2014-12-05 14:47:00||字號:
海外網12月5日電 12月2日,國內漏洞應急平台烏雲上發布一個漏洞“看我如何拿下智聯招聘八十六萬用戶簡歷”,宣稱智聯招聘網站有簡歷信息泄露的漏洞。12月3日,智聯招聘及時回復,烏雲網漏洞中提到的IP地址並不是智聯招聘的地址,而是上海另外一個招聘網站,智聯招聘絕對沒有泄露任何用戶簡歷信息。
一個不能忽略的事實是,並非烏雲公布信息的時候才發現數據漏洞。據了解,更多用戶信息今年9月開始就在網上銷售,近期一些銷售數據資料的微信群裡也在銷售宣稱是智聯招聘簡歷的資料。
據購買這份資料的人透露,“社工庫論壇”上銷售“一個招聘網站簡歷”的帖子,宣稱有86萬用戶信息資料,其中包含姓名、手機號、部分身份証號、畢業院校、求職目標、期望薪資等信息,全部數據售價隻有不到100元。
我從截圖信息數據中隨機抽取了5個用戶打電話詢問,其中3位半年多前隻在智聯招聘發過信息,而另外2位在智聯招聘、51Job上都發過信息,電話、學校、求職意向等信息都是准確的。
那麼很多問題都來了。首先,86萬數據到底是誰泄露的?智聯招聘是不是躺槍呢?
據智聯招聘回復,漏洞報告中提到的IP地址指向上海另外一個招聘網站,但是我採樣的幾個數據則依然有指向智聯招聘的可能。而被指向的另外一個公司則回應“不接受採訪”。
從智聯招聘和烏雲網關於IP地址的確認信息看來,此次漏洞泄露的網段並不是直接從智聯招聘出來的數據。但是雖然智聯招聘一再強調智聯招聘絕對沒有任何泄露資料的可能,但也沒有証據表明這批數據泄露和智聯招聘完全沒有關系。
綜合多位安全領域專家的解讀,排除智聯招聘本身存在技術安全的可能之外,在智聯招聘向一些企業用戶開放權限的時候,也有可能因為這些企業方的疏忽造成數據泄露。當然,還存在第三方招聘網站未經授權抓取了智聯招聘的信息,然后保管不當造成泄露,也的有可能的。
泄露的資料中有完整的注冊賬號信息,隻要與公司的數據庫比對,就可以知道究竟哪個環節出現問題。但目前,依靠我個人的力量實在無法去追溯問題出哪個公司。而且,即使通過輿論去問責這個公司,對於這些被個人信息被泄露的用戶來說,也無濟於事。
唯有寄希望於這些可能存在數據泄露的公司,能夠對用戶信息更加妥善保管,不要辜負用戶對平台的信任。
2014年以來,我個人跟進了攜程泄密、Openssl漏洞的報道,最終都會感覺到深深的無力感。作為一個互聯網終端用戶,隻要把自己的信息提交出去,那就相當於老虎卸下自己的爪牙,到底這些信息會被如何處理,個人完全無法控制。
而仔細去看每個互聯網公司的用戶條款,其中關於免責的部分基本上都有一條 “黑客攻擊”導致的問題,企業不承擔任何責任。這更讓公司挂上了“免死金牌”,即使出現了數據泄露,公司也不需要承擔法律責任。
比如智聯招聘的聲明為“盡管zhaopin.com已作好了全面的安全防范措施后,以下情況仍然有可能發生,例如某一第三方躲過了我們的安全措施並進入我們的數據庫,查找到你的簡歷。zhaopin.com認為在你把你的簡歷放入我們的數據庫時,你已經意識到了這種風險的存在,並同意承擔這樣的風險。對於因此而引起的任何法律糾紛,zhaopin.com不承擔任何法律責任。”
此外,360安全總監趙武表示,人才庫數據的大量泄露快遞行業和電商行業一樣,已經成為用戶信息泄露的“重災區”,大量的用戶數據已經發生了多次泄露,數據量遠不止幾十萬。
本文開頭提到的數據購買者証實了這一點,因工作需求,他經常活躍在各種的數據買賣的微信群,有的人購買這些數據進行詐騙,而有的人則進行征信復核等用處。而這些數據庫因為有廣泛的銷售渠道,售價也越來越便宜。
趙武還反映了另外一個情況,“國內互聯網網站大量的存在漏洞,95%的網站能夠被黑,40%的網站存在后門。而接入互聯網的企業對於用戶的隱私信息並沒有深刻的認識,更沒有盡到保護的義務。”
從個人信息安全角度,趙武給出的建議是,希望有關部門在互聯網相關條約上可以明確就企業由於黑客攻擊導致的用戶信息泄露的問題進行約束,甚至是立法﹔
也希望各漏洞平台能夠有效的協助企業解決安全問題,不把未修復的漏洞細節公開,避免二次攻擊,對企業和公眾造成損失。
另外一位軟件工程師則提到,目前黑客攻擊和數據銷售的渠道已經越來越完善,已經成為一個完整的產業鏈。像簡歷這種隻有姓名、手機等的信息並不值錢,更大的危險來自移動端支付相關的產品。利用WiFi或者直接攻擊手機系統,個人交易的安全也存在很大風險。
為了自身安全,我打算去找業內人士咨詢一些實用的建議,既然大環境不能控制,那麼個人在維護自己安全方面,到底能做哪些事情。(李麗凱)
智聯招聘 招聘網站 用戶信息 簡歷 用戶數據