未授权Elasticsearch数据库泄露3300万份工作档案

近期，GDI基金会的安全专家Sanyam Jain在网络上发现了一个存在未授权访问的Elasticsearch数据库，疑似包含来自中国的3300万个工作档案（个人资料），大概57GB，疑似和多个招聘网站有关。

安全专家使用网络搜索引擎发现了Elasticsearch数据库，这57GB的数据库包括用户名，性别，年龄，当前城市，家庭住址，电子邮件地址，电话号码，婚姻状况，工作历史，教育历史和工资历史。

Jain是在2019年3月10日发现了这个ElasticSearch数据库，同时他发现这些数据都属于谁。

最终发现这些数据牵涉到中国招聘网站中的51jobs，lagou和zhinlian。

“在初步调查期间，我发现51Jobs，lagou，zhilian的客户数据。我相信有一个第三方正在汇总这些公司的客户信息，并以某种方式利用它们。“ Jain告诉BleepingComputer。

这些敏感数据可能会使人们陷于欺诈和身份盗用等多种恶意活动。企业可以直接了解到这些人的工资历史。

Jain于2019年3月11日向中国网络应急响应小组CNCERT报告了他的调查结果。CNCERT表示，它已将该IP地址的所有者识别为“北京机到网络科技有限公司”，并且联系了公司让其数据库下线。

最终，该Elasticsearch数据库于2019年3月13日关闭。

来源：https://securityaffairs.co/wordpress/82532/data-breach/unprotected-elasticsearch-db-china.html