안전하지 않은 MongoDB 아카이브, 2억 2백만 개인 이력서 노출시켜

Unsecured MongoDB archive exposed 202 Million private resumes

보안 전문가인 Bob Diachenko가 2억 2백만 명 이상의 개인 및 직업 관련 정보를 노출시키는 보호 되지 않은 MongoDB 아카이브를 발견했습니다.

이 엄청난 양의 데이터는 중국의 구직자들 것이었습니다. 여기에는 이름, 키, 체중, 이메일 ID, 결혼 상태, 정치 성향, 기술 및 업무 경험, 전화 번호, 희망 연봉, 운전 면허증과 같은 개인 정보가 포함 되어 있었습니다.

이 MongoDB 아카이브는 지난 3년간의 데이터 854GB를 포함하고 있었습니다. 이는 중국에서 발생한 최대의 데이터 누출 사건입니다.

<이미지: https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed>

“12월 28일, HackenProof의 Bob Diachenko는 BinaryEdge 검색 엔진의 데이터 스트림을 분석하던 중 오픈 되어 있으며 보호 되지 않은 MongoDB 인스턴스를 발견했습니다.”

“자세히 살펴본 결과, 크기가 854GB인 MongoDB 데이터베이스는 2억명이 넘는 중국 구직자들의 아주 자세한 이력서로 보이는 데이터를 포함하고 있었으나, 이 데이터를 열람하기 위해서는 아무런 패스워드/로그인 인증도 필요하지 않았습니다.”

이 연구원은 그의 트위터 팔로워들 중 하나가 GitHub 저장소 하나를 가리키자, 이 데이터의 출처를 찾아낼 수 있었습니다.

이 데이터는 3년 전 제작 된 툴인 “data-import”을 통해 수집 되었습니다. 이는 bj.58.com과 같은 여러 구인/구직 사이트들에서 이력서를 긁어 모았습니다.

이 데이터가 얼마나 오랜 시간 동안 온라인에 노출 되어 있었는지는 확실하지 않지만, Diachenko는 이 MongoDB의 로그를 확인 결과 누군가 이 아카이브에 정기적으로 접근한 것으로 보인다고 밝혔습니다. 이 로그에 포함 된 IP는 12개였습니다.

좋은 소식은, 이 뉴스가 온라인에 공개 된 후 해당 데이터베이스가 안전하게 보호 되었다는 것입니다.

Diachenko는 이 데이터의 주인은 아직까지 밝혀지지 않았다고 말했습니다.

출처 :

https://securityaffairs.co/wordpress/79877/data-breach/mongodb-archive-202m-resumes.html

https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed