北京時(shí)間4月5日下午，美國(guó)科技媒體ZDNet將幾個(gè)月前便收到的一些有關(guān)服務(wù)器泄露提示的消息公之于眾。報(bào)道稱，中國(guó)企業(yè)今年前3個(gè)月出現(xiàn)數(shù)起簡(jiǎn)歷信息泄露事故，涉及5.9億份簡(jiǎn)歷。消息一經(jīng)曝出，引起國(guó)人高度關(guān)注。

只有中國(guó)公司遭殃

報(bào)道稱，大多數(shù)簡(jiǎn)歷泄露都是由于MongoDB數(shù)據(jù)庫(kù)和ElasticSearch服務(wù)器的安全性很差所導(dǎo)致。據(jù)悉，這些服務(wù)器在沒(méi)有密碼的情況下被暴露在網(wǎng)上，亦或在防火墻出現(xiàn)意外錯(cuò)誤后最終在線。

值得一提的是，此次泄露事件只涉及中國(guó)公司。在ZDNet整理幾個(gè)月、尤其是最近幾周里收到的一些關(guān)于泄露的提示時(shí)發(fā)現(xiàn)，這些服務(wù)器在接受調(diào)查時(shí)全部屬于專注于人力資源的中國(guó)企業(yè)。

泄露事件從極個(gè)別的獵頭公司開(kāi)始，首先是泄露少量簡(jiǎn)歷的小公司，他們以這樣或者那樣的形式泄露了用戶的信息，而這樣的行為在起初很難被用戶察覺(jué)。當(dāng)然，隨著日積月累這種行為最終會(huì)被發(fā)現(xiàn)。

安全研究員、GDI基金會(huì)的成員Sanyam Jain在發(fā)給ZDNet的提示中這樣寫道：“我在3月10日發(fā)現(xiàn)了一個(gè)存儲(chǔ)有3300萬(wàn)中國(guó)用戶簡(jiǎn)歷的ElasticSearch服務(wù)器。之后，我向中國(guó)國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)小組(CNCERT)報(bào)告了該問(wèn)題。四天后，該數(shù)據(jù)庫(kù)得到了保護(hù)。”

簡(jiǎn)歷泄露事件頻發(fā)

事情并沒(méi)有結(jié)束，距離上一次發(fā)現(xiàn)僅僅過(guò)去了三天時(shí)間。3月13日，安全研究員Devin Stokes再發(fā)現(xiàn)另一個(gè)ElasticSearch服務(wù)器存在泄露情況。

Stokes稱，這個(gè)ElasticSearch服務(wù)器里面包含了8480萬(wàn)份簡(jiǎn)歷，這其中包含了簡(jiǎn)歷擁有者的目前薪資、工作經(jīng)歷、教育程度、技能、接受過(guò)的培訓(xùn)以及之前工作經(jīng)驗(yàn)等詳細(xì)信息。同樣的，Stokes第一時(shí)間將事情告知了CNCERT，并在CNCERT的幫助下關(guān)閉了該服務(wù)器。

之后，Jain連續(xù)發(fā)現(xiàn)簡(jiǎn)歷泄露的情況出現(xiàn)：

·第三次，Jain在3月15日發(fā)現(xiàn)另一個(gè)ElasticSearch實(shí)例，這次他持有3300萬(wàn)份簡(jiǎn)歷，這是他在3月15日發(fā)現(xiàn)的。“數(shù)據(jù)庫(kù)意外脫機(jī)，在向CNCERT報(bào)告后我沒(méi)有收到任何的回復(fù)，”Jain告訴ZDNet。

·第四次，服務(wù)器存儲(chǔ)了一家中國(guó)公司的900萬(wàn)份簡(jiǎn)歷，而他在另一個(gè)ElasticSearch服務(wù)器中找到了這些簡(jiǎn)歷。

·第五次，這次是一個(gè)擁有1.29億份簡(jiǎn)歷的ElasticSearch服務(wù)器集群。在ZDNet發(fā)文時(shí)，這個(gè)數(shù)據(jù)庫(kù)仍然暴露在網(wǎng)上，因?yàn)镴ain無(wú)法確定它的所有者。

·最后的兩次同樣是兩臺(tái)ElasticSearch服務(wù)器，它們分別存儲(chǔ)了18萬(wàn)份簡(jiǎn)歷和1.7萬(wàn)份簡(jiǎn)歷。

此外，4月5日安全研究人員Diachenko發(fā)現(xiàn)了一個(gè)類似的服務(wù)器，其中包含了2050萬(wàn)中國(guó)用戶的簡(jiǎn)歷，其中包含龐大的詳細(xì)信息。該研究人員目前正在確認(rèn)并通知泄露這些數(shù)據(jù)的公司。Diachenko的另一個(gè)發(fā)現(xiàn)是在1月份，他發(fā)現(xiàn)一個(gè)MongoDB數(shù)據(jù)庫(kù)泄露了超過(guò)2.02億中國(guó)用戶的簡(jiǎn)歷。

......

