北京时间4月8日上午,据美国科技媒体ZDNet报道,研究人员发现,今年前三个月,中国企业发生多起简历信息泄露事件,涉及5.9亿份简历。大多数简历泄露主要是因为MongoDB和ElasticSearch服务器安全措施不到位、无需密码就可以在线查看信息,或者是由于防火墙错误。
过去几个月,尤其是最近几周,ZDNet不断收到有关中国人力资源公司的部分服务器信息泄露的消息。发现信息泄露的安全研究员名叫Sanyam Jain。仅在过去的一个月里,Jane 就发现并报告了7 处泄漏,其中4 处已修复。
例如,3月10日,Jane发现ElasticSearch不安全,包含3300万中国用户的简历。他向国家计算机应急处理中心(CNCERT)报告了该问题,四天后数据库修正了该问题。
3月13日,简恩发现ElasticSearch不安全,里面存储了8480万份简历。在CNCERT的帮助下,问题也得到解决。
3 月15 日,Jane 发现了另一台有问题的ElasticSearch 服务器,该服务器存储了9300 万份简历。简恩说:“数据库意外离线,我向CNCERT报告了,但还没有收到回复。”
第四台服务器存储来自中国公司的简历数据。里面有900万份简历。服务器也来自ElasticSearch。
还有第五个泄露点,就是一个ElasticSearch服务器集群,里面存储了超过1.29亿份简历。 Jane 无法确认所有者,数据库仍处于打开状态。
简还发现了另外两起泄漏事件,尽管规模较小。一台ElasticSearch 服务器存储180,000 份简历,一台存储17,000 份简历。
简单统计,近三个月中国企业简历泄露量达5.90497万份。