MongoDB 背锅58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

Posted CSDN

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MongoDB 背锅58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?相关的知识,希望对你有一定的参考价值。

MongoDB 的这个新年,有点不快乐……

MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

前面刚有 ,双方“隔空互呛”,这厢又曝出 2 亿+简历信息泄露——MongoDB 的这场开年似乎“充实”得过分了些。长期以来,作为“最受欢迎的 NoSQL 数据库”,MongoDB 的安全问题一直备受关注,而近年来的它也确乎多次安全事件报道中以“负面”形象露面,究其缘何屡屡被狙,又孰是孰非?


MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

超 2 亿中国求职者简历曝光,MongoDB 又被狙!


MongoDB:什么情况,这次又关我什么事?

MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

近日,Hacken 网络风险研究主管 Bob Diachenko 在分析 BinaryEdge 搜索引擎的数据流时,偶然发现了一个公开且未受保护的 MongoDB 数据库实例。

MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

Shodan 搜索结果中也出现了相同的 IP

MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

随后,在一位 Twitter 粉丝的帮助下,Bob Diachenko 终于将数据来源锁定在一个已被删除的 GitHub 存储库上(页面不再可用但仍保存在 Google 缓存中),其中包含的 Web 应用程序源代码具有与泄露信息中结构模式完全相同的数据。

MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

该仓库包含了来自中国不同分类广告网站的数据,如 58 同城,但尚不清楚究竟是官方操作还是属于非法收集。名为“data-import”(3 年前创建)的工具似乎就是为了从不同的中文分类广告中删除数据(简历)而创建的。对此,58 同城安全团队回应称该此次数据来自第三方应用泄露。

MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

虽然 Bob Diachenko 在 Twitter 上发布事件通知后不久,该数据库就已经得到了保护,但据访问日志显示,在下线前它曾被几十个 IP 访问过。 


MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

MongoDB 的漫漫「背锅」史?


MongoDB 数据库又双叒叕被攻击了……

这似乎是一句颇眼熟的“台词”,从 2016 年底开始,MongoDB 在安全方面就很不太平。

先是 2016 年 12 月曝出的“MongoDB 启示录”事件引发热议——GDI Foundation 安全研究人员 Victor Gevers 的一条推文将 MongoDB 勒索事件送入公众视野。多方黑客开始攻击无须身份验证的开放式 MongoDB 数据库实例,并加密攻破的数据库内容,继而借此索取赎金,金额为 0.15 到 1 个比特币不等。事件自始发日起不断升级,至少 5 个不同的黑客组织参与其中,所涉数据库实例上万。究其原因,主要是由于部分用户将自己的数据库摆上公网,并且未设账户密码。对此,MongoDB 官方团队曾作出回应,称“MongoDB 数据库本身是具有企业级安全性的,受攻击的 MongoDB 实例大多是因为未遵照生产环境部署手册进行部署”。

翻译一下大概就是,你把数据库放在公网“裸奔”,还要来怪我……

2017 年 9 月,三个黑客团伙劫持了 2.6 万余台 MongoDB 数据库服务器,其中规模最大的一组超过 22000 台,安全专家分析表明这一波仍属于此前事件的辐射延续。

再到此次的简历信息泄露,亦不乏评论为 MongoDB “喊冤”:

房主自己不锁门被偷了就怪锁有安全问题,这种逻辑也是怪了……

这其实并不是 MongoDB 的问题吧,是运维的锅……

MongoDB 又成背锅侠了,运维进来挨打!

所以 MongoDB 这波真的冤枉吗?


MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

祸起「爬虫


关于这个问题,CSDN(ID:CSDNnews)特别请到 Mongoing 中文社区联合发起人唐建法进行了分析,在谈及此次事件的起因时,他直言:

这和过去发生的一起美国婚恋网站信息泄露事件类似,所涉其实也都是公开信息。究其根源,基本上就是一个程序猿写了个脚本,把数据从 58 同城网站上爬了下来——爬虫程序猿很喜欢用 Mongo,因为灵活方便。而这类程序猿却又往往缺乏安全意识,连最基本的密码都没有设置,甚至还将数据放在云里公网上!

同时,他还站在官方立场为 MongoDB “正名”:

实际上 Mongo 有很完善的安全机制,许多金融机构如汇丰银行、中行 和太平洋保险等都在大规模使用,MongoDB 企业版更是具备非常完备的企业级安全手段。Mongo 官网或社区都有相应的文章告诉大家如何加固自己的 Mongo 安装:http://mongoing.com/archives/631。

参考链接:

https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed/

【完】



MongoDB 背锅、58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?

 热 文 推 荐 

 

 

 

 

 

 

print_r('点个好看吧!');
var_dump('点个好看吧!');
NSLog(@"点个好看吧!");
System.out.println("点个好看吧!");
console.log("点个好看吧!");
print("点个好看吧!");
printf("点个好看吧!\n");
cout << "点个好看吧!" << endl;
Console.WriteLine("点个好看吧!");
fmt.Println("点个好看吧!");
Response.Write("点个好看吧!");
alert("点个好看吧!")
echo "点个好看吧!"

点击“阅读原文”,打开 CSDN App 阅读更贴心!

喜欢就点击“好看”吧

以上是关于MongoDB 背锅58 同城中枪,2 亿简历遭泄露竟祸起程序员爬虫?的主要内容,如果未能解决你的问题,请参考以下文章

陈春雷58同城简历采集,真实手机号联系方式获取

MongoDB裸奔!2亿国人求职简历惨遭泄露

854GB!未受保护的MongoDB泄露2.02亿中国求职者简历

2亿国人求职简历惨遭曝光,MongoDB裸奔!微软上线新平台Try .NET;腾讯将在三亚设立区域总部;Ember.js 3.7

面试现场亲身经历,直击58同城一面,面经分享

58同城高级系统架构师带你实战MongoDB集群分布式存储