剛到公司，一堆同事便上來(lái)問(wèn)我：“宅宅，你這是要跳槽嗎？”

難道我嫌棄辦公室男女比例10:1的事情被發(fā)現(xiàn)了？不久前剛更新了簡(jiǎn)歷的我瑟瑟發(fā)抖。到底是誰(shuí)泄漏了我的簡(jiǎn)歷？

北京時(shí)間4月5日下午，美國(guó)科技媒體ZDNet將幾個(gè)月前便收到的一些有關(guān)服務(wù)器泄露提示的消息公之于眾。報(bào)道稱(chēng)，中國(guó)企業(yè)今年前3個(gè)月出現(xiàn)數(shù)起簡(jiǎn)歷信息泄露事故，涉及5.9億份簡(jiǎn)歷。

消息一經(jīng)曝出，引起國(guó)人高度關(guān)注。

只有中國(guó)公司遭殃

報(bào)道稱(chēng)，大多數(shù)簡(jiǎn)歷泄露都是由于MongoDB數(shù)據(jù)庫(kù)和ElasticSearch服務(wù)器的安全性很差所導(dǎo)致。據(jù)悉，這些服務(wù)器在沒(méi)有密碼的情況下被暴露在網(wǎng)上，亦或在防火墻出現(xiàn)意外錯(cuò)誤后最終在線(xiàn)。

值得一提的是，此次泄露事件只涉及中國(guó)公司。在ZDNet整理幾個(gè)月、尤其是最近幾周里收到的一些關(guān)于泄露的提示時(shí)發(fā)現(xiàn)，這些服務(wù)器在接受調(diào)查時(shí)全部屬于專(zhuān)注于人力資源的中國(guó)企業(yè)。

泄露事件從極個(gè)別的獵頭公司開(kāi)始，首先是泄露少量簡(jiǎn)歷的小公司，他們以這樣或者那樣的形式泄露了用戶(hù)的信息，而這樣的行為在起初很難被用戶(hù)察覺(jué)。當(dāng)然，隨著日積月累這種行為最終會(huì)被發(fā)現(xiàn)。

安全研究員、GDI基金會(huì)的成員Sanyam Jain在發(fā)給ZDNet的提示中這樣寫(xiě)道：“我在3月10日發(fā)現(xiàn)了一個(gè)存儲(chǔ)有3300萬(wàn)中國(guó)用戶(hù)簡(jiǎn)歷的ElasticSearch服務(wù)器。之后，我向中國(guó)國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)小組(CNCERT)報(bào)告了該問(wèn)題。四天后，該數(shù)據(jù)庫(kù)得到了保護(hù)?！?/p>

簡(jiǎn)歷泄露事件頻發(fā)

事情并沒(méi)有結(jié)束，距離上一次發(fā)現(xiàn)僅僅過(guò)去了三天時(shí)間。3月13日，安全研究員Devin Stokes再發(fā)現(xiàn)另一個(gè)ElasticSearch服務(wù)器存在泄露情況。

Stokes稱(chēng)，這個(gè)ElasticSearch服務(wù)器里面包含了8480萬(wàn)份簡(jiǎn)歷，這其中包含了簡(jiǎn)歷擁有者的目前薪資、工作經(jīng)歷、教育程度、技能、接受過(guò)的培訓(xùn)以及之前工作經(jīng)驗(yàn)等詳細(xì)信息。同樣的，Stokes第一時(shí)間將事情告知了CNCERT，并在CNCERT的幫助下關(guān)閉了該服務(wù)器。

之后，Jain連續(xù)發(fā)現(xiàn)簡(jiǎn)歷泄露的情況出現(xiàn)：

·第三次，Jain在3月15日發(fā)現(xiàn)另一個(gè)ElasticSearch實(shí)例，這次他持有3300萬(wàn)份簡(jiǎn)歷，這是他在3月15日發(fā)現(xiàn)的?！皵?shù)據(jù)庫(kù)意外脫機(jī)，在向CNCERT報(bào)告后我沒(méi)有收到任何的回復(fù)，”Jain告訴ZDNet。

·第四次，服務(wù)器存儲(chǔ)了一家中國(guó)公司的900萬(wàn)份簡(jiǎn)歷，而他在另一個(gè)ElasticSearch服務(wù)器中找到了這些簡(jiǎn)歷。

·第五次，這次是一個(gè)擁有1.29億份簡(jiǎn)歷的ElasticSearch服務(wù)器集群。在ZDNet發(fā)文時(shí)，這個(gè)數(shù)據(jù)庫(kù)仍然暴露在網(wǎng)上，因?yàn)镴ain無(wú)法確定它的所有者。

·最后的兩次同樣是兩臺(tái)ElasticSearch服務(wù)器，它們分別存儲(chǔ)了18萬(wàn)份簡(jiǎn)歷和1.7萬(wàn)份簡(jiǎn)歷。

