中国求职者2亿私人简历泄露，APT情报资讯报告2018全球十大安全事件(10401字) (附PDF公号发“简历十大安全”下载)

秦陇纪2019译汇编科学Sciences 今天

科学Sciences导读：经检查，一个854GB大小的MongoDB数据库无人看管，无需密码/登录验证即可查看和访问中国求职者超过2亿份非常详细的简历。附B部分APT情报资讯报告；C部分2018全球十大安全事件。关注“科学Sciences”公号，赞赏后下载PDF。时势造英雄，止步吃住行无力推文明。工作要平台，看清计算史简化再发展。

中国求职者2亿私人简历泄露，APT情报资讯报告2018全球十大安全事件(10401字)

A 再无隐私：2.02亿私人简历泄露(3456字)

标题No more privacy: 202 Million privateresumes exposed

B 相关APT情报资讯报告汇总(1500字)

微软Exchange server最严重安全漏洞，所有Exchange版本均存在漏洞！

C 2018全球十大安全事件：血雨腥风让人哭到血槽空(4310字)

1、Facebook：8700万用户数据泄露

2、俄罗斯黑客入侵美国电网

3、Intel芯片漏洞

4、AcFun：900万条用户数据泄露

5、黑客利用思科智能安装漏洞攻击网络基础设施

6、万豪喜达屋：5亿客户的用户信息泄露

7、区块链平台EOS现史诗级系列高危安全漏洞

8、VPNFilter-新型IoT Botnet

9、Github 遭遇MemcachedDDoS TB级攻击

10、蓝宝菇等APT攻击事件

参考文献(1542字) Appx(1236字).数据简化DataSimp社区简介

A 再无隐私：2.02亿私人简历泄露(3456字)

再无隐私：2.02亿私人简历泄露

文|Bob Diachenko，HackenProof20190110，科学Sciences20190113Sun

国外骇客安全网站https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed博文Hacken Ecosystem 10 Jan, 2019，曝光重大个人简历泄露过程，以下是翻文及原文。

HackenProof Blog / Industry News / No more privacy: 202 Million private resumes exposed

标题No more privacy: 202 Million private resumesexposed

12月28日，Hacken.io网络风险研究总监兼诈骗平台Hacken Proof的Bob Diachenko分析了BinaryEdge搜索引擎(https://app.binaryedge.io/)的数据流，并确定了一个开放且不受保护的MongoDB实例：

On December 28th, Bob Diachenko, Director of Cyber RiskResearch at Hacken.io and bug bounty platform HackenProof, analyzed the data streamof BinaryEdge search engine (https://app.binaryedge.io/) and identified an open andunprotected MongoDB instance:

Shodan搜索结果中也出现了相同的IP地址：

The same IP alsoappeared in Shodan (https://www.shodan.io/) search results:

经过仔细检查，一个854GB大小的MongoDB数据库无人看管，无需密码/登录验证即可查看和访问中国求职者超过2亿份非常详细的简历。

202,730,434条记录中的每条记录不仅包含候选人的技能和工作经验，还包括他们的个人信息，如手机号码，电子邮件，婚姻，子女，政治，身高，体重，驾驶执照，识字水平，薪水等。期望等等。细节请看PDF(https://share.hsforms.com/1RPuO1I05TdK1nIpOJE4FvQ2s770)。

Upon closerinspection, an 854 GB sized MongoDB database was left unattended, with nopassword/login authentication needed to view and access the details of what appearedto be more than 200 million very detailed resumes of Chinese job seekers.

Each of the202,730,434 records contained the details not only on the candidates’ skillsand work experience but also on their personal info, such as mobile phonenumber, email, marriage, children, politics, height, weight, driver license,literacy level, salary expectations and more.

