Pesquisador de segurança cibernética descobriu on-line um banco de dados enorme contendo registros de mais de 202 milhões de cidadãos chineses que permaneceram acessíveis a qualquer pessoa na Internet sem autenticação até a semana passada.

Os 854,8 gigabytes desprotegidos do banco de dados foram armazenados em uma instância do MongoDB, um banco de dados orientado a documentos de alta performance e plataforma cruzada NoSQL, hospedado por uma empresa de hospedagem de servidor americana

No total, o banco de dados continha 202.730.434 registros sobre candidatos a emprego da China, incluindo informações pessoais dos candidatos, como nome completo, data de nascimento, número de telefone, endereço de e-mail, status de casamento e informações sobre carteira de motorista, além de experiência profissional e trabalho. expectativas.

Bob Diachenko, diretor de pesquisa de risco cibernético da Hacken.io e da HackenProof, descobriu a existência de um banco de dados há duas semanas, que foi garantido logo após sua notificação no Twitter.

vazamento de banco de dados mongodb

No entanto, vale a pena notar que “o registro do MongoDB mostrou pelo menos uma dúzia de IPs que podem ter acessado os dados antes de serem colocados offline”, disse Diachenko.

Embora a fonte dos dados ainda seja desconhecida, Diachenko acredita que alguém poderia ter usado uma ferramenta antiga de coleta de currículos chamada “data-import” para coletar todos os currículos desses candidatos de diferentes sites de classificados chineses, como o bj.58.com.

Diachenko acredita que sim, porque o formato do banco de dados vazado corresponde exatamente à maneira como as ferramentas de raspagem coletam informações coletadas

Diachenko também se comunicou com a equipe do BJ.58.com, que então lhe disse que os dados vazados não eram originários de seu site, mas sugeriu que poderia ter vazado de um terceiro que coleta dados de muitos sites de CV.

“Pesquisamos em todo o nosso banco de dados e investigamos todos os outros armazenamentos, descobrimos que os dados da amostra não vazaram de nós”, disse BJ.58.com a Diachenko.

Esta não é a primeira vez que as instâncias do MongoDB são encontradas expostas à Internet. Nos últimos anos, publicamos vários relatórios semelhantes nos quais servidores MongoDB desprotegidos expuseram bilhões de registros.

 

Fonte: The Hacker News

Autor: Wang Wei