2亿简历遭泄漏，到底谁的锅？

　　前面刚有 AWS 开战 MongoDB，双方“隔空互呛”，这厢又曝出 2 亿+简历信息泄露——MongoDB
的这场开年似乎“充实”得过分了些。长期以来，作为“最受欢迎的 NoSQL 数据库”，MongoDB
的安全问题一直备受关注，而近年来的它也确乎多次在安全事件报道中以“负面”形象露面，究其缘何屡屡被狙，又孰是孰非?

　　超 2 亿中国求职者简历曝光，MongoDB 又被狙!

　　MongoDB：什么情况，这次又关我什么事?

　　近日，Hacken 网络风险研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的数据流时，偶然发现了一个公开且未受保护的
MongoDB 数据库实例。

　　Shodan 搜索结果中也出现了相同的 IP

　　据悉，整个实例包含 854 GB 数据，整体处于“无人看管”的状态，无需密码/登录身份验证即可查看并访问超 2
亿份内容极为详尽的中国求职者简历。其中共涉 202,730,434
条记录，不仅含有个人技能和工作经历，还包括电话号码、电邮地址、婚烟状况、子女状况、政治面貌、身高体重、文化水平、薪资期望等私人信息内容，且信息来源难以追踪。

　　随后，在一位 Twitter 粉丝的帮助下，Bob Diachenko 终于将数据来源锁定在一个已被删除的 GitHub
存储库上(页面不再可用但仍保存在 Google 缓存中)，其中包含的 Web 应用程序源代码具有与泄露信息中结构模式完全相同的数据。

　　该仓库包含了来自中国不同分类广告网站的数据，如 58 同城，但尚不清楚究竟是官方操作还是属于非法收集。名为“data-import”(3
年前创建)的工具似乎就是为了从不同的中文分类广告中删除数据(简历)而创建的。对此，58 同城安全团队回应称该此次数据来自第三方应用泄露。

　　虽然 Bob Diachenko 在 Twitter 上发布事件通知后不久，该数据库就已经得到了保护，但据访问日志显示，在下线前它曾被几十个 IP
访问过。

　　MongoDB 的漫漫「背锅」史?

　　MongoDB 数据库又双叒叕被***了……郑州不孕不育医院:http://www.zzfkyy120.com/

　　这似乎是一句颇眼熟的“台词”，从 2016 年底开始，MongoDB 在安全方面就很不太平。

　　先是 2016 年 12 月曝出的“MongoDB 启示录”事件引发热议——GDI Foundation 安全研究人员 Victor Gevers
的一条推文将 MongoDB 勒索事件送入公众视野。多方***开始***无须身份验证的开放式 MongoDB
数据库实例，并加密攻破的数据库内容，继而借此索取赎金，金额为 0.15 到 1 个比特币不等。事件自始发日起不断升级，至少 5
个不同的***组织参与其中，所涉数据库实例上万。究其原因，主要是由于部分用户将自己的数据库摆上公网，并且未设账户密码。对此，MongoDB
官方团队曾作出回应，称“MongoDB 数据库本身是具有企业级安全性的，受***的 MongoDB 实例大多是因为未遵照生产环境部署手册进行部署”。

　　翻译一下大概就是，你把数据库放在公网“裸奔”，还要来怪我……

　　2017 年 9 月，三个***团伙劫持了 2.6 万余台 MongoDB 数据库服务器，其中规模最大的一组超过 22000
台，安全专家分析表明这一波仍属于此前事件的辐射延续。

　　再到此次的简历信息泄露，亦不乏评论为 MongoDB “喊冤”：

　　房主自己不锁门被偷了就怪锁有安全问题，这种逻辑也是怪了……

　　这其实并不是 MongoDB 的问题吧，是运维的锅……

　　MongoDB 又成背锅侠了，运维进来挨打!

　　所以 MongoDB 这波真的冤枉吗?