剛到公司,一堆同事便上來問我:“宅宅,你這是要跳槽嗎?”
難道我嫌棄辦公室男女比例10:1的事情被發現了?不久前剛更新了簡歷的我瑟瑟發抖。到底是誰洩漏了我的簡歷?
北京時間4月5日下午,美國科技媒體ZDNet將幾個月前便收到的一些有關服務器洩露提示的消息公之於眾。報道稱,中國企業今年前3個月出現數起簡歷信息洩露事故,涉及5.9億份簡歷。
消息一經曝出,引起國人高度關注。
只有中國公司遭殃
報道稱,大多數簡歷洩露都是由於MongoDB數據庫和ElasticSearch服務器的安全性很差所導致。據悉,這些服務器在沒有密碼的情況下被暴露在網上,亦或在防火牆出現意外錯誤後最終在線。
值得一提的是,此次洩露事件只涉及中國公司。在ZDNet整理幾個月、尤其是最近幾周裡收到的一些關於洩露的提示時發現,這些服務器在接受調查時全部屬於專注於人力資源的中國企業。
洩露事件從極個別的獵頭公司開始,首先是洩露少量簡歷的小公司,他們以這樣或者那樣的形式洩露了用戶的信息,而這樣的行為在起初很難被用戶察覺。當然,隨著日積月累這種行為最終會被發現。
安全研究員、GDI基金會的成員Sanyam Jain在發給ZDNet的提示中這樣寫道:“我在3月10日發現了一個存儲有3300萬中國用戶簡歷的ElasticSearch服務器。之後,我向中國國家計算機應急響應小組(CNCERT)報告了該問題。四天後,該數據庫得到了保護。”
簡歷洩露事件頻發
事情並沒有結束,距離上一次發現僅僅過去了三天時間。3月13日,安全研究員Devin Stokes再發現另一個ElasticSearch服務器存在洩露情況。
Stokes稱,這個ElasticSearch服務器裡面包含了8480萬份簡歷,這其中包含了簡歷擁有者的目前薪資、工作經歷、教育程度、技能、接受過的培訓以及之前工作經驗等詳細信息。同樣的,Stokes第一時間將事情告知了CNCERT,並在CNCERT的幫助下關閉了該服務器。
之後,Jain連續發現簡歷洩露的情況出現:
·第三次,Jain在3月15日發現另一個ElasticSearch實例,這次他持有3300萬份簡歷,這是他在3月15日發現的。“數據庫意外脫機,在向CNCERT報告後我沒有收到任何的回覆,”Jain告訴ZDNet。
·第四次,服務器存儲了一家中國公司的900萬份簡歷,而他在另一個ElasticSearch服務器中找到了這些簡歷。
·第五次,這次是一個擁有1.29億份簡歷的ElasticSearch服務器集群。在ZDNet發文時,這個數據庫仍然暴露在網上,因為Jain無法確定它的所有者。
·最後的兩次同樣是兩臺ElasticSearch服務器,它們分別存儲了18萬份簡歷和1.7萬份簡歷。
此外,4月5日安全研究人員Diachenko發現了一個類似的服務器,其中包含了2050萬中國用戶的簡歷,其中包含龐大的詳細信息。該研究人員目前正在確認並通知洩露這些數據的公司。Diachenko的另一個發現是在1月份,他發現一個MongoDB數據庫洩露了超過2.02億中國用戶的簡歷。
......
據統計,僅在過去的一個月裡,安全研究人員就發現並報告了7例這樣的洩露事件,而在ZDNet發表文章之前,只有4例被刪除。因此,Diachenko認為這些數據可能早已落入了壞人手中。
比簡歷洩露更可怕
在蒐集素材的時候,本宅看到不少網友在評論區這樣寫道:“唉,洩露就洩露吧,我已經皮了。”顯然,他們想錯了。
伴隨著簡歷洩露事件的發生,簡歷所有者的更多個人信息也被相繼洩露。雷鋒網獲悉,該服務器還包含每個用戶的完整個人資料,包括當前的工作、招聘人員和高管之間最近的對話、培訓課程等等。
另外,洩露的服務器還包含了一些公司的名單,這些公司已經註冊了獵頭公司的服務,並在其幫助下聘用了高管。粗略地搜索一下這份名單,就會發現其中既有卡夫亨氏(Kraft Heinz)和斯通科爾(StonCor)等外國公司,也有許多像中國航空動力控制公司(China Aviation Power Control)和無錫安泰科技(Wuxi AMT Technology)這樣的中國本土公司。
報道中提到,3月10日(文中第一次提到的洩露事件)被Jain發現洩露簡歷的三家中國公司都建立了各自的實時數據庫,而這些公司都往往是規模龐大且地位穩固的企業。那麼,此次洩露事件又是怎麼發生的呢?
可惜的是,安全研究人員還尚未查明洩露事件的成因。
超過5.9億份簡歷被洩露
在過去的三個月裡,中國公司總共洩露了 5.9 億份簡歷。不得不說,這個數字足矣讓任何一位瞭解隱私保護重要性的用戶覺得頭皮發麻。
當然,也正如上面所說,也許也有不少人並不認為公開簡歷有什麼大不了的。但是,當用戶發覺不法分子在獲取到簡歷之後還可以通過其他手段得到更多自己的私密信息時,危機其實早已伴其左右。
雷鋒網瞭解到,一般情況下,為了保證用戶的個人簡歷信息安全,其往往會被人力資源公司要求定期刪除完整版簡歷中包含的個人身份信息,如電話號碼、家庭住址、家庭和婚姻狀況,有時還會刪除身份證號碼。同樣的,當用戶在求職門戶網站上填寫個人信息時,他們認為一些數據只允許提供給僱主,而不是整個互聯網。
那麼,中國人力資源公司和中國招聘門戶網站在用戶隱私保護方面做得怎樣呢?至少我們從這已經洩露的 5.9 億份簡歷來看,只能搖頭興嘆了。
閱讀更多 雷鋒網 的文章
