
Cette fois, Bob Diachenko après une analyse de flux de données MongoDB du moteur de recherche BinaryEdge a découvert une instance de MongoDB ouverte et non protégée. Comme cela ne suffisait pas, l'adresse IP de la machine se trouvait également sur Shodan, un site web spécialisé dans la recherche utilisé par des chercheurs en sécurité et des pirates pour rechercher des dispositifs mal sécurisés et en prendre le contrôle à l'aide d'un seul navigateur Web.
La base de données MongoDB de 854 Go ainsi trouvée sans surveillance et sans authentification par mot de passe donnait accès à 202 730 434 CV de demandeurs d'emploi chinois avec des détails non seulement sur les compétences et l'expérience de travail des candidats, mais également sur leurs informations personnelles, telles que numéro de téléphone portable, courrier électronique, mariage, enfants, politique, taille, poids, permis de conduire, niveau d'alphabétisation, salaire attendu et plus. À vu d'oeil, ces informations représentent une mine d'or pour les cybercriminels, qui peuvent l'utiliser pour augmenter le taux de réussite de leurs campagnes de phishing.
Selon Bob Diachenko, l'origine des données est restée inconnue jusqu'à une correspondance des modèles structurels de la base de données avec celle d'une application permettant l'extraction des CV. L'outil appelé « data-import » semble avoir été créé pour extraire des données (CV) de différentes annonces chinoises, telles que bj.58.com et autres. Quant à la légalité de l'outil, aucun résultat vraiment concluant.
Toutefois, l'équipe de sécurité de BJ.58.com a affirmé : « Nous avons effectué des recherches dans notre base de données et avons examiné tous les autres systèmes de stockage. Il s'est avéré que les échantillons de données ne nous appartiennent pas. »
Néanmoins, après la notification sur Twitter de Diachenko, la base de données a été sécurisée. Cependant, il est important de souligner que le journal MongoDB indiquait au moins une douzaine d'adresses IP qui auraient pu accéder aux données de ladite base de données.
Enfin, toujours selon Diachenko, il n’existe aucune confirmation officielle du propriétaire des données.
Source : Blog Hackenproof
Et vous ?


Voir aussi



.