中國企業泄露5.9億份簡歷信息，用戶：咋被坑的都不知道？

剛到公司，一堆同事便上來問我：「宅宅，你這是要跳槽嗎？」

難道我嫌棄辦公室男女比例10:1的事情被發現了？不久前剛更新了簡歷的我瑟瑟發抖。到底是誰泄漏了我的簡歷？

北京時間4月5日下午，美國科技媒體ZDNet將幾個月前便收到的一些有關伺服器泄露提示的消息公之於眾。報道稱，中國企業今年前3個月出現數起簡歷信息泄露事故，涉及5.9億份簡歷。

消息一經曝出，引起國人高度關注。

只有中國公司遭殃

報道稱，大多數簡歷泄露都是由於MongoDB資料庫和ElasticSearch伺服器的安全性很差所導致。據悉，這些伺服器在沒有密碼的情況下被暴露在網上，亦或在防火牆出現意外錯誤後最終在線。

值得一提的是，此次泄露事件只涉及中國公司。在ZDNet整理幾個月、尤其是最近幾周里收到的一些關於泄露的提示時發現，這些伺服器在接受調查時全部屬於專註於人力資源的中國企業。

泄露事件從極個別的獵頭公司開始，首先是泄露少量簡歷的小公司，他們以這樣或者那樣的形式泄露了用戶的信息，而這樣的行為在起初很難被用戶察覺。當然，隨著日積月累這種行為最終會被發現。

安全研究員、GDI基金會的成員Sanyam Jain在發給ZDNet的提示中這樣寫道：「我在3月10日發現了一個存儲有3300萬中國用戶簡歷的ElasticSearch伺服器。之後，我向中國國家計算機應急響應小組(CNCERT)報告了該問題。四天後，該資料庫得到了保護。」

簡歷泄露事件頻發

事情並沒有結束，距離上一次發現僅僅過去了三天時間。3月13日，安全研究員Devin Stokes再發現另一個ElasticSearch伺服器存在泄露情況。

Stokes稱，這個ElasticSearch伺服器裡面包含了8480萬份簡歷，這其中包含了簡歷擁有者的目前薪資、工作經歷、教育程度、技能、接受過的培訓以及之前工作經驗等詳細信息。同樣的，Stokes第一時間將事情告知了CNCERT，並在CNCERT的幫助下關閉了該伺服器。

之後，Jain連續發現簡歷泄露的情況出現：

·第三次，Jain在3月15日發現另一個ElasticSearch實例，這次他持有3300萬份簡歷，這是他在3月15日發現的。「資料庫意外離線，在向CNCERT報告後我沒有收到任何的回復，」Jain告訴ZDNet。

·第四次，伺服器存儲了一家中國公司的900萬份簡歷，而他在另一個ElasticSearch伺服器中找到了這些簡歷。

·第五次，這次是一個擁有1.29億份簡歷的ElasticSearch伺服器集群。在ZDNet發文時，這個資料庫仍然暴露在網上，因為Jain無法確定它的所有者。

·最後的兩次同樣是兩台ElasticSearch伺服器，它們分別存儲了18萬份簡歷和1.7萬份簡歷。

此外，4月5日安全研究人員Diachenko發現了一個類似的伺服器，其中包含了2050萬中國用戶的簡歷，其中包含龐大的詳細信息。該研究人員目前正在確認並通知泄露這些數據的公司。Diachenko的另一個發現是在1月份，他發現一個MongoDB資料庫泄露了超過2.02億中國用戶的簡歷。

......

據統計，僅在過去的一個月里，安全研究人員就發現並報告了7例這樣的泄露事件，而在ZDNet發表文章之前，只有4例被刪除。因此，Diachenko認為這些數據可能早已落入了壞人手中。

比簡歷泄露更可怕

在搜集素材的時候，本宅看到不少網友在評論區這樣寫道：「唉，泄露就泄露吧，我已經皮了。」顯然，他們想錯了。

伴隨著簡歷泄露事件的發生，簡歷所有者的更多個人信息也被相繼泄露。雷鋒網獲悉，該伺服器還包含每個用戶的完整個人資料，包括當前的工作、招聘人員和高管之間最近的對話、培訓課程等等。

另外，泄露的伺服器還包含了一些公司的名單，這些公司已經註冊了獵頭公司的服務，並在其幫助下聘用了高管。粗略地搜索一下這份名單，就會發現其中既有卡夫亨氏(Kraft Heinz)和斯通科爾(StonCor)等外國公司，也有許多像中國航空動力控制公司(China Aviation Power Control)和無錫安泰科技(Wuxi AMT Technology)這樣的中國本土公司。

報道中提到，3月10日（文中第一次提到的泄露事件）被Jain發現泄露簡歷的三家中國公司都建立了各自的實時資料庫，而這些公司都往往是規模龐大且地位穩固的企業。那麼，此次泄露事件又是怎麼發生的呢？

可惜的是，安全研究人員還尚未查明泄露事件的成因。

超過5.9億份簡歷被泄露

在過去的三個月里，中國公司總共泄露了 5.9 億份簡歷。不得不說，這個數字足矣讓任何一位了解隱私保護重要性的用戶覺得頭皮發麻。

當然，也正如上面所說，也許也有不少人並不認為公開簡歷有什麼大不了的。但是，當用戶發覺不法分子在獲取到簡歷之後還可以通過其他手段得到更多自己的私密信息時，危機其實早已伴其左右。

雷鋒網了解到，一般情況下，為了保證用戶的個人簡歷信息安全，其往往會被人力資源公司要求定期刪除完整版簡歷中包含的個人身份信息，如電話號碼、家庭住址、家庭和婚姻狀況，有時還會刪除身份證號碼。同樣的，當用戶在求職門戶網站上填寫個人信息時，他們認為一些數據只允許提供給僱主，而不是整個互聯網。

那麼，中國人力資源公司和中國招聘門戶網站在用戶隱私保護方面做得怎樣呢？至少我們從這已經泄露的 5.9 億份簡歷來看，只能搖頭興嘆了。

參考來源：ZDNet雷鋒網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！