據(jù)統(tǒng)計(jì)，僅在過(guò)去的一個(gè)月里，安全研究人員就發(fā)現(xiàn)并報(bào)告了7例這樣的泄露事件，而在ZDNet發(fā)表文章之前，只有4例被刪除。因此，Diachenko認(rèn)為這些數(shù)據(jù)可能早已落入了壞人手中。

比簡(jiǎn)歷泄露更可怕

在搜集素材的時(shí)候，本宅看到不少網(wǎng)友在評(píng)論區(qū)這樣寫道：“唉，泄露就泄露吧，我已經(jīng)皮了?！憋@然，他們想錯(cuò)了。

伴隨著簡(jiǎn)歷泄露事件的發(fā)生，簡(jiǎn)歷所有者的更多個(gè)人信息也被相繼泄露。該服務(wù)器還包含每個(gè)用戶的完整個(gè)人資料，包括當(dāng)前的工作、招聘人員和高管之間最近的對(duì)話、培訓(xùn)課程等等。

另外，泄露的服務(wù)器還包含了一些公司的名單，這些公司已經(jīng)注冊(cè)了獵頭公司的服務(wù)，并在其幫助下聘用了高管。粗略地搜索一下這份名單，就會(huì)發(fā)現(xiàn)其中既有卡夫亨氏(Kraft Heinz)和斯通科爾(StonCor)等外國(guó)公司，也有許多像中國(guó)航空動(dòng)力控制公司(China Aviation Power Control)和無(wú)錫安泰科技(Wuxi AMT Technology)這樣的中國(guó)本土公司。

報(bào)道中提到，3月10日（文中第一次提到的泄露事件）被Jain發(fā)現(xiàn)泄露簡(jiǎn)歷的三家中國(guó)公司都建立了各自的實(shí)時(shí)數(shù)據(jù)庫(kù)，而這些公司都往往是規(guī)模龐大且地位穩(wěn)固的企業(yè)。那么，此次泄露事件又是怎么發(fā)生的呢？

可惜的是，安全研究人員還尚未查明泄露事件的成因。

超過(guò)5.9億份簡(jiǎn)歷被泄露

在過(guò)去的三個(gè)月里，中國(guó)公司總共泄露了 5.9 億份簡(jiǎn)歷。不得不說(shuō)，這個(gè)數(shù)字足矣讓任何一位了解隱私保護(hù)重要性的用戶覺(jué)得頭皮發(fā)麻。

當(dāng)然，也正如上面所說(shuō)，也許也有不少人并不認(rèn)為公開(kāi)簡(jiǎn)歷有什么大不了的。但是，當(dāng)用戶發(fā)覺(jué)不法分子在獲取到簡(jiǎn)歷之后還可以通過(guò)其他手段得到更多自己的私密信息時(shí)，危機(jī)其實(shí)早已伴其左右。

一般情況下，為了保證用戶的個(gè)人簡(jiǎn)歷信息安全，其往往會(huì)被人力資源公司要求定期刪除完整版簡(jiǎn)歷中包含的個(gè)人身份信息，如電話號(hào)碼、家庭住址、家庭和婚姻狀況，有時(shí)還會(huì)刪除身份證號(hào)碼。同樣的，當(dāng)用戶在求職門戶網(wǎng)站上填寫個(gè)人信息時(shí)，他們認(rèn)為一些數(shù)據(jù)只允許提供給雇主，而不是整個(gè)互聯(lián)網(wǎng)。

那么，中國(guó)人力資源公司和中國(guó)招聘門戶網(wǎng)站在用戶隱私保護(hù)方面做得怎樣呢？至少我們從這已經(jīng)泄露的  5.9 億份簡(jiǎn)歷來(lái)看，只能搖頭興嘆了。