33 million xitoylik ish qidiruvchilarning profillari ommaga ochiq edi.
Ma’lumotlar 51Jobs, lagou va Zhilian kabi bir nechta Xitoy ish qidirish veb-saytlari foydalanuvchilaridan olingan.
GDI.Foundation xavfsizlik tadqiqotchisi Sanyam Jain tasodifan taxminan 33 million xitoylik ish qidiruvchilarning profillarini o’z ichiga olgan ochiq kirish mumkin bo’lgan, himoyalanmagan ma’lumotlar bazasiga duch keldi. Shodan qidiruv tizimidan foydalanib, tadqiqotchi ish qidirish veb-sayti foydalanuvchilarining rezyumelari va shaxsiy ma’lumotlarini o’z ichiga olgan 57 Gb hajmdagi Elasticsearch ma’lumotlar bazasini topdi. Shaxsiy ma’lumotlarga foydalanuvchi nomlari, jinsi, oilaviy holati, yoshi, uy manzillari, shaharlari, telefon raqamlari, shuningdek, ma’lumoti, avvalgi ish joyi va ish haqi haqidagi ma’lumotlar kiradi.
Jain ma’lumotlar bazasini shu yilning 10 martida topdi va uni ehtimoliy oqish haqida ogohlantirish uchun egasini aniqlashga harakat qildi. Tadqiqotchi egasini aniqlay olmagan bo’lsa-da, u ma’lumotlar 51Jobs, lagou va Zhilian kabi bir nechta Xitoy ish qidirish veb-saytlari foydalanuvchilariga tegishli ekanligini aniqladi.
Ma’lumotlar bazasida mavjud bo’lgan ma’lumotlar tajovuzkorlar tomonidan maqsadli fishing, shaxsni o’g’irlash va ma’lumotlarni qazib olish uchun ishlatilishi mumkin. Ish haqi haqidagi ma’lumotlardan kompaniyalar xodimlarni yanada foydaliroq takliflar bilan jalb qilish uchun ham foydalanishlari mumkin.
Tadqiqotchi ma’lumotlar bazasi egasini aniqlay olmagani uchun, u o’z topilmalarini Xitoyning Kompyuterlashtirilgan Favqulodda Jarayonlar Guruhiga (CNCERT) xabar qildi. CNCERT mutaxassislari ma’lumotlar bazasi egasining IP-manzilini aniqladilar va ularni potentsial tahdid haqida ogohlantirdilar. 13-mart kuni ma’lumotlar bazasi yopildi.
Eslatib o’tamiz, yirik Gearbest onlayn-do’konining taxminan 1,5 million yozuvni o’z ichiga olgan mijozlar bazasi ham internetda topilgan.