See more details in the PDF factsheet(https://share.hsforms.com/1RPuO1I05TdK1nIpOJE4FvQ2s770)

在我的一个Twitter粉丝指向GitHub存储库(页面不再可用但仍保存在Google缓存中)之前，数据的来源仍然未知，其中包含的Web应用程序源代码具有与暴露中使用的结构模式相同的结构模式简历：https://github.com/xzfan/data-import

The origin of thedata remained unknown until one of my Twitter followers pointed to a GitHubrepository (https://github.com/xzfan/data-import page is no longer available but it is still saved inGoogle cache) which contained a web app source code with identicalstructural patterns as those used in the exposed resumes:

名为“data-import”(3年前创建)的工具似乎是为了从不同的中文分类广告(例如bj.58.com和其他分类广告)中drop数据(简历)而创建的。

The tool named“data-import” (created 3 years ago) seems to have been created to scrape data(resumes) from different Chinese classifieds, like bj.58.com and others.

目前尚不清楚它是用于收集所有申请人详细信息的官方申请还是非法申请，即使是那些被标记为“私人”的申请。

BJ.58.com的安全团队未确认数据来源,声称如下：

我们搜遍了我们的数据库并调查了所有其他存储，结果发现数据没有泄露。

而数据似乎是从第三方泄露出来的，这些第三方从许多CV网站上抓取数据。

在我在Twitter上发布通知后不久，该数据库已得到保护。值得注意的是，MongoDB日志显示至少有十几个IP可能在脱机之前访问过数据。

截至本出版物发布之日，数据所有者尚无正式确认。

这里讨论了网络抓取的问题https://blog.hackenproof.com/industry-news/new-report-unknown-data-scraper-breach

It is unknown,whether it was an official application or illegal one used to collect all theapplicants’ details, even those labeled as ‘private’.

Upon additionalrequest, the security team of BJ.58.com did not confirm that the dataoriginated from their source:

We have searched allover the database of us and investigated all the other storage, turned out thatthe sample data is not leaked from us.

It seems that thedata is leaked from a third party who scrape data from many CV websites.

Shortly after mynotification on Twitter, the database had been secured. It’s worth noting thatMongoDB log showed at least a dozen IPs who might have accessed the data beforeit was taken offline.

As of the date ofthis publication, there is no official confirmation on the data owner. We havealready covered the issue of web scraping here:https://blog.hackenproof.com/industry-news/new-report-unknown-data-scraper-breach

以上是数据泄露新闻翻译。信息来源，博文作者：Bob Diachenko这个人发的。

原文：https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed (注1：资料来自台Hacken Proof、Bob Diachenko和BinaryEdge搜索引擎[1-6])

B 相关APT情报资讯报告汇总(1500字)

C 2018全球十大安全事件：血雨腥风让人哭到血槽空(4310字)

2018全球十大安全事件：血雨腥风让人哭到血槽空

文|作者：灵火K，编辑：上方文Q，出处：雷锋网20190101，科学Sciences20190113Sun

黑客漏洞安全

“兄dei~下次见面就是明年喽！”听到同事小姐姐说出这样的话，小编我才意识到2018年已经“余额不足”，伴随着元旦佳节的到来它马上就要和我们say goodbye了。

回想起来，这一年各家公司都在裁员，天堂那边却在不断纳新：科学奇人霍金、相声大师师胜杰、前央视主持人李咏、武侠小说泰斗金庸都纷纷“跳槽”；这一年，网络安全领域更是好不热闹，从Facebook数据泄露到Intel芯片出现史诗级漏洞再到“喜达屋”事件。

今天，就让我们从网络安全的角度来回顾堪称血雨腥风的2018年。

1、Facebook：8700万用户数据泄露

坐拥20亿用户的Facebook在今年陷入了史上最大的个人信息泄露风波。

3月17日，美国《纽约时报》和英国《观察者日报》联合报道称，一名剑桥大学讲师通过一款性格测试应用收集数据，并将Facebook上超5000万用户的个人信息数据违规卖给了数据分析公司Cambridge Analytica。消息曝光后，第一天Facebook股价跌幅达到6.8%，20日再跌2.56%抹平该公司今年以来的全部涨幅，其市值蒸发500亿美元。

事件发生一个月后，美国社交网站脸书公司首席技术官Mike Schroepfer在其官网发布声明称，“目前共有8700万Facebook用户个人资料遭到泄露”，该数字远超媒体报道的5000万。

