当前位置:首页 > 名言 > 你的简历安全吗?2.02亿中国求职者简历遭泄露

你的简历安全吗?2.02亿中国求职者简历遭泄露

关键词:   发布时间:2019-08-14 08:00:01


2018年12月28日,推特用户Bob Diachenko爆料称,一个包含2.02亿份中国人简历信息的数据库泄露,这些简历内容非常详细,包括姓名、生日、手机号码、邮箱、婚姻状况、政治面貌和工作经历等。


Diachenko还在推特上晒出过一张中英文翻译截图。一名求职者在自我介绍后称,"只想有份稳定工作。"



Bob Diachenko是Hacken.io网络风险研究和bug赏金平台HackenProof的总监。


2018年12月28日,他分析了BinaryEdge搜索引擎(https://app.binaryedge.io/)的数据流,并确定了一个开放且不受保护的MongoDB数据库实例: 



Shodan搜索结果中也出现了相同的IP :

 


经过仔细检查,一个854 GB大小的MongoDB数据库无人看管,无需密码/登录验证即可查看和访问中国求职者超过2亿份非常详细的简历。


202,730,434条记录中的每条记录不仅包含候选人的技能和工作经验,还包括他们的个人信息,如手机号码,电子邮件,婚姻,子女,政治,身高,体重,驾驶执照,识字水平,薪水,期望等等

 

 

数据的来源仍然未知。但据Bob Diachenko的一个Twitter粉丝称,一个GitHub repository中包含的Web应用程序源代码与暴露简历所使用的结构模式相似,目前,这个页面已经无法打开了但还能在Google缓存中找到。


https://github.com/xzfan/data-import

 



 

其中,有一个名为“data-import” 的工具,于3年前创建,似乎是为了从不同的中文分类广告中搜集简历而创建的,例如bj.58.com和其他平台。


目前尚不清楚这些收集简历的行为是公司行为还是个人行为,其中相当一部分简历标记为“Privacy”。


BJ.58.com的安全团队否认数据来自其公司,并做出以下申明:


我们搜遍了我们的数据库并调查了所有其他存储,结果发现样本数据没有泄露给我们。


似乎数据是从第三方泄露出来的,这些第三方从许多CV网站上抓取数据。


Bob Diachenko在Twitter上发布通知后不久,该数据库已得到保护。值得注意的是,MongoDB日志显示至少有十几个IP可能在脱机之前访问过数据。



关于简历数据泄露的消息并不少见。此前有媒体报道,一些招聘网站向企业和个人账号开放简历搜索权限。有卖家称,花700元就可购买一套采集软件,批量爬取多家知名招聘平台全国简历信息。


国内安全人士分析,本次数据是通过爬取收集的可能性非常小。因为一般简历公开数据不会这么详细,而且部分内容会脱敏,更可能是相关业务存在未授权或者其它漏洞而导致数据泄露。


“简历其实就是个人画像数据。如果大规模被泄露或被利用,可能造成严重的危害。”


在上传简历信息时,应选择可信的招聘或者猎头平台。当给出姓名、电话、身份证、银行卡等可与自己直接关联的数据时,要特别谨慎。对于简历上提到的数据,建议与个人敏感数据分离。


用户应该养成良好的密码设置和保管意识,密码组合应尽量复杂、位数要多,包括字母、数字和特殊符号,尽量不使用生日、名字拼音等。此外,在不同平台设置不同密码且最好定期修改。


参考来源:

  • 黑鸟

  • 南方都市报




- End -


看雪企服上线啦~

让每个人都有属于自己的安全专家


https://qifu.kanxue.com/



往期热门资讯:        




公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击下方“阅读原文”
相关内容
分享 2019-08-14 08:00:01

0个评论

文明上网理性发言,请遵守新闻评论服务协议