2亿简历遭泄漏,到底谁的锅?
作者 | 仲培艺
转载自CSDN(ID:CSDNnews)
前面刚有 AWS 开战 MongoDB,双方“隔空互呛”,这厢又曝出 2 亿+简历信息泄露——MongoDB 的这场开年似乎“充实”得过分了些。长期以来,作为“最受欢迎的 NoSQL 数据库”,MongoDB 的安全问题一直备受关注,而近年来的它也确乎多次在安全事件报道中以“负面”形象露面,究其缘何屡屡被狙,又孰是孰非?
超 2 亿中国求职者简历曝光,MongoDB 又被狙!
MongoDB:什么情况,这次又关我什么事?
近日,Hacken 网络风险研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的数据流时,偶然发现了一个公开且未受保护的 MongoDB 数据库实例。
Shodan 搜索结果中也出现了相同的 IP
据悉,整个实例包含 854 GB 数据,整体处于“无人看管”的状态,无需密码/登录身份验证即可查看并访问超 2 亿份内容极为详尽的中国求职者简历。其中共涉 202,730,434 条记录,不仅含有个人技能和工作经历,还包括电话号码、电邮地址、婚烟状况、子女状况、政治面貌、身高体重、文化水平、薪资期望等私人信息内容,且信息来源难以追踪。
随后,在一位 Twitter 粉丝的帮助下,Bob Diachenko 终于将数据来源锁定在一个已被删除的 GitHub 存储库上(页面不再可用但仍保存在 Google 缓存中),其中包含的 Web 应用程序源代码具有与泄露信息中结构模式完全相同的数据。
该仓库包含了来自中国不同分类广告网站的数据,如 58 同城,但尚不清楚究竟是官方操作还是属于非法收集。名为“data-import”(3 年前创建)的工具似乎就是为了从不同的中文分类广告中删除数据(简历)而创建的。对此,58 同城安全团队回应称该此次数据来自第三方应用泄露。
虽然 Bob Diachenko 在 Twitter 上发布事件通知后不久,该数据库就已经得到了保护,但据访问日志显示,在下线前它曾被几十个 IP 访问过。
MongoDB 的漫漫「背锅」史?
MongoDB 数据库又双叒叕被攻击了……
这似乎是一句颇眼熟的“台词”,从 2016 年底开始,MongoDB 在安全方面就很不太平。
先是 2016 年 12 月曝出的“MongoDB 启示录”事件引发热议——GDI Foundation 安全研究人员 Victor Gevers 的一条推文将 MongoDB 勒索事件送入公众视野。多方黑客开始攻击无须身份验证的开放式 MongoDB 数据库实例,并加密攻破的数据库内容,继而借此索取赎金,金额为 0.15 到 1 个比特币不等。事件自始发日起不断升级,至少 5 个不同的黑客组织参与其中,所涉数据库实例上万。究其原因,主要是由于部分用户将自己的数据库摆上公网,并且未设账户密码。对此,MongoDB 官方团队曾作出回应,称“MongoDB 数据库本身是具有企业级安全性的,受攻击的 MongoDB 实例大多是因为未遵照生产环境部署手册进行部署”。
翻译一下大概就是,你把数据库放在公网“裸奔”,还要来怪我……
2017 年 9 月,三个黑客团伙劫持了 2.6 万余台 MongoDB 数据库服务器,其中规模最大的一组超过 22000 台,安全专家分析表明这一波仍属于此前事件的辐射延续。
再到此次的简历信息泄露,亦不乏评论为 MongoDB “喊冤”:
房主自己不锁门被偷了就怪锁有安全问题,这种逻辑也是怪了……
这其实并不是 MongoDB 的问题吧,是运维的锅……
MongoDB 又成背锅侠了,运维进来挨打!
所以 MongoDB 这波真的冤枉吗?
祸起「爬虫」
关于这个问题,CSDN(ID:CSDNnews)特别请到 Mongoing 中文社区联合发起人唐建法进行了分析,在谈及此次事件的起因时,他直言:
这和过去发生的一起美国婚恋网站信息泄露事件类似,所涉其实也都是公开信息。究其根源,基本上就是一个程序猿写了个脚本,把数据从 58 同城网站上爬了下来——爬虫程序猿很喜欢用 Mongo,因为灵活方便。而这类程序猿却又往往缺乏安全意识,连最基本的密码都没有设置,甚至还将数据放在云里公网上!
同时,他还站在官方立场为 MongoDB “正名”:
实际上 Mongo 有很完善的安全机制,许多金融机构如汇丰银行、中行 和太平洋保险等都在大规模使用,MongoDB 企业版更是具备非常完备的企业级安全手段。Mongo 官网或社区都有相应的文章告诉大家如何加固自己的 Mongo 安装:http://mongoing.com/archives/631。
参考链接:
https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed/
(*本文仅代表作者观点,转载请联系原作者)
公开课预告
◆
全双工语音
◆
本期课程中,微软小冰全球首席架构师及研发总监周力博士将介绍微软小冰在全双工语音对话方面的最新成果,及其在智能硬件上的应用和未来将面临的更多技术产品挑战。
推荐阅读
放弃幻想,全面拥抱Transformer:NLP三大特征抽取器(CNN/RNN/TF)比较
维基百科联手谷歌翻译,结果“惨不忍睹”!