当日，摩根史丹利将脸书目标股价从230美元下调至200美元。在这之后，Facebook创始人兼首席执行官扎克伯格多次接受众议院能源和商务委员会的连番质询。Facebook承认有8700万用户数据被Cambridge Analytica公司不当利用，这些信息被用于定向投放广告以及在选举时支持特朗普团队。

事后扎克伯格称：“我们先前没有充分认识到我们的责任，这是一个巨大的错误。”

2、俄罗斯黑客入侵美国电网

五年来，俄罗斯一直都走在入侵美国电网的“奋斗”道路上。

今年7月，一位美国国土安全部官员称：“我们跟踪到一个行踪隐秘的俄罗斯黑客，该人有可能为政府资助组织工作。他先是侵入了主要供应商的网络，并利用前者与电力公司建立的信任关系轻松侵入到电力公司的安全网络系统。”“而黑客这样做的目的，就是可以远程打开或者切断电力供给。”美国国土安全部工业控制系统分析主管Jonathan Homer分析道。

这并非俄罗斯第一次利用黑客攻击来侵入美国的电力安全系统。自2014年起，俄罗斯黑客组织就有扬言说要攻击美国电力公司，国安部也就该事多次提醒其留意安全检查。目前，尚不知道是否有受到该事件牵连的受害人。“虽然尚未公布，但很有可能已经存在数以百计的受害者。”美国联邦官员称：“俄罗斯试图入侵美国电力公司的目的在于发起一轮大规模的电力事故，因为其一直在试图进入美国电力公用事业公司的控制室。”

3、Intel芯片漏洞

“史诗级漏洞”之后，Intel芯片仍漏洞频现，其CPU安全特性形同虚设。

在发现“幽灵”和“熔断”两大漏洞之后，研究人员于8月份在Intel芯片内再次发现前两者的延伸漏洞。该漏洞会影响到自2015年发布的全部酷睿和至强处理器。

该漏洞将影响到Intel平台CPU，以此给黑客绕过内部安全特性来获取到用户隐私信息的机会。同时，研究人员还发现了另外两个同类变体漏洞“Foreshadow-NG”，其主要攻击对象为其他微处理器(攻击代码、操作系统、管理程序软件等)。

这已经是今年在Intel芯片中发现的第五个漏洞了，相比之下，最先被人们发现的“史诗级漏洞”显然具备更大的危害，而其修复起来也不是那么容易。亚马逊曾针对该漏洞提醒其购买了AWS服务的用户：“它存在于Intel、AMD和ARM的广泛遍及服务器、台式机以及移动设备，而其年龄已经将近20岁。”据称，在此次漏洞爆发前，IntelCEO布莱恩·科兹安尼克通过抛售Intel股票获利千万美元，而更有人爆料IntelCEO早在去年6月份就知道了漏洞的存在，但迟迟未将其修复。

4、AcFun：900万条用户数据泄露

暗网炒到40万，你的信息真的很值钱！

6月13日凌晨，A站发布《关于AcFun受黑客攻击致用户数据外泄的公告》称：“AcFun受到黑客攻击，已有近千万用户数据遭到外泄。AcFun在2017年7月7日升级改造了用户账号系统，如果您在此之后有过登录行为，账户会自动升级使用强加密算法策略，密码是安全的。但是如果您的密码过于简单，也建议修改密码。”雷锋网获悉，尽管A站在黑客得手之后第一时间向警方报案，但很快这900万条信息便被放在暗网上进行售卖，其打包标价达到40万元。而如果是单卖，则是以1元800条信息的价格兜售。在被售卖的信息中，包含了用户ID、用户昵称、加密存储的密码等信息。

然而，对于这次攻击，用户的反应却格外冷静。相比于谴责呵斥的话语，A站这次反倒迎来的更多是类似“加油”、“撑下去”之类的鼓励话语。这似乎与A站之前因为网站故障关停后才“死而复生”不久有着必然联系。只能说，在二次元世界里，真的是情怀无敌。

5、黑客利用思科智能安装漏洞攻击网络基础设施

为了选举，黑客也算是煞费苦心了......

