前面剛有 AWS 開戰 MongoDB,雙方“隔空互嗆”,這廂又曝出 2 億+簡歷信息泄露——MongoDB 的這場開年似乎“充實”得過分了些。長期以來,作爲“最受歡迎的 NoSQL 數據庫”,MongoDB 的安全問題一直備受關注,而近年來的它也確乎多次在安全事件報道中以“負面”形象露面,究其緣何屢屢被狙,又孰是孰非?
超 2 億中國求職者簡歷曝光,MongoDB 又被狙!
MongoDB:什麼情況,這次又關我什麼事?
近日,Hacken 網絡風險研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的數據流時,偶然發現了一個公開且未受保護的 MongoDB 數據庫實例。
Shodan 搜索結果中也出現了相同的 IP
據悉,整個實例包含 854 GB 數據,整體處於“無人看管”的狀態,無需密碼/登錄身份驗證即可查看並訪問超 2 億份內容極爲詳盡的中國求職者簡歷。其中共涉 202,730,434 條記錄,不僅含有個人技能和工作經歷,還包括電話號碼、電郵地址、婚煙狀況、子女狀況、政治面貌、身高體重、文化水平、薪資期望等私人信息內容,且信息來源難以追蹤。
隨後,在一位 Twitter 粉絲的幫助下,Bob Diachenko 終於將數據來源鎖定在一個已被刪除的 GitHub 存儲庫上(頁面不再可用但仍保存在 Google 緩存中),其中包含的 Web 應用程序源代碼具有與泄露信息中結構模式完全相同的數據。
該倉庫包含了來自中國不同分類廣告網站的數據,如 58 同城,但尚不清楚究竟是官方操作還是屬於非法收集。名爲“data-import”(3 年前創建)的工具似乎就是爲了從不同的中文分類廣告中刪除數據(簡歷)而創建的。對此,58 同城安全團隊迴應稱該此次數據來自第三方應用泄露。
雖然 Bob Diachenko 在 Twitter 上發佈事件通知後不久,該數據庫就已經得到了保護,但據訪問日誌顯示,在下線前它曾被幾十個 IP 訪問過。
MongoDB 的漫漫「背鍋」史?
MongoDB 數據庫又雙叒叕被***了……鄭州不孕不育醫院:http://www.zzfkyy120.com/
這似乎是一句頗眼熟的“臺詞”,從 2016 年底開始,MongoDB 在安全方面就很不太平。
先是 2016 年 12 月曝出的“MongoDB 啓示錄”事件引發熱議——GDI Foundation 安全研究人員 Victor Gevers 的一條推文將 MongoDB 勒索事件送入公衆視野。多方***開始***無須身份驗證的開放式 MongoDB 數據庫實例,並加密攻破的數據庫內容,繼而藉此索取贖金,金額爲 0.15 到 1 個比特幣不等。事件自始發日起不斷升級,至少 5 個不同的***組織參與其中,所涉數據庫實例上萬。究其原因,主要是由於部分用戶將自己的數據庫擺上公網,並且未設賬戶密碼。對此,MongoDB 官方團隊曾作出迴應,稱“MongoDB 數據庫本身是具有企業級安全性的,受***的 MongoDB 實例大多是因爲未遵照生產環境部署手冊進行部署”。
翻譯一下大概就是,你把數據庫放在公網“裸奔”,還要來怪我……
2017 年 9 月,三個***團伙劫持了 2.6 萬餘臺 MongoDB 數據庫服務器,其中規模最大的一組超過 22000 臺,安全專家分析表明這一波仍屬於此前事件的輻射延續。
再到此次的簡歷信息泄露,亦不乏評論爲 MongoDB “喊冤”:
房主自己不鎖門被偷了就怪鎖有安全問題,這種邏輯也是怪了……
這其實並不是 MongoDB 的問題吧,是運維的鍋……
MongoDB 又成背鍋俠了,運維進來捱打!
所以 MongoDB 這波真的冤枉嗎?