此外，4月5日安全研究人員Diachenko發(fā)現(xiàn)了一個(gè)類(lèi)似的服務(wù)器，其中包含了2050萬(wàn)中國(guó)用戶(hù)的簡(jiǎn)歷，其中包含龐大的詳細(xì)信息。該研究人員目前正在確認(rèn)并通知泄露這些數(shù)據(jù)的公司。Diachenko的另一個(gè)發(fā)現(xiàn)是在1月份，他發(fā)現(xiàn)一個(gè)MongoDB數(shù)據(jù)庫(kù)泄露了超過(guò)2.02億中國(guó)用戶(hù)的簡(jiǎn)歷。

......

據(jù)統(tǒng)計(jì)，僅在過(guò)去的一個(gè)月里，安全研究人員就發(fā)現(xiàn)并報(bào)告了7例這樣的泄露事件，而在ZDNet發(fā)表文章之前，只有4例被刪除。因此，Diachenko認(rèn)為這些數(shù)據(jù)可能早已落入了壞人手中。

比簡(jiǎn)歷泄露更可怕

在搜集素材的時(shí)候，本宅看到不少網(wǎng)友在評(píng)論區(qū)這樣寫(xiě)道：“唉，泄露就泄露吧，我已經(jīng)皮了。”顯然，他們想錯(cuò)了。

伴隨著簡(jiǎn)歷泄露事件的發(fā)生，簡(jiǎn)歷所有者的更多個(gè)人信息也被相繼泄露。雷鋒網(wǎng)獲悉，該服務(wù)器還包含每個(gè)用戶(hù)的完整個(gè)人資料，包括當(dāng)前的工作、招聘人員和高管之間最近的對(duì)話(huà)、培訓(xùn)課程等等。

另外，泄露的服務(wù)器還包含了一些公司的名單，這些公司已經(jīng)注冊(cè)了獵頭公司的服務(wù)，并在其幫助下聘用了高管。粗略地搜索一下這份名單，就會(huì)發(fā)現(xiàn)其中既有卡夫亨氏(Kraft Heinz)和斯通科爾(StonCor)等外國(guó)公司，也有許多像中國(guó)航空動(dòng)力控制公司(China Aviation Power Control)和無(wú)錫安泰科技(Wuxi AMT Technology)這樣的中國(guó)本土公司。

報(bào)道中提到，3月10日（文中第一次提到的泄露事件）被Jain發(fā)現(xiàn)泄露簡(jiǎn)歷的三家中國(guó)公司都建立了各自的實(shí)時(shí)數(shù)據(jù)庫(kù)，而這些公司都往往是規(guī)模龐大且地位穩(wěn)固的企業(yè)。那么，此次泄露事件又是怎么發(fā)生的呢？

可惜的是，安全研究人員還尚未查明泄露事件的成因。

超過(guò)5.9億份簡(jiǎn)歷被泄露

在過(guò)去的三個(gè)月里，中國(guó)公司總共泄露了 5.9 億份簡(jiǎn)歷。不得不說(shuō)，這個(gè)數(shù)字足矣讓任何一位了解隱私保護(hù)重要性的用戶(hù)覺(jué)得頭皮發(fā)麻。

當(dāng)然，也正如上面所說(shuō)，也許也有不少人并不認(rèn)為公開(kāi)簡(jiǎn)歷有什么大不了的。但是，當(dāng)用戶(hù)發(fā)覺(jué)不法分子在獲取到簡(jiǎn)歷之后還可以通過(guò)其他手段得到更多自己的私密信息時(shí)，危機(jī)其實(shí)早已伴其左右。

雷鋒網(wǎng)了解到，一般情況下，為了保證用戶(hù)的個(gè)人簡(jiǎn)歷信息安全，其往往會(huì)被人力資源公司要求定期刪除完整版簡(jiǎn)歷中包含的個(gè)人身份信息，如電話(huà)號(hào)碼、家庭住址、家庭和婚姻狀況，有時(shí)還會(huì)刪除身份證號(hào)碼。同樣的，當(dāng)用戶(hù)在求職門(mén)戶(hù)網(wǎng)站上填寫(xiě)個(gè)人信息時(shí)，他們認(rèn)為一些數(shù)據(jù)只允許提供給雇主，而不是整個(gè)互聯(lián)網(wǎng)。

那么，中國(guó)人力資源公司和中國(guó)招聘門(mén)戶(hù)網(wǎng)站在用戶(hù)隱私保護(hù)方面做得怎樣呢？至少我們從這已經(jīng)泄露的  5.9 億份簡(jiǎn)歷來(lái)看，只能搖頭興嘆了。

參考來(lái)源：ZDNet雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。