4月7日，一个名为“JHT”的黑客组织利用Cisco(思科)CVE-2018-0171(远程代码执行漏洞)攻击了俄罗斯和伊朗两国的网络基础设施，进而波及了两国的ISP(互联网服务提供商)、数据中心以及某些网站。该漏洞可以让攻击者绕开用户验证，直接向Cisco设备的TCP 4786端口发送特意数据包，触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。受到攻击后，Cisco路由器的配置文件startup-config将被覆盖随后进入重启状态。

然而，此次攻击事件似乎与美国的总统选举有着直接关联。在Cisco系统受到攻击后，其显示出了“不要干扰我们的选举”的警告字样，并同时附上了美国国旗的图案。

6、万豪喜达屋：5亿客户的用户信息泄露

虽说是五星，但依旧住店需谨慎！

11月30日，万豪国际酒店集团多达五亿人详细信息疑遭泄露，该名黑客自2014年一直能够访问万豪酒店集团喜达屋部门的客户预定数据库。

消息发出后，万豪股价下跌4.22%。此次信息泄露涉及5亿用户信息组合，其中包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好等。随后，美国客户也向万豪集团提出集体诉讼，索赔125亿美元。

7、区块链平台EOS现史诗级系列高危安全漏洞

一个漏洞牵动的是整个行业的起起伏伏。

5月29日，360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。攻击者通过构造恶意代码智能合约触发其安全漏洞，然后再将恶意合约打包进新的区块，进而导致网络中所有节点被远程控制。

在这之后，攻击者可以窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。EOS是“区块链3.0”的新型区块链平台，其市值在当时高达690亿人民币，在全球市值排名第五，这也预示着这次的高危漏洞将对整个区块链平台带来巨大影响，因此被称为“史诗级系列高危安全漏洞”。

8、VPNFilter-新型IoTBotnet

一起由BlackEnergy精心策划的“阴谋”。

5月23日，Cisco Talos团队披露了一起名为”VPNFilter”的IoT Botnet事件。据360CERT团队分析，VPNFilter是一个通过IoT设备漏洞组建Botnet，多阶段，多平台，模块化，多功能的恶意网络攻击行动。而VPNFilter具有强对抗性和周密计划性、多阶段执行、Dropper通过图床进行上下行、采用和BlackEnergy相似的变种RC4算法对信息加密、利用图片EXIF获取C2、C2通过Tor流量进行交互和通过利用Linksys、Mikrotik、Netgear、TP-Link、QNAP的相关漏洞进行传播感染等多种特征。

360CERT团队称：“早在2014年，BlackEnergy的相关行动就能看出其正在着手IoT Botnet组建，且也是通过分段化的形式逐步构建僵尸网络，这样的大规模行动在APT行为里并不常见。”

“攻击者意图构建一个广泛的，有自我隐藏能力，可以灵活提供攻击能力的大型恶意软件族群，由stage3的动作可以看出攻击者有极强的目的性。”

9、Github遭遇MemcachedDDoS TB级攻击

取其薄弱点攻之，唯有“快”才能攻之不破。

3月2日，知名代码托管网站GitHub遭遇了严重的DDoS网络攻击，峰值流量达到了1.35Tbps。和之前打“数量战”不同，此次的DDoS网络攻击采用了更为高端的放大技术，其目的在于对主机服务器产生更严重的影响。这项新技术让5万台Memcached(初衷是提升内部网络的访问速度)服务器连接到网路上，因此非常容易受到攻击。

据称，此类服务器没有认证协议，连接到互联网中意味着任何人都可以查询它们。黑客选择攻击Memcached可以快速攻入内网进行数据窃取活动。好在GitHub得到Akamai帮助后，在不到10分钟的时间内化解了这次危机，整个事件并没有造成严重后果。

10、蓝宝菇等APT攻击事件

这只“蘑菇”真的有毒！

7月5日，360公开了一个高级攻击组织-蓝宝菇(APT-C-12)，攻击对象主要针对我国政府、军工、科研、金融等重点单位和部门。据报告，攻击样本“Dropper”中包含一个LNK文件，名字为：《政法网络舆情》会员申请.lnk。其恶意目标主要涉及3个LNK文件格式的重要结构：LinkTargetIDList、COMMAND_LINE_ARGUMENTS和EnvironmentVarableDataBlock。

