ZDNet从多位安全研究人员那里了解到,今年前三个月,中国企业已经泄露了惊人的5.9亿份简历。
大多数数据泄漏都是因为安全性较差的MongoDB数据库和ElasticSearch服务器在没有密码的情况下在线暴露,或者在意外的防火墙错误后最终联机。
中国公司的简历信息泄漏
在过去的几个月中,特别是在过去的几周里,ZDNet收到了一些有关暴露服务器的提示,这些服务器在被调查时属于中国以人力资源为重点的公司。
从小公司到专业的猎头公司,他们都以某种形式泄露了客户的细节。
大多数泄漏事件都是由安全研究员兼GDI基金会成员Sanyam Jain发现,并引起ZDNet的注意。
仅在过去的一个月里,Jain就发现并报告了七起此类案件,在本文发表之前只有四起被删除。
他的发现包括一个ElasticSearch服务器,其中包含他在3月10日发现的3300万中国用户的简历。该数据库在Jain向中国计算机应急响应小组(CNCERT)报告该问题四天后得到保护。
他的第二个发现是ElasticSearch服务器,他在3月13日发现了包含8480万个简历的内容 - 安全研究员Devin Stokes几天前也发现了这一点。在CNCERT的帮助下,该服务器也被拆除了。
Jain的第三个发现是另一个ElasticSearch实例,这次他发现3,300万份简历,这是他在3月15日发现的。
“数据库意外脱机,在向他们报告后我没有收到CNCERT的回复,”Jain告诉ZDNet。
图片:Sanyam Jain
存储的第四台服务器从中国公司恢复,只包含900万个CV,他在另一个ElasticSearch实例中找到了这些CV。
图片:Sanyam Jain
第五台服务器是Jain最大的发现,一个拥有超过1.29亿份简历的ElasticSearch集群。在撰写本文时,该数据库仍然在线公开,因为Jain无法识别其所有者。
图片:Sanyam Jain
Jain的最后两个发现也是他最小的发现。第六个是ElasticSearch服务器,托管180,000个简历,第七个只存储17,000个简历。最后一个,Jain在本文上线前几个小时就发现了。
但是,Jain并不是唯一一个绊倒这些数据库的研究人员。泄露中国用户简历的所有数据库中最有趣的是两周前一位安全研究员Devin Stokes与ZDNet分享的内容。
这是一个ElasticSearch服务器,包含1900万中国用户的简历,全部都在管理职位。该数据库属于一家活跃在中国市场的猎头公司。研究人员决定不为这件作品命名公司。
此服务器除了简历外,还包含每个用户的完整配置文件,包括当前工作,招聘人员和高管之间最近的对话,培训课程等。
图片:斯托克斯Devin Stokes
此外,泄密服务器还包含一份公司名单,这些公司签署了猎头公司的服务,并在其帮助下聘请了高管。通过这份名单粗略搜索了Kraft Heinz和StonCor等外国公司,以及中国航空动力控制和无锡AMT技术等许多中国本土公司。
幸运的是,这个数据库的保护速度比大多数都快,在斯托克斯向CNCERT发送电子邮件两天之后就被删除了。
除了Jain和斯托克斯之外,另一个著名的数据泄露猎人Bob Diachenko也有所发现。
昨天,Diachenko发现了一个类似暴露的服务器,其中包含2050万中国用户的简历,研究人员目前正在识别和通知泄露这些数据的公司。
但也不要忘记Diachenko的另一个发现,即研究人员在1月份发现的一个MongoDB数据库,该数据库泄露了超过2.02亿中国用户的简历。
超过5.9亿泄露的简历
在所有这些方面,我们在过去三个月中有5904.97万份简历从中国公司泄露,这是一个令人担忧的迹象,表明中国的人力资源公司并未认真对待其服务器的安全性。
有人可能认为,从简历中公开数据并不是什么大问题,因为简历本来就是公共文档,但实际情况并非如此。
人们假设简历仅用于特定工作的评估,人们与感兴趣的各方共享简历。
当用户在自己的网站上在线共享简历时,他们会定期编辑完整版简历中包含的个人身份信息 - 例如电话号码,家庭住址,家庭和婚姻状况,在某些情况下还包括身份证号码,取决于一些人力资源公司的要求。
同样,当他们在工作门户网站上填写个人详细信息时,他们会相信某些数据只能供雇主使用,而不是整个互联网。
中国人力资源公司和中国就业门户网站泄露这些简历的速度表明,无视用户隐私,而且代表这些公司的安全态势也不好。
原文地址:https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/