MongoDB sin protección: expone la privacidad de 202 millones de chinos

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

A menudo se sospecha que China patrocina ataques cibercriminales contra organizaciones y agencias en los Estados Unidos o Europa.

Sin embargo, esta vez, la propia China se ha convertido en víctima de una violación de la seguridad. Según se informa, un MongoDB desprotegido ha expuesto detalles personales y profesionales de más de 202 millones de personas.

El investigador de seguridad, Bob Diachenko, descubrió que resumía los archivos de los solicitantes de empleo en China que incluían detalles personales como nombres, estatura, peso, identificaciones de correo electrónico, estado de matrimonio, inclinaciones políticas, habilidades y experiencia laboral, números de teléfono, expectativas de salario y licencias de conducir.

Los datos pertenecían a los últimos tres años y la razón de su exposición es que se almacenó en una base de datos MongoDB insegura y desprotegida.

Las fugas no protegidas de MongoDB se reanudan de los 202M solicitantes de empleo chinos

La base de datos expuesta contenía 854 GB de datos, que según Diachenko deben haber sido extraídos de una herramienta llamada “importación de datos”.

Se desconoce si se trataba de una aplicación oficial [de la herramienta] o ilegal utilizada para recopilar todos los detalles de los solicitantes, incluso aquellos etiquetados como ‘privados’.

Diachenko no pudo identificar ningún servicio específico asociado con la base de datos, pero descubrió un repositorio de 3 años en GitHub para una aplicación.

La aplicación contenía casi “patrones estructurales idénticos”, como parte de la reanudación expuesta.

Al parecer, los datos se extraen de los servicios clasificados chinos como 58.com.

Por otro lado, el representante de 58.com rechazó la responsabilidad de que el servicio fuera responsable de crear el registro y sugirió la participación de un tercero que buscó en varios sitios web de recursos humanos para crear la base de datos.

Se debe tener en cuenta que, dado que la base de datos no estaba protegida con un ID y una contraseña, cualquiera podría haber accedido a ella sin ingresar ninguna credencial de inicio de sesión.

Es bastante preocupante que la base de datos ahora asegurada haya sido expuesta al público no por algunos días o meses sino por tres largos años.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris