Hacken Proof的网络风险研究主管兼网络安全研究员Bob Diachenko在
推特
仅仅通过Shodan一类的物联网搜索引擎或BinaryEdge.io搜索就可以查到相关信息,这意味着任何人无需密码或登录验证即可查看和访问2亿多中国求职者的简历。
这座数据金库“裸奔”将近一周时间(12月23至28日)之后,直到曝光之日才终于做出下线处理。期间至少有十几个IP在脱机之前访问了数据库。
对于数据库所有者的讨论中,Diachenko向外回应“不知情”,一位推特用户称自己在GitHub上发现一个已经删除的储存库(目前页面已不可见,但仍然储存于Google缓存中)。该储存库中Web应用程序与泄露简历的应用程序包含几乎相同的结构模式,使用数据与中国求职者简历信息数据非常接近。他判定,名为“data-import”(数据导入)的工具是一个第三方应用,用于从中国分类广告中收集用户简历。
以下内容来自数据库的一份简历,包括求职者自我介绍的中英文翻译。
Diachenko尝试与58同城取得联系。58同城的新闻发言人告诉他,“我们搜遍了整个数据库并调查了所有数据存储,可以很确切地说,简历数据不是从58同城的平台上泄露的”,并补充道“只有用户将个人简历设置为公开可见时,第三方才能获取其简历”。这种回复印证了他此前的判断,这些数据来自于第三方数据抓取,而不是网络泄露。
加拿大安全研究员Huo Ju为此感到担忧,“如果没有数据库提供的信息,技术不精明的诈骗者也很难找出这些关系”,现在如果有人想要深入研究某个人的社会关系,那么2亿求职者的数据宝库将为他提供教育背景、工作经验和其他信息。她说,“每个人都应该理解这一点:你认为这只是一份简历,但它可以用于其他目的。”在Diachenko看来“网络犯罪分子利用私人信息窃取你的身份,接着以你的名义进行金融交易。”
值得一提的是,越来越多的用户数据被置身于‘裸奔’的状态,除了政府积极完善相关规则,企业组织也应该正确认识到保护任何第三方数据库服务的重要性。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
