招聘网站搜刮极客信息，800万GitHub资料被泄

一项新科技招聘项目从GitHub和其他类似站点爬取用户数据，因MongoDB数据库的错误配置，造成了不可避免的数据泄露。 澳大利亚安全专家特洛伊·亨特，“我被玩了吗(Have I Been Pwned)”服务的创立者，最近公布了一份600MB的Mongo数据库备份文件，包含从名为“极英(GeekedIn)”的科技招聘网站搜取的数据。进一步的分析揭示，该文件包含有超过800万GitHub用户信息，包括姓名、电子邮箱、地址和其他数据。 不过，仅100万被曝电子邮件地址是有效的，剩下的一般都是 “username@github.xyzp.wzf”之类的地址，且并未以公开电邮地址与GitHub绑定。该MongoDB数据库还包含有数千个明显是从BitBucket搜取的账户。 GeekedIn由其开发者在今年6月推出上线，是一个爬取GitHub和BitBucket之类代码托管站点的服务，为开源项目和开发者建立个人档案。该服务的宗旨，是帮助招聘人员找到符合需求的开发者，以及帮助开发人员“丰富自己的简历”。 GeekedIn收获的数据在GitHub上公开可得，并不包含任何敏感数据，比如口令。 然而，尽管GitHub允许用户从其网站上刮取公开数据，却禁止这些信息被用于商业目的。GeekedIn计划要求招聘人员和公司每月支付数百欧元作为这些数据的使用费。 第二个问题在于，这些数据是存放在MongoDB数据中的，而该数据库并未被良好保护，可被任何人读取。此类事件越来越常见，因数据错误配置，一些公司暴露了亿万个人的详细信息。

作为数据泄露中的一员，我不希望自己的数据被以这种方式出售。在个人基础上公开这些数据没问题，但我从亲密朋友获悉的关于此事的看法都是‘这感觉不对’。首先，出于商业目的从GitHub上抓取信息就不对，更错误的是之后还通过一个没有口令的MongoDB数据库把数据丢了，而现在更是任由这些数据飘荡在数据泄露交易圈里。

在被亨特通告后，GeekedIn开发人员承诺采取措施保护数据。同时，他们将网站下线了。 受此事影响的用户可以使用“Have I Been Pwned”服务找出自己的信息到底有没有被泄露。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/