12月28日,HackenProof的网络风险研究主管兼网络安全研究员BobDiachenko在推特上爆料称,一个包含2.02亿中国求职者简历信息的数据库泄露,被称为中国有史以来最大的数据曝光之一。
据他所说,包含GB数据的MongoDB数据库无人看管,处于不受保护的状态。共计,,条简历详尽记录了大量敏感信息,包括个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、过去的工作经验等等。
仅仅通过Shodan一类的物联网搜索引擎或BinaryEdge.io搜索就可以查到相关信息,这意味着任何人无需密码或登录验证即可查看和访问2亿多中国求职者的简历。
这座数据金库“裸奔”将近一周时间(12月23至28日)之后,直到曝光之日才终于做出下线处理。期间至少有十几个IP在脱机之前访问了数据库。
考虑到事态严重性,《南华早报》在事发后联系了四位安全研究员,他们认为所说的数据泄露“貌似是可信的”。科技博主JaneWong作为一名逆向工程师,致力于挖掘科技公司不透明的数据处理方式,曾经解密大型互联网平台Facebook、Instagram的隐藏应用功能。她形容这次数据泄露时说,“就像没有密码保护的情况下,你把手机落在了公共场所。”
对于数据库所有者的讨论中,Diachenko向外回应“不知情”,一位推特用户称自己在GitHub上发现一个已经删除的储存库(目前页面已不可见,但仍然储存于Google缓存中)。该储存库中Web应用程序与泄露简历的应用程序包含几乎相同的结构模式,使用数据与中国求职者简历信息数据非常接近。他判定,名为“data-import”(数据导入)的工具是一个第三方应用,用于从中国分类广告中收集用户简历。
以下内容来自数据库的一份简历,包括求职者自我介绍的中英文翻译。
事实上,如此庞大的数据库暗示着巨大的用户规模和强大的数据收集能力。有用户在评论中提到了前程无忧51Job,这是首个在美国纳斯达克上市的中国人力资源服务企业。Diachenko在11月8日的贴文和接受ZDNet采访时说,58同城(bj.58.