報(bào)道稱,大多數(shù)簡歷泄露都是由于MongoDB數(shù)據(jù)庫和ElasticSearch服務(wù)器的安全性很差所導(dǎo)致。據(jù)悉,這些服務(wù)器在沒有密碼的情況下被暴露在網(wǎng)上,亦或在防火墻出現(xiàn)意外錯誤后最終在線。
值得一提的是,此次泄露事件只涉及中國公司。在ZDNet整理幾個(gè)月、尤其是最近幾周里收到的一些關(guān)于泄露的提示時(shí)發(fā)現(xiàn),這些服務(wù)器在接受調(diào)查時(shí)全部屬于專注于人力資源的中國企業(yè)。
泄露事件從極個(gè)別的獵頭公司開始,首先是泄露少量簡歷的小公司,他們以這樣或者那樣的形式泄露了用戶的信息,而這樣的行為在起初很難被用戶察覺。當(dāng)然,隨著日積月累這種行為最終會被發(fā)現(xiàn)。
安全研究員、GDI基金會的成員Sanyam Jain在發(fā)給ZDNet的提示中這樣寫道:“我在3月10日發(fā)現(xiàn)了一個(gè)存儲有3300萬中國用戶簡歷的ElasticSearch服務(wù)器。之后,我向中國國家計(jì)算機(jī)應(yīng)急響應(yīng)小組(CNCERT)報(bào)告了該問題。四天后,該數(shù)據(jù)庫得到了保護(hù)?!?
簡歷泄露事件頻發(fā)
事情并沒有結(jié)束,距離上一次發(fā)現(xiàn)僅僅過去了三天時(shí)間。3月13日,安全研究員Devin Stokes再發(fā)現(xiàn)另一個(gè)ElasticSearch服務(wù)器存在泄露情況。
Stokes稱,這個(gè)ElasticSearch服務(wù)器里面包含了8480萬份簡歷,這其中包含了簡歷擁有者的目前薪資、工作經(jīng)歷、教育程度、技能、接受過的培訓(xùn)以及之前工作經(jīng)驗(yàn)等詳細(xì)信息。同樣的,Stokes第一時(shí)間將事情告知了CNCERT,并在CNCERT的幫助下關(guān)閉了該服務(wù)器。
之后,Jain連續(xù)發(fā)現(xiàn)簡歷泄露的情況出現(xiàn):
·第三次,Jain在3月15日發(fā)現(xiàn)另一個(gè)ElasticSearch實(shí)例,這次他持有3300萬份簡歷,這是他在3月15日發(fā)現(xiàn)的。“數(shù)據(jù)庫意外脫機(jī),在向CNCERT報(bào)告后我沒有收到任何的回復(fù),”Jain告訴ZDNet。
·第四次,服務(wù)器存儲了一家中國公司的900萬份簡歷,而他在另一個(gè)ElasticSearch服務(wù)器中找到了這些簡歷。
·第五次,這次是一個(gè)擁有1.29億份簡歷的ElasticSearch服務(wù)器集群。在ZDNet發(fā)文時(shí),這個(gè)數(shù)據(jù)庫仍然暴露在網(wǎng)上,因?yàn)镴ain無法確定它的所有者。
·最后的兩次同樣是兩臺ElasticSearch服務(wù)器,它們分別存儲了18萬份簡歷和1.7萬份簡歷。
此外,4月5日安全研究人員Diachenko發(fā)現(xiàn)了一個(gè)類似的服務(wù)器,其中包含了2050萬中國用戶的簡歷,其中包含龐大的詳細(xì)信息。該研究人員目前正在確認(rèn)并通知泄露這些數(shù)據(jù)的公司。Diachenko的另一個(gè)發(fā)現(xiàn)是在1月份,他發(fā)現(xiàn)一個(gè)MongoDB數(shù)據(jù)庫泄露了超過2.02億中國用戶的簡歷。
......
據(jù)統(tǒng)計(jì),僅在過去的一個(gè)月里,安全研究人員就發(fā)現(xiàn)并報(bào)告了7例這樣的泄露事件,而在ZDNet發(fā)表文章之前,只有4例被刪除。因此,Diachenko認(rèn)為這些數(shù)據(jù)可能早已落入了壞人手中。
比簡歷泄露更可怕
在搜集素材的時(shí)候,本宅看到不少網(wǎng)友在評論區(qū)這樣寫道:“唉,泄露就泄露吧,我已經(jīng)皮了。”顯然,他們想錯了。
伴隨著簡歷泄露事件的發(fā)生,簡歷所有者的更多個(gè)人信息也被相繼泄露。該服務(wù)器還包含每個(gè)用戶的完整個(gè)人資料,包括當(dāng)前的工作、招聘人員和高管之間最近的對話、培訓(xùn)課程等等。
另外,泄露的服務(wù)器還包含了一些公司的名單,這些公司已經(jīng)注冊了獵頭公司的服務(wù),并在其幫助下聘用了高管。粗略地搜索一下這份名單,就會發(fā)現(xiàn)其中既有卡夫亨氏(Kraft Heinz)和斯通科爾(StonCor)等外國公司,也有許多像中國航空動力控制公司(China Aviation Power Control)和無錫安泰科技(Wuxi AMT Technology)這樣的中國本土公司。
報(bào)道中提到,3月10日(文中第一次提到的泄露事件)被Jain發(fā)現(xiàn)泄露簡歷的三家中國公司都建立了各自的實(shí)時(shí)數(shù)據(jù)庫,而這些公司都往往是規(guī)模龐大且地位穩(wěn)固的企業(yè)。那么,此次泄露事件又是怎么發(fā)生的呢?
可惜的是,安全研究人員還尚未查明泄露事件的成因。
超過5.9億份簡歷被泄露
在過去的三個(gè)月里,中國公司總共泄露了 5.9 億份簡歷。不得不說,這個(gè)數(shù)字足矣讓任何一位了解隱私保護(hù)重要性的用戶覺得頭皮發(fā)麻。
當(dāng)然,也正如上面所說,也許也有不少人并不認(rèn)為公開簡歷有什么大不了的。但是,當(dāng)用戶發(fā)覺不法分子在獲取到簡歷之后還可以通過其他手段得到更多自己的私密信息時(shí),危機(jī)其實(shí)早已伴其左右。
一般情況下,為了保證用戶的個(gè)人簡歷信息安全,其往往會被人力資源公司要求定期刪除完整版簡歷中包含的個(gè)人身份信息,如電話號碼、家庭住址、家庭和婚姻狀況,有時(shí)還會刪除身份證號碼。同樣的,當(dāng)用戶在求職門戶網(wǎng)站上填寫個(gè)人信息時(shí),他們認(rèn)為一些數(shù)據(jù)只允許提供給雇主,而不是整個(gè)互聯(lián)網(wǎng)。
那么,中國人力資源公司和中國招聘門戶網(wǎng)站在用戶隱私保護(hù)方面做得怎樣呢?至少我們從這已經(jīng)泄露的 5.9 億份簡歷來看,只能搖頭興嘆了。