一个为电影和电视节目挑选人才的流行网站泄露了大约26万人的在线个人数据。

在ZDNet独家分享的一份报告中，由Anurag Sen领导的网络安全小组的安全侦探说，这次入侵是在今年6月初被发现的。

总部位于新奥尔良的MyCastingFile.com是一家招聘人才的在线演员经纪公司。用户可以免费或基于订阅进行注册，来申请演员录用通知。该公司声称为《真探》、《完美音高》、《海军罪案调查处:新奥尔良》和《终结者:创世纪》等影片提供了演员。

安全侦探在美国发现了一个开放的Elasticsearch服务器，该服务器由Google Cloud托管。该数据库没有通过任何形式的验证来保护，总共有近1000万条记录被泄露。

该数据库的大小为1GB。经调查，该团队发现超过260000个网站用户的个人资料被泄露，其中包括有知名演员和潜在的雇主。

通过公开提供的个人身份信息（PII），泄漏的内容包括姓名、实际地址、电子邮件地址、电话号码、工作经历、出生日期、身高和体重、种族以及潜在雇主感兴趣的身体特征，例如头发颜色和长度。

此外，记录还包括车辆所有权信息，例如型号、颜色和制造年份。

被泄露的数据还包括面部和身体的照片；但是，由于它们被托管于不同云服务的多个位置，因此只有部分图像被暴露。

未满18岁的未成年人也可以成为该平台的注册用户，只要他们的账户能获得监护人的同意并由其监护人管理。

“从数据泄露中，我们有可能确定有哪些数据是属于儿童的，但我们的安全团队没有对可用数据进行完整的下载或人口统计分析——首先也是最重要的是出于道德原因，”该团队指出。

服务器记录表明，此漏洞暴露始于5月31日。MyCastingFile当时正在将数据迁移到新平台，因此问题可能与数据移动有关。（相关原因有待该公司进一步澄清。）

安全侦探花了一些时间核实数据库的所有者，最终在6月11日找到了MyCastingFile。同一天，该机构对报告做出了回应，并对服务器采取了保护措施。

不幸的是，MyCastingFile的快速反应在当今已经很少见了。许多研究人员在报告开放数据库问题时，遇到的组织可能需要数周（或数月）来解决问题，或者可能完全忽略请求。

我们会持续关注该事件，敬请期待MyCastingFile的进一步回应。

*本文出自SCA安全通信联盟，转载请注明出处。（SCA安全通信联盟原创文章对外开白，欢迎加微信MrYe9173751开白）