在一个已被删除的 GitHub 存储库上(页面不再可用但仍保存在 Google 缓存中),其中包含的 Web 应用程序源代码具有与泄露信息中结构模式完全相同的数据。

该仓库包含了来自中国不同分类广告网站的数据,如 58 同城,但尚不清楚究竟是官方操作还是属于非法收集。名为“data-import”(3 年前创建)的工具似乎就是为了从不同的中文分类广告中删除数据(简历)而创建的。对此,58 同城安全团队回应称该此次数据来自第三方应用泄露。

虽然 Bob Diachenko 在 Twitter 上发布事件通知后不久,该数据库就已经得到了保护,但据访问日志显示,在下线前它曾被几十个 IP 访问过。 


MongoDB 的漫漫「背锅」史?


MongoDB 数据库又双叒叕被攻击了……

这似乎是一句颇眼熟的“台词”,从 2016 年底开始,MongoDB 在安全方面就很不太平。

先是 2016 年 12 月曝出的“MongoDB 启示录”事件引发热议——GDI Foundation 安全研究人员 Victor Gevers 的一条推文将 MongoDB 勒索事件送入公众视野。多方黑客开始攻击无须身份验证的开放式 MongoDB 数据库实例,并加密攻破的数据库内容,继而借此索取赎金,金额为 0.15 到 1 个比特币不等。事件自始发日起不断升级,至少 5 个不同的黑客组织参与其中,所涉数据库实例上万。究其原因,主要是由于部分用户将自己的数据库摆上公网,并且未设账户密码。对此,MongoDB 官方团队曾作出回应,称“MongoDB 数据库本身是具有企业级安全性的,受攻击的 MongoDB 实例大多是因为未遵照生产环境部署手册进行部署”。

翻译一下大概就是,你把数据库放在公网“裸奔”,还要来怪我……

2017 年 9 月,三个黑客团伙劫持了 2.6 万余台 MongoDB 数据库服务器,其中规模最大的一组超过 22000 台,安全专家分析表明这一波仍属于此前事件的辐射延续。

再到此次的简历信息泄露,亦不乏评论为 MongoDB “喊冤”:

房主自己不锁门被偷了就怪锁有安全问题,这种逻辑也是怪了……

这其实并不是 MongoDB 的问题吧,是运维的锅……

MongoDB 又成背锅侠了,运维进来挨打!

所以 MongoDB 这波真的冤枉吗?


祸起「爬虫


关于这个问题,CSDN(ID:CSDNnews)特别请到 Mongoing 中文社区联合发起人唐建法进行了分析,在谈及此次事件的起因时,他直言:

这和过去发生的一起美国婚恋网站信息泄露事件类似,所涉其实也都是公开信息。究其根源,基本上就是一个程序猿写了个脚本,把数据从 58 同城网站上爬了下来——爬虫程序猿很喜欢用 Mongo,因为灵活方便。而这类程序猿却又往往缺乏安全意识,连最基本的密码都没有设置,甚至还将数据放在云里公网上!

同时,他还站在官方立场为 MongoDB “正名”:

实际上 Mongo 有很完善的安全机制,许多金融机构如汇丰银行、中行 和太平洋保险等都在大规模使用,MongoDB 企业版更是具备非常完备的企业级安全手段。Mongo 官网或社区都有相应的文章告诉大家如何加固自己的 Mongo 安装:http://mongoing.com/archives/631。

参考链接:

https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed/

【完】




 热 文 推 荐 

 张一鸣、王欣和罗永浩的社交梦

 酷派“罢免”CEO!

 5G 兴起、智能手机饱和、AI 普及......2019 年的科技趋势预测

 资源 | 最新版区块链术语表(中英文对照)

 程序员有话说 | 程序猿在乘地铁的时候都在想什么?

 2018全球50大最佳发明名单

 QQ卖手办,用AI分析用户评论

☞ 春运抢票靠加速包?试试这个Python开源项目吧

print_r('点个好看吧!');
var_dump('点个好看吧!');
NSLog(@"点个好看吧!");
System.out.println("点个好看吧!");
console.log("点个好看吧!");
print("点个好看吧!");
printf("点个好看吧!n");
cout < < "点个好看吧!" < < endl;
Console.WriteLine("点个好看吧!");
fmt.Println("点个好看吧!");
Response.Write("点个好看吧!");
alert("点个好看吧!")
echo "点个好看吧!"

点击“阅读原文”,打开 CSDN App 阅读更贴心!

喜欢就点击“好看”吧

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接