ETC遭受51%算力攻击,压垮PoW的最后一根稻草
对不起,我就是喜欢问你Spring构造器注入原理
找工作时单位普遍要求 35 岁以下,那 35 岁以上的人都干嘛去了?
MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?
平均9分!这些课程Google程序员也在追!
你的邮箱信息是否泄露?还不赶紧查一下!
20行Python代码给微信头像戴帽子
相关文章:
Could not apply the stored configuration for monitors 解决办法
Could not apply the stored configuration for monitors 解决办法: $ sudo rm -rf ~/.config/monitors.xml 重启电脑即可 本文转自linux博客51CTO博客,原文链接http://blog.51cto.com/yangzhiming/1225802如需转载请自行联系原作者 yangzhimingg
20行Python代码给微信头像戴帽子
作者 | Leauky,北理工硕士在读,非CS专业的Python爱好者。朋友圈里微信官方要求戴圣诞帽的活动曾经火爆一时,有些会玩的小伙伴都悄咪咪地用美图秀秀一类的 app 给自己头像 p 一顶,然后可高兴地表示“哎呀好神奇hhhh”,呆…
2012关于钱的Tips
对于目前的我来说,死工资是唯一的财富积累手段,而且工资本身还不足够满足所有的物质和精神需求。以此为前提,对钱的来龙去脉有一个了解、把控是极其有必要的。 2011钱的规划基本为零,一年下来惊恐的发现,似乎自己没攒多…
在 Azure 中管理 Windows 虚拟机的可用性
了解如何设置和管理多个虚拟机,以确保 Azure 中 Windows 应用程序的高可用性。 也可以管理 Linux 虚拟机的可用性。 Note Azure 具有用于创建和处理资源的两个不同的部署模型:Resource Manager 和经典。 这篇文章介绍了如何使用这两种模型,但…
[日记]一个人去散步
森林里面的寂静会让每一个人都有所进步。 ——罗伯特M波西格 《禅与摩托车维修艺术》 北陵公园下午5点之后免收门票,我就在这个时间去那里散步。 说起来,我家离北陵西门走路才10几分钟的路程,可是我…
2019年人工智能行业又进入冬天了吗?
【AI科技大本营导语】过去几年,以深度学习为代表的人工智能技术取得了前所未有的高速发展,公司高薪聘请相关领域研究人员,组建人工智能研究团队,相信人工智能带来的巨大商业价值。然而,从近一年的发展态势来讲…
Vue.js slots: 为什么你需要它们?
也许你已经看过了Vue.js slots的文档。我对这个功能从“为什么你可能需要它”到“没有它我怎么可能工作”的态度转变非常快。虽然文档已经解释了它的概念,但是这里有一个关于slots怎么改进应用程序代码库的真实例子。在我看来,slots是vue最有用和最有趣的…
apache httpd server安装的一个问题
问题1: 启动bin/apachectl start的时候: 发现报错:httpd: bad user name daemon 解决方法: groupadd daemon useradd -g daemon daemon 若没有配置合适PATH常量,则可以找 /usr/sbin/groupadd,…
telnet 如何退出
ctrl],然后再输入q就可以退出了。转载于:https://www.cnblogs.com/rethink/archive/2009/10/29/1591898.html
TensorFlow 2.0新特性解读,Keras API成核心
来源 | Google TensorFlow 团队2018 年 11 月,TensorFlow 迎来了它的 3 岁生日,我们回顾了几年来它增加的功能,进而对另一个重要里程碑 TensorFlow 2.0 感到兴奋 !TensorFlow 2.0 将专注于 简单性 和 易用性,具有以下更…
列选主元guass消去法
200701020110 07计算机 王再#include <iostream.h>#include <iomanip.h>#include <stdlib.h>void main(){ int flag1;input(); //输入方程 while(flag){ print_menu(); //打印主菜单}void print_menu(){ system("cls");cout<…
Mac 下 IDEA 启动慢的问题
转自: http://blog.csdn.net/KingBoyWorld/article/details/73440717 从控制台来看,每次都会连接本地地址(127.0.0.1),问题可能就出在这里。 修改本地/etc/hosts文件,添加以下内容: 127.0.0.1 localhost <hostname&g…
研发投入超876亿的华为,将如何进击云+AI?
