Datos de más de 200 millones de buscadores de empleo expuestos

Millones de registros personales y laborales se encuentran expuestos por una base de datos sin medidas de autenticación

Investigadores en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el descubrimiento de una enorme base de datos expuesta en línea que almacenaba información personal de más de 202 millones de ciudadanos chinos. Según los reportes, esta información se encontraba disponible para cualquier persona sin necesidad de autenticación.  

La base de datos desprotegida, que contenía más de 800 GB de información, estaba instalada en una implementación de MongoDB, base de datos orientada a trabajar con documentos multiplataforma, alojada por una empresa de host de servidores estadounidense.

En total, la base de datos contenía 202 millones 730 mil 434 registros con información de candidatos a vacantes laborales en China. Entre la información comprometida se encuentran:

  • Nombre completo
  • Fecha de nacimiento
  • Números telefónicos
  • Dirección email
  • Estado civil
  • Experiencia profesional

Bob Diachenko, experto en seguridad en redes, descubrió esta base de datos desprotegida hace un par de semanas; el archivo fue asegurado poco después de que el investigador publicara su hallazgo a través de Twitter. Sin embargo, Diachenko destaca que “se registraron accesos a esta base de datos al menos de diez direcciones IP diferentes antes de que fuera asegurada”.

Aunque aún se desconoce la fuente de estos datos, el experto en seguridad en redes cree que alguien podría haber usado una herramienta para extraer datos de esta clase de otros sitios conocida como “Data-Import”, recabando así los datos de millones de ciudadanos chinos de sitios de anuncios clasificados, como el popular bj.58.com. El investigador considera que esto es altamente probable debido al formato de la base de datos, que coincide con la forma de trabajar de esta herramienta.

Diachenko afirma que se comunicó con los administradores del sitio bj.58.com, quienes aseguran que los datos filtrados no proceden de su sitio web, sugiriendo que la fuente podría ser algún tercero dedicado a recopilar información laboral de buscadores de empleo en China.

“Investigamos en toda nuestra base de datos y hemos podido comprobar que la muestra filtrada no se encontraba en nuestros sistemas”, mencionaron los administradores del sitio.

Esta no es la primera vez que una implementación de MongoDB es encontrada expuesta en línea. Durante los últimos años han aparecido múltiples informes reportando incidentes similares.

(Visited 128,1 times)