招聘网站搜刮极客信息,800万GitHub资料被泄

作者:星期二, 十一月 22, 20160
分享:

一项新科技招聘项目从GitHub和其他类似站点爬取用户数据,因MongoDB数据库的错误配置,造成了不可避免的数据泄露。

澳大利亚安全专家特洛伊·亨特,“我被玩了吗(Have I Been Pwned)”服务的创立者,最近公布了一份600MB的Mongo数据库备份文件,包含从名为“极英(GeekedIn)”的科技招聘网站搜取的数据。进一步的分析揭示,该文件包含有超过800万GitHub用户信息,包括姓名、电子邮箱、地址和其他数据。

geekedin-mongodb

不过,仅100万被曝电子邮件地址是有效的,剩下的一般都是 “username@github.xyzp.wzf”之类的地址,且并未以公开电邮地址与GitHub绑定。该MongoDB数据库还包含有数千个明显是从BitBucket搜取的账户。

GeekedIn由其开发者在今年6月推出上线,是一个爬取GitHub和BitBucket之类代码托管站点的服务,为开源项目和开发者建立个人档案。该服务的宗旨,是帮助招聘人员找到符合需求的开发者,以及帮助开发人员“丰富自己的简历”。

GeekedIn收获的数据在GitHub上公开可得,并不包含任何敏感数据,比如口令。

然而,尽管GitHub允许用户从其网站上刮取公开数据,却禁止这些信息被用于商业目的。GeekedIn计划要求招聘人员和公司每月支付数百欧元作为这些数据的使用费。

第二个问题在于,这些数据是存放在MongoDB数据中的,而该数据库并未被良好保护,可被任何人读取。此类事件越来越常见,因数据错误配置,一些公司暴露了亿万个人的详细信息。

作为数据泄露中的一员,我不希望自己的数据被以这种方式出售。在个人基础上公开这些数据没问题,但我从亲密朋友获悉的关于此事的看法都是‘这感觉不对’。首先,出于商业目的从GitHub上抓取信息就不对,更错误的是之后还通过一个没有口令的MongoDB数据库把数据丢了,而现在更是任由这些数据飘荡在数据泄露交易圈里。

在被亨特通告后,GeekedIn开发人员承诺采取措施保护数据。同时,他们将网站下线了。

受此事影响的用户可以使用“Have I Been Pwned”服务找出自己的信息到底有没有被泄露。

 

分享:

相关文章

写一条评论

 

 

0条评论