Известный ИБ-специалист Боб Дьяченко (Bob Diachenko), главный исследователь киберугроз в компании Hacken Proof, нашел в сети незащищенную и свободно доступную установку MongoDB и 854 Гб данных: личную информацию 200 млн человек.
Суммарно обнаруженная БД насчитывала 202 730 434 записей и, судя по всему, хранила резюме миллионов китайских пользователей. В базе содержались имена, домашние адреса, телефонные номера, email-адреса, информация о семейном положении и детях, данных о политических взглядах, информация о полученном образовании, прошлых местах работы, желаемом размере оклада и так далее.
Так как найти владельцев БД эксперту не удалось, он опубликовал информацию о проблеме в Twitter и попросил сообщество помочь связаться с хозяевами «дырявой» базы. В ответ один из читателей прислал Дьяченко ссылку на репозиторий GitHub (в настоящее время уже удаленный), содержавший исходники веб-приложения. Это приложение было создано для поиска и агрегирования резюме с сайтов для поиска работы, и структуры данных очень походили на то, что обнаружил эксперт.
Дьяченко выяснил, что одним из основных источников для сбора резюме был популярный в Китае рекрутинговый портал bj.58.com. Исследователь даже связался с его разработчиками, и те подтвердили, что обнаруженные в БД данные были собраны скрапером, а не просто «утекли» на сторону.
Судя по всему, кампания, развернутая экспертом в Twitter, не осталась незамеченной владельцами уязвимой установки MongoDB. Спустя всего несколько дней проблемный сервер обезопасили, а с GitHub пропал репозиторий с исходными кодами скрапера.
Напомню, что это далеко не первый раз, когда Дьяченко обнаруживает подобные утечки. К примеру, в декабре 2018 года исследователь нашел другую незащищенную установку MongoDB, содержавшую данные 66 147 856 уникальных пользователей LinkedIn. Судя по всему, та база так же была составлена из публично доступных профилей.
Суммарно обнаруженная БД насчитывала 202 730 434 записей и, судя по всему, хранила резюме миллионов китайских пользователей. В базе содержались имена, домашние адреса, телефонные номера, email-адреса, информация о семейном положении и детях, данных о политических взглядах, информация о полученном образовании, прошлых местах работы, желаемом размере оклада и так далее.
Так как найти владельцев БД эксперту не удалось, он опубликовал информацию о проблеме в Twitter и попросил сообщество помочь связаться с хозяевами «дырявой» базы. В ответ один из читателей прислал Дьяченко ссылку на репозиторий GitHub (в настоящее время уже удаленный), содержавший исходники веб-приложения. Это приложение было создано для поиска и агрегирования резюме с сайтов для поиска работы, и структуры данных очень походили на то, что обнаружил эксперт.
Дьяченко выяснил, что одним из основных источников для сбора резюме был популярный в Китае рекрутинговый портал bj.58.com. Исследователь даже связался с его разработчиками, и те подтвердили, что обнаруженные в БД данные были собраны скрапером, а не просто «утекли» на сторону.
Судя по всему, кампания, развернутая экспертом в Twitter, не осталась незамеченной владельцами уязвимой установки MongoDB. Спустя всего несколько дней проблемный сервер обезопасили, а с GitHub пропал репозиторий с исходными кодами скрапера.
Напомню, что это далеко не первый раз, когда Дьяченко обнаруживает подобные утечки. К примеру, в декабре 2018 года исследователь нашел другую незащищенную установку MongoDB, содержавшую данные 66 147 856 уникальных пользователей LinkedIn. Судя по всему, та база так же была составлена из публично доступных профилей.
