3月10日，研究人员Jain利用Shodan搜索引擎发现 包含中国用户的个人资料的57GB Elasticsearch数据库信息在网上暴漏，这些信息来自上传到招聘网站中的简历内容，由于Jain无法确定谁拥有该数据库，于3月11日向中国网络应急响应团队CNCERT寻求帮助。 他同时在当天收到回复，数据库已经被关闭访问。

什么是Shodan？

百度百科给了以下解释：

Shodan 是互联网上最可怕的搜索引擎。与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan 可以说是一款“黑暗”谷歌，一刻不停的在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等。每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。Shodan真正值得注意的能力就是能找到几乎所有和互联网相关联的东西。而Shodan真正的可怕之处就是这些设备几乎都没有安装安全防御措施，其可以随意进入。

工作和薪资信息在线公开

包含中国用户的个人资料的57GB Elasticsearch数据库信息在网上暴漏，这些信息来自上传到招聘网站中的简历内容。

暴露的数据包括求职者的姓名，性别，年龄，当前城市，家庭住址，电子邮件地址，电话号码，婚姻状况，工作经历，教育历史和工资历史。 数据库示例如下所示。

在2019年3月10日发现数据库之后，研究员Jain称，他试图确定谁负责管理该数据库，以便他可以警告他们并帮助保护它。虽然他无法确定谁拥有数据库，但他确实看到了多家中国招聘公司，如51Jobs，lagou和Zhilian。

“在初步调查期间，我发现51Jobs，lagou和Zhilian招聘公司的客户档案都存储在数据库中。我猜测应该第三方正在汇总这些公司的数据并在某个地方适用它们”

由于数据库中提供了大量信息，有权访问它的人可以将其用于鱼叉式网络钓鱼尝试，身份盗窃，数据分析，甚至从其他公司招聘员工的数据，了解他们的薪水和就业情况。

数据库安全

最终，Jain无法确定谁拥有该数据库，并于3月11日向中国网络应急响应团队CNCERT寻求帮助。 他同时在当天收到回复，并被告知CNCERT已将IP地址的所有者识别为“北京机到网络科技有限公司”并且他们正在联系他们使数据库关闭。

在2019年3月13日，Jain收到消息称该数据库已经关闭，研究人员也证实了这一点。

目前仍然不知道谁在使用这些数据，但很明显它没有得到妥善保护。 对于那些运营在线数据库的人来说，Jain建议使用IP过滤，密码甚至VPN来确保数据不能在互联网上公开访问。

稿源：https://www.bleepingcomputer.com/news/security/unsecured-database-exposed-33-million-job-profiles-in-china/

原文链接：http://toutiao.secjia.com/article/page?topid=111281