一項(xiàng)新科技招聘項(xiàng)目從GitHub和其他類似站點(diǎn)爬取用戶數(shù)據(jù),因MongoDB數(shù)據(jù)庫的錯(cuò)誤配置,造成了不可避免的數(shù)據(jù)泄露。
澳大利亞安全專家特洛伊·亨特,“我被玩了嗎(Have I Been Pwned)”服務(wù)的創(chuàng)立者,最近公布了一份600MB的Mongo數(shù)據(jù)庫備份文件,包含從名為“極英(GeekedIn)”的科技招聘網(wǎng)站搜取的數(shù)據(jù)。進(jìn)一步的分析揭示,該文件包含有超過800萬GitHub用戶信息,包括姓名、電子郵箱、地址和其他數(shù)據(jù)。
不過,僅100萬被曝電子郵件地址是有效的,剩下的一般都是 “username@github.xyzp.wzf”之類的地址,且并未以公開電郵地址與GitHub綁定。該MongoDB數(shù)據(jù)庫還包含有數(shù)千個(gè)明顯是從BitBucket搜取的賬戶。
GeekedIn由其開發(fā)者在今年6月推出上線,是一個(gè)爬取GitHub和BitBucket之類代碼托管站點(diǎn)的服務(wù),為開源項(xiàng)目和開發(fā)者建立個(gè)人檔案。該服務(wù)的宗旨,是幫助招聘人員找到符合需求的開發(fā)者,以及幫助開發(fā)人員“豐富自己的簡歷”。
GeekedIn收獲的數(shù)據(jù)在GitHub上公開可得,并不包含任何敏感數(shù)據(jù),比如口令。
然而,盡管GitHub允許用戶從其網(wǎng)站上刮取公開數(shù)據(jù),卻禁止這些信息被用于商業(yè)目的。GeekedIn計(jì)劃要求招聘人員和公司每月支付數(shù)百歐元作為這些數(shù)據(jù)的使用費(fèi)。
第二個(gè)問題在于,這些數(shù)據(jù)是存放在MongoDB數(shù)據(jù)中的,而該數(shù)據(jù)庫并未被良好保護(hù),可被任何人讀取。此類事件越來越常見,因數(shù)據(jù)錯(cuò)誤配置,一些公司暴露了億萬個(gè)人的詳細(xì)信息。
作為數(shù)據(jù)泄露中的一員,我不希望自己的數(shù)據(jù)被以這種方式出售。在個(gè)人基礎(chǔ)上公開這些數(shù)據(jù)沒問題,但我從親密朋友獲悉的關(guān)于此事的看法都是‘這感覺不對’。首先,出于商業(yè)目的從GitHub上抓取信息就不對,更錯(cuò)誤的是之后還通過一個(gè)沒有口令的MongoDB數(shù)據(jù)庫把數(shù)據(jù)丟了,而現(xiàn)在更是任由這些數(shù)據(jù)飄蕩在數(shù)據(jù)泄露交易圈里。
在被亨特通告后,GeekedIn開發(fā)人員承諾采取措施保護(hù)數(shù)據(jù)。同時(shí),他們將網(wǎng)站下線了。
受此事影響的用戶可以使用“Have I Been Pwned”服務(wù)找出自己的信息到底有沒有被泄露。