热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

2亿简历遭泄漏,到底谁的锅?

前面刚有AWS开战MongoDB,双方“隔空互呛”,这厢又曝出2亿+简历信息泄露——MongoDB的这场开年似乎“充实”得过分了些。长期以来,作为“最受欢迎的NoSQL数据库”,M

  前面刚有 AWS 开战 MongoDB,双方“隔空互呛”,这厢又曝出 2 亿+简历信息泄露——MongoDB
的这场开年似乎“充实”得过分了些。长期以来,作为“最受欢迎的 NoSQL 数据库”,MongoDB
的安全问题一直备受关注,而近年来的它也确乎多次在安全事件报道中以“负面”形象露面,究其缘何屡屡被狙,又孰是孰非?

  超 2 亿中国求职者简历曝光,MongoDB 又被狙!

  MongoDB:什么情况,这次又关我什么事?

  近日,Hacken 网络风险研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的数据流时,偶然发现了一个公开且未受保护的
MongoDB 数据库实例。

  Shodan 搜索结果中也出现了相同的 IP

  据悉,整个实例包含 854 GB 数据,整体处于“无人看管”的状态,无需密码/登录身份验证即可查看并访问超 2
亿份内容极为详尽的中国求职者简历。其中共涉 202,730,434
条记录,不仅含有个人技能和工作经历,还包括电话号码、电邮地址、婚烟状况、子女状况、政治面貌、身高体重、文化水平、薪资期望等私人信息内容,且信息来源难以追踪。

  随后,在一位 Twitter 粉丝的帮助下,Bob Diachenko 终于将数据来源锁定在一个已被删除的 GitHub
存储库上(页面不再可用但仍保存在 Google 缓存中),其中包含的 Web 应用程序源代码具有与泄露信息中结构模式完全相同的数据。

  该仓库包含了来自中国不同分类广告网站的数据,如 58 同城,但尚不清楚究竟是官方操作还是属于非法收集。名为“data-import”(3
年前创建)的工具似乎就是为了从不同的中文分类广告中删除数据(简历)而创建的。对此,58 同城安全团队回应称该此次数据来自第三方应用泄露。

  虽然 Bob Diachenko 在 Twitter 上发布事件通知后不久,该数据库就已经得到了保护,但据访问日志显示,在下线前它曾被几十个 IP
访问过。

  MongoDB 的漫漫「背锅」史?

  MongoDB 数据库又双叒叕被***了……郑州不孕不育医院:http://www.zzfkyy120.com/

  这似乎是一句颇眼熟的“台词”,从 2016 年底开始,MongoDB 在安全方面就很不太平。

  先是 2016 年 12 月曝出的“MongoDB 启示录”事件引发热议——GDI Foundation 安全研究人员 Victor Gevers
的一条推文将 MongoDB 勒索事件送入公众视野。多方***开始***无须身份验证的开放式 MongoDB
数据库实例,并加密攻破的数据库内容,继而借此索取赎金,金额为 0.15 到 1 个比特币不等。事件自始发日起不断升级,至少 5
个不同的***组织参与其中,所涉数据库实例上万。究其原因,主要是由于部分用户将自己的数据库摆上公网,并且未设账户密码。对此,MongoDB
官方团队曾作出回应,称“MongoDB 数据库本身是具有企业级安全性的,受***的 MongoDB 实例大多是因为未遵照生产环境部署手册进行部署”。

  翻译一下大概就是,你把数据库放在公网“裸奔”,还要来怪我……

  2017 年 9 月,三个***团伙劫持了 2.6 万余台 MongoDB 数据库服务器,其中规模最大的一组超过 22000
台,安全专家分析表明这一波仍属于此前事件的辐射延续。

  再到此次的简历信息泄露,亦不乏评论为 MongoDB “喊冤”:

  房主自己不锁门被偷了就怪锁有安全问题,这种逻辑也是怪了……

  这其实并不是 MongoDB 的问题吧,是运维的锅……

  MongoDB 又成背锅侠了,运维进来挨打!

  所以 MongoDB 这波真的冤枉吗?