雷锋网得知，攻击者会将窃取的用户数据通过Amazon S3云存储协议上传到攻击者的云服务器中，其中包括攻击对象的计算机名、被攻击时间等信息。据称，数据显示仅一天时间内就有数个受害人员的信息被上传到服务器，整波攻击活动期间评估受控人员数量在百级。

(注4：资料来自雷锋网[9])

免责说明：内容综合自Hacken Proof/黑鸟/51cto/雷锋网/传统和新媒体，文章只为学术新闻信息传播，注明出处文字参考文献可溯源。本公众号不持有任何倾向性，亦不表示认可其观点或其所述。

赞赏支持后可下载PDF资料。改革开放40周年，谨向改革者致敬。我国教育太粗浅落后，文字化教育应该压缩到十年内，全民普及本科教育，培养研究和协作精神。书从何来、读书做甚？应反思并校正当今社会脱离低层、信息封闭、权力黑箱、泛管教化、毫无民主、阉割人性之弊。秦陇纪提议开学后9月10日设置学习节，号召温故知新、终身学习；9月28日孔子阳历诞辰设为教师节，号召全人类树立温故知新素养；整个9月份定位公民学习月，加强传统、文艺、科技、产品、时事的知识学习。十一国庆节后，设置国情宣传周、选举人演讲周、投票选举月，十月份定位国家公民月。全年做生活实践、校园实验、社会实习，文化辅之；3-9月份则以感受、认知、实践、实验、协作、实习为主。

—END—

参考文献(1542字)

1. Bob Diachenko, HackenProofBlog / Industry News, No more privacy: 202 Million private resumes exposed.[EB/OL];Hacken Ecosystem, https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed, 10 Jan, 2019, visitingdata: 2019-01-13.

2. HackenProof. No-more-privacy-202-Million-privateresumes-exposed.[EB/OL]; HackenProof,https://resources.hackenproof.com/hubfs/HackenProof/No-more-privacy-202-Million-private%20resumes-exposed.pdf,visiting data: 2019-01-13.

3. BinaryEdge searchengine.[EB/OL]; https://app.binaryedge.io, visiting data: 2019-01-13.

4. Shodan.[EB/OL];https://www.shodan.io/, visiting data: 2019-01-13.

5. See more details inthe PDF factsheet.[EB/OL];https://share.hsforms.com/1RPuO1I05TdK1nIpOJE4FvQ2s770, visiting data:2019-01-13.

6. The origin of thedata remained unknown until one of my Twitter followers pointed to a GitHubrepository.[EB/OL]; https://github.com/xzfan/data-import, visiting data:2019-01-13.

7. 黑鸟．简历泄露事件:2.02亿私人简历泄露过程分享+其他APT情报资讯和报告．[EB/OL]；黑鸟，https://mp.weixin.qq.com/s?__biz=MzAxOTM1MDQ1NA==&mid=2451173759&idx=1&sn=6b36f35c117bc05c02c47d57f1513ae5，2019-01-10，引用日期：2019-01-13．

8. jialt．微软Exchange server 最严重安全漏洞，所有Exchange版本均存在漏洞！．[EB/OL]；51cto，http://blog.51cto.com/jialt/2160529，2018-08-16，引用日期：2019-01-14．

9. 出处：雷锋网，作者：灵火K，编辑：上方文Q．2018十大安全事件：血雨腥风让人哭到血槽空．[EB/OL]；快科技(驱动之家)首页 > 资讯中心 > IT业界 > 企业动态，http://news.mydrivers.com/1/609/609561.htm，2019-01-01，引用日期：2019-01-14．

x. 秦陇纪．数据简化社区Python官网Web框架概述；数据简化社区2018年全球数据库总结及18种主流数据库介绍；数据科学与大数据技术专业概论；人工智能研究现状及教育应用；信息社会的数据资源概论；纯文本数据溯源与简化之神经网络训练；大数据简化之技术体系．[EB/OL]；数据简化DataSimp(微信公众号)，http://www.datasimp.org，2017-06-06．

