Трой Хант (Troy Hunt), известный исследователь и владелец агрегатора утечек Have I Been Pwned, обнаружил в сети неправильно настроенную базу MongoDB, объемом 594 Мб. Подобные ошибки со стороны администраторов различных ресурсов совсем не новость, неверно сконфиругированные БД регулярно становятся источниками утечек данных. Однако данный случай выбивается из череды ему подобных. Дело в том, что в базе содержались данные о 8,2 миллионах пользователей GitHub, BitBucket и других похожих ресурсов.
Как выяснилось, базу опенсорсных проектов и разработчиков собрали специалисты ресурса GeekedIn, и при этом они опирались исключительно на открытые данные, то есть в базе нет логинов, паролей и другой конфиденциальной информации. Цель рекрутингового сайта GeekedIn была проста – помочь рекрутерам в поисках разработчиков.
Хотя в целом GitHub позволяет собирать публичные данные о своих пользователях, запрещено делать это в коммерческих целях. Так как разработчики GeekedIn не оказывали бесплатных услуг и продавали доступ к своему ресурсу и этой базе, они тем самым все же нарушили правила сервиса.
Хант пишет, что суммарно в базе содержится информация о профилях более чем восьми миллионов разработчиков, однако email-адреса были открыты примерно у миллиона из них. Чаще всего в базе встречаются адреса вида username@github.xyzp.wzf, которые используются GitHub, если у аккаунта нет публичного email-адреса. Помимо почтовых адресов в базу попали никнеймы пользователей и их реальные имена, данные об их навыках, местах работы и географическом положении.
Трой Хант уже уведомил разработчиков GeekedIn об их ошибке, после чего те признали свою вину и пообещали обезопасить пользовательские данные. После этого сайт GeekedIn был отключен и остается в оффлайне вот уже несколько дней. Также исследователь добавил утекшую базу на свой сайт Have I Been Pwned, однако получить доступ к данным и проверить, была ли скомпрометирована ваша информация, можно лишь воспользовавшись специальной формой. Проверить свои данные смогут лишь те пользователи, чьи email-адреса в открытом виде попали в базу GeekedIn.