推荐阅读
  • Hadoop入门与核心组件详解
    本文详细介绍了Hadoop的基础知识及其核心组件,包括HDFS、MapReduce和YARN。通过本文,读者可以全面了解Hadoop的生态系统及应用场景。 ... [详细]
  • 本文深入探讨了分布式文件系统的核心概念及其在现代数据存储解决方案中的应用,特别是针对大规模数据处理的需求。文章不仅介绍了多种流行的分布式文件系统和NoSQL数据库,还提供了选择合适系统的指导原则。 ... [详细]
  • 本文回顾了作者在求职阿里和腾讯实习生过程中,从最初的迷茫到最后成功获得Offer的心路历程。文中不仅分享了个人的面试经历,还提供了宝贵的面试准备建议和技巧。 ... [详细]
  • PHP 编程疑难解析与知识点汇总
    本文详细解答了 PHP 编程中的常见问题,并提供了丰富的代码示例和解决方案,帮助开发者更好地理解和应用 PHP 知识。 ... [详细]
  • 优化ListView性能
    本文深入探讨了如何通过多种技术手段优化ListView的性能,包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]
  • 网络攻防实战:从HTTP到HTTPS的演变
    本文通过一系列日记记录了从发现漏洞到逐步加强安全措施的过程,探讨了如何应对网络攻击并最终实现全面的安全防护。 ... [详细]
  • 360SRC安全应急响应:从漏洞提交到修复的全过程
    本文详细介绍了360SRC平台处理一起关键安全事件的过程,涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例,展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]
  • 优化使用Apache + Memcached-Session-Manager + Tomcat集群方案
    本文探讨了使用Apache、Memcached-Session-Manager和Tomcat集群构建高性能Web应用过程中遇到的问题及解决方案。通过重新设计物理架构,解决了单虚拟机环境无法真实模拟分布式环境的问题,并详细记录了性能测试结果。 ... [详细]
  • 分布式系统的发展历程及优化策略
    本文探讨了分布式系统从萌芽到成熟过程中遇到的问题及其解决方案,包括服务与数据库的分离、缓存技术的应用、服务集群的构建、数据库读写分离、反向代理与CDN加速技术、分布式文件系统与数据库的引入、NoSQL与搜索引擎的应用、业务与服务的拆分以及大数据技术、监控与日志分析系统的实施。 ... [详细]
  • 构建高性能Feed流系统的设计指南
    随着移动互联网的发展,Feed流系统成为了众多社交应用的核心组成部分。本文将深入探讨如何设计一个高效、稳定的Feed流系统,涵盖从基础架构到高级特性的各个方面。 ... [详细]
  • Redis:缓存与内存数据库详解
    本文介绍了数据库的基本分类,重点探讨了关系型与非关系型数据库的区别,并详细解析了Redis作为非关系型数据库的特点、工作模式、优点及持久化机制。 ... [详细]
  • Python 数据可视化实战指南
    本文详细介绍如何使用 Python 进行数据可视化,涵盖从环境搭建到具体实例的全过程。 ... [详细]
  • 在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧
    在 CentOS 7 环境中安装和配置 Redis 时,需要注意一些关键步骤和最佳实践。本文详细介绍了从安装 Redis 到配置其基本参数的全过程,并提供了使用 Redis Desktop Manager 连接 Redis 服务器的技巧和注意事项。此外,还探讨了如何优化性能和确保数据安全,帮助用户在生产环境中高效地管理和使用 Redis。 ... [详细]
  • 本文详细介绍了IBM DB2数据库在大型应用系统中的应用,强调其卓越的可扩展性和多环境支持能力。文章深入分析了DB2在数据利用性、完整性、安全性和恢复性方面的优势,并提供了优化建议以提升其在不同规模应用程序中的表现。 ... [详细]
  • 本文将介绍如何编写一些有趣的VBScript脚本,这些脚本可以在朋友之间进行无害的恶作剧。通过简单的代码示例,帮助您了解VBScript的基本语法和功能。 ... [详细]
author-avatar
行者师兄2502861743
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有