Zero
Un ricercatore di sicurezza ha inciampato su un contratto di MongoDB server di database che conteneva altamente dettagliato cv per oltre 202 milioni di utenti Cinesi.
Che possedeva il database è ancora un mistero, ha detto Bob Diachenko, Direttore del Cyber il Rischio della Ricerca presso Hacken Prova, quello che ha trovato i dati del server di sinistra esposti online.
Il MongoDB istanza contenuta 854GB di dati, con 202,730,434 record in totale, la maggior parte dei quali sono stati CVs per gli utenti Cinesi.
Riprende contenuti tutti i dati sensibili, si può aspettare di trovare in un CURRICULUM, quali nomi, indirizzi di casa, numeri di telefono, e-mail, stato civile, numero di figli, affiliazioni politiche, misure del corpo, come l’altezza e il peso, livello di alfabetizzazione, aspettative di stipendio, di educazione, di passato, di posti di lavoro, e di più.
L’info è stata una threat intelligence miniera d’oro che è stato lasciato aperto per l’intera internet per trovare. Rintracciare il suo proprietario è stato quasi impossibile. Diachenko è stato costretto a utilizzare un pubblico appello su Twitter per chiedere aiuto nell’identificare l’amministratore del server.
Uno dei ricercatori seguaci è venuto in soccorso l’anno scorso, quando ha indicato Diachenko per un ora-eliminato repository GitHub che conteneva il codice sorgente di un’applicazione web.
L’app, probabilmente creato per raschiare curricula dei legittimi lavoro-ricerca portali di contenuto identico strutture di dati a quelli trovati negli perde database, un chiaro segno è stato quello che ha raschiato e raccolti i curricula.
Diachenko detto a ZDNet che una delle principali fonti da cui l’app sembra aver raschiato il CVs è bj.58.com un popolare portale di lavoro, tuttavia altri portali avrebbe potuto essere raschiato.
Quando Diachenko contattato bj.58.com’s staff, hanno confermato la sua valutazione iniziale, che i dati provengono da un raschietto, piuttosto che essere trapelato dalla sua rete.
“Abbiamo cercato in tutto il database e studiato tutte le altre di archiviazione, e ha concluso che i dati di esempio non è trapelato da noi,” il bj.58.com il portavoce ha detto Diachenko. “Sembra che i dati sono trapelate da un terzo che graffi i dati da molti CV [sic] i siti web”.
bj.58.com non rispondere a una richiesta di commento da ZDNet.
Ma Diachenko richiesta di aiuto su Twitter sembra aver catturato l’attenzione del database proprietario, che si è assicurato il server e ha preso il repository GitHub indietro un paio di giorni.
Questa non è la prima volta che Diachenko trova un rubinetto che perde server contenente i dati da riprendere sito scrappers. Il mese scorso, inoltre, ha trovato un server simile esponendo oltre 66 milioni di record che sembrava essere stato raschiato da LinkedIn, e poi trapelato tramite un altro database MongoDB.
Più di violazione dei dati di copertura:
Posizione in tempo reale dei dati di oltre 11.000 Indiano autobus sinistra esposti online’Town di Salem’ gioco soffre di violazione dei dati di esporre 7,6 milioni di utenti detailsData di 2,4 milioni di Sfocatura password manager, gli utenti sono esposte onlineMarriott dice meno di 383 milioni di ospiti risentito della violazione, non 500 milioni di
Nokia nega che perde interno credenziali del server di snafuHacker ruba 10 anni di dati dal San Diego school districtFirefox avvisa se il sito che stai visitando subito una violazione dei dati CNET
Marriott rivela la violazione dei dati, che colpisce 500 milioni di ospiti in hotel TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0