一項新科技招聘項目從GitHub和其他類似站點爬取用戶數據，因MongoDB數據庫的錯誤配置，造成了不可避免的數據泄露。

澳大利亞安全專家特洛伊·亨特，“我被玩了嗎(Have I Been Pwned)”服務的創立者，最近公布了一份600MB的Mongo數據庫備份文件，包含從名為“極英(GeekedIn)”的科技招聘網站搜取的數據。進一步的分析揭示，該文件包含有超過800萬GitHub用戶信息，包括姓名、電子郵箱、地址和其他數據。

不過，僅100萬被曝電子郵件地址是有效的，剩下的一般都是 “[email protected]”之類的地址，且并未以公開電郵地址與GitHub綁定。該MongoDB數據庫還包含有數千個明顯是從BitBucket搜取的賬戶。

GeekedIn由其開發者在今年6月推出上線，是一個爬取GitHub和BitBucket之類代碼托管站點的服務，為開源項目和開發者建立個人檔案。該服務的宗旨，是幫助招聘人員找到符合需求的開發者，以及幫助開發人員“豐富自己的簡歷”。

GeekedIn收獲的數據在GitHub上公開可得，并不包含任何敏感數據，比如口令。

然而，盡管GitHub允許用戶從其網站上刮取公開數據，卻禁止這些信息被用于商業目的。GeekedIn計劃要求招聘人員和公司每月支付數百歐元作為這些數據的使用費。

第二個問題在于，這些數據是存放在MongoDB數據中的，而該數據庫并未被良好保護，可被任何人讀取。此類事件越來越常見，因數據錯誤配置，一些公司暴露了億萬個人的詳細信息。

作為數據泄露中的一員，我不希望自己的數據被以這種方式出售。在個人基礎上公開這些數據沒問題，但我從親密朋友獲悉的關于此事的看法都是‘這感覺不對’。首先，出于商業目的從GitHub上抓取信息就不對，更錯誤的是之后還通過一個沒有口令的MongoDB數據庫把數據丟了，而現在更是任由這些數據飄蕩在數據泄露交易圈里。

在被亨特通告后，GeekedIn開發人員承諾采取措施保護數據。同時，他們將網站下線了。

受此事影響的用戶可以使用“Have I Been Pwned”服務找出自己的信息到底有沒有被泄露。