中国求职者2亿私人简历泄露，APT情报资讯报告2018全球十大安全事件(10401字)

(附PDF公号发“简历十大安全”下载)

简介：中国求职者2亿私人简历泄露，APT情报资讯报告2018全球十大安全事件。作者：Bob Diachenko。来源：Hacken Proof/黑鸟/51cto/雷锋网/传统和新媒体网文/数据简化社区/秦陇纪微信群聊公众号，参考文献附引文出处。公号输入栏回复关键字“简历十大安全”或文末链接“阅读原文”可下载本文13k字17图12页PDF资料；标题下蓝链接“科学Sciences”关注后，菜单项有文章分类页；欢迎转发、赞赏、支持科普。版权声明：科普文章仅供学习研究，公开资料©版权归原作者，请勿用于商业非法目的。秦陇纪2018数据简化DataSimp综合汇译编，投稿合作、转载授权/侵权、原文引文错误等请联系DataSimp@126.com沟通。主编译者：秦陇纪，数据简化DataSimp、科学Sciences、知识简化新媒体创立者，数据简化社区创始人，数据简化OS设计师/架构师，ASM/Cs/Java/Python/Prolog程序员，英语/设计/IT教师。每天大量中英文阅读/设计开发调试/文章汇译编简化，时间精力人力有限，欢迎转发/赞赏/加入支持社区。社区媒体：“数据简化DataSimp、科学Sciences、知识简化”新媒体聚集专业领域一线研究员；研究技术时也传播知识、专业视角解释和普及科学现象和原理，展现自然社会生活之科学面。秦陇纪发起，期待您参与各领域~~

Appx(1236字).数据简化DataSimp社区简介

信息社会之数据、信息、知识、理论持续累积，远超个人认知学习的时间、精力和能力。必须行动起来，解决这个问题。应对大数据时代的数据爆炸、信息爆炸、知识爆炸，解决之道重在数据简化(DataSimplification)：简化减少知识、媒体、社交数据，使信息、数据、知识越来越简单，符合人与设备的负荷。(秦陇纪，2010)

数据简化DataSimp年度会议(DS2010-2019)，聚焦数据简化技术(DataSimplification Techniques)：对各类数据从采集、处理、存储、阅读、分析、逻辑、形式等方面做简化，应用于信息及数据系统、知识工程、各类数据库、物理空间表征、生物医学数据，数学统计、自然语言处理、机器学习技术、人工智能等领域。欢迎数据科学技术、简化实例相关论文投稿加入数据简化社区，参加会议出版专著。请投会员邮箱DataSimp@163.com，详情访问社区网站www.datasimp.org。填写申请表加入数据简化DataSimp社区成员，应至少有一篇数据智能、编程开发IT文章：①原创数据智能科技论文；②数据智能工程技术开源程序代码；③翻译美欧数据智能科技论文；④社区网站发帖人管理员版主志愿者义工；⑤完善黑白静态和三彩色动态社区S圈型LOGO图标。DataSimplification/Sciences/Knowledge Simplification PublicAccounts——DataSimp@163.com, 2018.12.12Wed, Xi'an, Shaanxi, China.

LIFE

Life begins at the end of your comfortzone.——Neale Donald Walsch

THE DAY

The strength of purpose and the clarity ofyour vision，alongwith the tenacity to pursue it，is your underlying driver ofsuccess.——Ragy Tomas

投稿QQ群223518938数据简化DataSimp社区；技术公众号“数据简化DataSimp”留言，或(备注：姓名/单位-职务/学校-专业/手机号)加微信账号QinlongGEcai，进“数据简化DataSimp社区”投稿群或“科学Sciences学术文献”读者群等群聊。关注如下三个公众号(搜名称也行)，关注后底部菜单有文章分类页链接。

数据技术公众号“数据简化DataSimp”：

科普公众号“科学Sciences”：

社会教育知识公众号“知识简化”：

普及科学知识，分享到朋友圈

转发/留言/打赏后“阅读原文”下载PDF

阅读原文

微信扫一扫
关注该公众号