中国企业泄露5.9亿份简历信息，用户：咋被坑的都不知道？

刚到公司，一堆同事便上来问我：“宅宅，你这是要跳槽吗？”

难道我嫌弃办公室男女比例10:1的事情被发现了？不久前刚更新了简历的我瑟瑟发抖。到底是谁泄漏了我的简历？

北京时间4月5日下午，美国科技媒体ZDNet将几个月前便收到的一些有关服务器泄露提示的消息公之于众。报道称，中国企业今年前3个月出现数起简历信息泄露事故，涉及5.9亿份简历。

消息一经曝出，引起国人高度关注。

只有中国公司遭殃

报道称，大多数简历泄露都是由于MongoDB数据库和ElasticSearch服务器的安全性很差所导致。据悉，这些服务器在没有密码的情况下被暴露在网上，亦或在防火墙出现意外错误后最终在线。

值得一提的是，此次泄露事件只涉及中国公司。在ZDNet整理几个月前、尤其是最近几周里收到的一些关于泄露的提示时发现，这些服务器在接受调查时全部属于专注于人力资源的中国企业。

泄露事件从极个别的猎头公司开始，首先是泄露少量简历的小公司，他们以这样或者那样的形式泄露了用户的信息，而这样的行为在起初很难被察觉。当然，随着日积月累这种行为最终会被发现。

安全研究员、GDI基金会的成员Sanyam Jain在发给ZDNet的提示中这样写道：“我在3月10日发现了一个存储有3300万中国用户简历的ElasticSearch服务器。之后，我向中国国家计算机应急响应小组(CNCERT)报告了该问题。四天后，该数据库得到了保护。”

简历泄露事件频发

事情并没有结束，距离上一次发现仅仅过去了三天时间。3月13日，安全研究员Devin Stokes再发现另一个ElasticSearch服务器存在泄露情况。

Stokes称，这个ElasticSearch服务器里面包含了8480万份简历，这其中包含了简历拥有者的目前薪资、工作经历、教育程度、技能、接受过的培训以及之前工作经验等详细信息。同样的，Stokes第一时间将事情告知了CNCERT，并在其帮助下关闭了该服务器。

之后，Jain连续发现简历泄露的情况出现：

第三次，Jain在3月15日发现另一个ElasticSearch实例，这次同样持有3300万份简历，这是他在3月15日发现的。“大概是数据库意外脱机，在向CNCERT报告后我没有收到任何的回复，”Jain告诉ZDNet。

第四次，服务器存储了一家中国公司的900万份简历，而他在另一个ElasticSearch服务器中找到了这些简历。

第五次，这次是一个拥有1.29亿份简历的ElasticSearch服务器集群。在ZDNet发文时，这个数据库仍然暴露在网上，因为Jain无法确定它的所有者。

最后的两次同样是两台ElasticSearch服务器，它们分别存储了18万份简历和1.7万份简历。

此外，4月5日安全研究人员Diachenko发现了一个类似的服务器，其中包含了2050万份中国用户的简历，其中包含了用户的详细信息。该研究人员目前正在确认并通知泄露这些数据的公司。Diachenko的另一个发现是在1月份，他发现一个MongoDB数据库泄露了超过2.02亿中国用户的简历。

......

据统计，仅在过去的一个月里，安全研究人员就发现并报告了7例这样的泄露事件，而在ZDNet发表文章之前，只有4例被删除。因此，Diachenko认为这些数据可能早已落入了坏人手中。

比简历泄露更可怕

在搜集素材的时候，本宅看到不少网友在评论区这样写道：“唉，泄露就泄露吧，我已经皮了。”显然，他们想错了。

伴随着简历泄露事件的发生，简历所有者的更多个人信息也被相继泄露。宅客频道获悉，该服务器还包含每个用户的完整个人资料，包括当前的工作、招聘人员和高管之间最近的对话、培训课程等等。

另外，泄露的服务器还包含了一些公司的名单，这些公司已经注册了猎头公司的服务，并在其帮助下聘用了高管。粗略地搜索一下这份名单，就会发现其中既有卡夫亨氏(Kraft Heinz)和斯通科尔(StonCor)等外国公司，也有许多像中国航空动力控制公司(China Aviation Power Control)和无锡安泰科技(Wuxi AMT Technology)这样的中国本土公司。

报道中提到，3月10日（文中第一次提到的泄露事件）被Jain发现泄露简历的三家中国公司都建立了各自的实时数据库，而这些公司都往往是规模庞大且地位稳固。那么，此次泄露事件又是怎么发生的呢？

可惜的是，安全研究人员还尚未查明泄露事件的成因。

超过5.9亿份简历被泄露

在过去的三个月里，中国公司总共泄露了 5.9 亿份简历。不得不说，这个数字足矣让任何一位了解隐私保护重要性的用户觉得头皮发麻。

当然，也正如上面所说，也许也有不少人并不认为公开简历有什么大不了的。但是，当用户发觉不法分子在获取到简历之后还可以通过其他手段得到更多自己的私密信息时，危机其实早已伴其左右。

宅客频道了解到，一般情况下，为了保证用户的个人简历信息安全，其往往会被人力资源公司要求定期删除完整版简历中包含的个人身份信息，如电话号码、家庭住址、家庭和婚姻状况，有时还会删除身份证号码。同样的，当用户在求职门户网站上填写个人信息时，他们认为一些数据只允许提供给雇主，而不是整个互联网。

那么，中国人力资源公司和中国招聘门户网站在用户隐私保护方面做得怎样呢？至少我们从这已经泄露的  5.9 亿份简历来看，只能摇头兴叹了。

参考来源：ZDNet

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注