人工智能作为下一轮科技革命的关键元素,正在进入越来越多的行业,用 AI 的技术和理念去解决现在和未来的问题,将是企业构建竞争力的关键。在去年 10 月召开的华为全联接大会上,华为轮值董事长徐直军详细阐述了华为的 AI 战略&#…
Bash脚本: 根据关键字做替换
根据某个文件的关键字做替换 #!/bin/bashkvawk -F "" { if(NF2) print $1""$2 } ./zuanshi_servic_test.propertiesfor kv in ${kv[]};dokecho $kv | awk -F "" {print $1}vecho $kv | awk -F "" {print $2} | awk -F "\r" …
Git学习系列之一些常用的Git命令收录更新ing
不多说,直接上干货! 前言 对于Git工具,有必要整理和总结一些常用实用的命令。 http://p.primeton.com/articles/53cce3a3e138236138000026 https://www.zhihu.com/question/22932048 http://blog.csdn.net/w410589502/article/details/536063…
普通域账号客户端计算无关机选项
组策略-》计算机配置-》安全设置-》本地策略-》用户权限分配-》关闭系统把DOMIAN USERS 组加进去我是在Default Domain Policy 里面加的转载于:https://blog.51cto.com/zhangjunjie/219613
罗永浩“咬定”微信不放松
作者 | 胡巍巍来源 | CSDN(CSDNnews)昨天,1月15日,听起来是很普通的一天。但是,历史上的这一天——公元8年1月15日,是王莽建立新朝、西汉结束的日子。2011年后的这一天,有一个八岁的国民社交软件…
Windows Ruby使用Mysql环境配置
windows下Ruby使用mysql时候报错: Incorrect MySQL client library version! This gem was compile d for 6.0.0 but the client library is 5.1.45 经过查找找到了解决方案: 1. 下载mysql-connector-c-noinstall-6.0.2-win32.zip http://dev.mysql.c…
Node.js与Sails~方法拦截器policies
policies sails的方法拦截器类似于.net mvc里的Filter,即它可以作用在controller的action上,在服务器响应指定action之前,对这个action进行拦截,先执行policies的策略,当条件通过,会next()它,继…
MySQL性能与磁盘读写的关系及优化策略
作者:kider出处:MySQLpub.com转贴请表明作者和出处并不能用于商业目的。这些天,对一个场地服务器慢的情况,进行了监控跟踪,也得出一些好的结论。现在记录一些过程,列出可以供参考的部分,同时有一…
今晚8点直播 | 详解微软小冰全双工语音对话技术
微软小冰第六代发布会上正式宣布上线全新的共感模型,同时也开始公测一种融合了文本、全双工语音与实时视觉的新感官。这项新技术可以实时预测人类即将说出的内容,实时生成回应,并控制对话节奏,从而使长程语音交互成为可能。而采用…
httpd.2.4虚拟主机配置测试
测试目标:三个虚拟主机,要求如下vhost1: phpMyAdmin, 同时提供https服务;vhost2: wordpress配置过程:一、配置vhost11、首先配置vhost1,先搭建私有CA在172.16.20.242上搭建私有CA: (1) 创建私钥…
视频批量转换为FLV的软件开发总结(1)——思想总结篇
视频批量转换为FLV的工作中,完全是因为项目中用到流媒体服务器管理发布视频。原始的数据可能是.mpg、.avi等格式的,这就需要大量的转换工作量,批量转换工具的需求很明显了。 原始准备使用外面的专门的视频转换软件Total Video Converter&…
https简单配置
SSL会话过程(1)客户端发送可供选择的加密方式,并向服务器请求证书(2)服务器端发送证书以及选定的加密方式给客户端(3)客户端取得证书并进行证书验证;如果新人给其发证书的CA…
突破电信3G宽带对网页浏览的上网限制
从上周开始用我189的手机卡插入到我的无线上网卡中就不能正常打开网页了,其它的IM(如QQ、旺旺等)都正常。ping www.sina.com.cn这些网址也是很正常的。foxmail收邮件也很正常。本来还想可能是网络比较忙或者其它的什么原因,但跟踪…
ClassLoader知识收集
阅读提示:全文认真阅读大约需要1个半小时时间,如果你需要在IDE中验证并理解,大约需要3个小时,如果你想自己写个类似的类加载器并调试,估计还需要3个小时。该知识点的掌握检测与否,你可以尝试其回答Java每日…
Linux下PS1设置
在测试机上每次执行命令总要用sudo -u ads开头,比较麻烦。索性用: sudo su ads 就可以直接用ads用户名进行操作了。 但是用这种方式之后,命令的前缀就变成了"bash-3.2$ ",相当不习惯,经过网上搜索࿰…
Android API 中文 (51) —— ZoomButtonsController
一、结构 public class ZoomButtonsController extends View implements View.OnTouchListener java.lang.Object android.widget.ZoomButtonsController 二、概述 ZoomButtonsController处理缩放控件的显示和隐藏并且定位其在相关父视图的位置。他也可以做为缩放控件的…
火爆GitHub的《机器学习100天》,有人把它翻译成了中文版
作者 | 红色石头转载自AI有道(ID:redstonewill)今天给大家介绍一个在 GitHub 上非常火的机器学习实战项目,叫做 100-Days-Of-ML-Code,中文名为《机器学习 100 天》。目前该项目已经收获了 1.7w stars 了。下面是项目地址ÿ…
新浪程序员加班改bug,竟错失77万年会大奖
作者 | 伍杏玲转载自CSDN(CSDNnews)好消息!还有不到二十天就放大假!大伙盼着过年盼着年会盼着抽中大奖!昨天有一位新浪码农真的抽中头等奖了——2000 股新浪股票,价值 77 万人民币啊!然并卵&…