根据科技媒体《ZDNet》报导,2019 年刚过了短短的 3 个月,中国企业就外泄了高达 5.9 亿份履历,显示中国的隐私保护问题严重。
科技媒体《ZDNet》从多位网络安全研究人员得知大量中国履历泄漏的消息,多数的履历泄漏都是因为安全性较差的 MongoDB 数据库以及 ElasticSearch 服务器在无需密码的状况下外泄资料。履历外泄并非单一公司的问题,而是从小公司到专业的猎人头公司都有履历外泄到网络上。多数用户填写履历时会预设这些个人资料只会提供给特定的公司使用,显然他们不会预料到履历会被外泄到网络上,成为人人可以查看的公开内容。
揭露多数履历泄漏的都是网络安全研究人员和 GDI 基金会一员的 Sanyam Jain,他一个月就发现并报告了 7 件履历泄漏案件。最早在 3 月 10 日,Jain 发现一个 ElasticSearch 服务器中有 3,300 万份中国用户的履历,并向中国的国家互联网应急中心(CNCERT)报告,这些履历在接获报告的 4 天后受到保护。
接着他又在 3 月 13 日发现 8,480 万份履历被外泄,内容包括用户目前的薪资、过去每份工作的薪资、工作经历、学历、专长和曾受过的培训。Jain 发现最大的履历泄漏事件共外泄了 1.29 亿份履历,而且由于他无法辨识数据库的所有者,这些履历还暴露在网络上。
Around 33 Million Job profiles were found online of three Chinese companies and is on a live database. All were big and established. How it can happen. How Chinese companies can put their people data online with their current location. #cywar2stop pic.twitter.com/EtgoP38QNl
— Sanyam (@HydroMercury) 2019年3月10日
84.8 Million Chinese resumes exposed.
Current salary, work history, education, skills, trainings received, sallary of all previous jobs.
This is some thorough information. pic.twitter.com/StEgfU4H9K
— stoXe (@DevinStokes) 2019年2月28日
Sanyam Jain 不是唯一发现大量履历外泄的人,还有 Devin Stokes 和 Bob Diachenko 等其他研究人员。Stokes 发现了一家活跃于中国市场的猎人头公司外泄了 1,900 万份中国用户的履历,而且全部都是管理阶层的履历。而且外泄的不只履历表还有用户的完整档案,像是现在的工作、最近和主管还有招聘人员的对话内容以及上过的培训课程等。外泄的甚至还有一份公司名单,名单上的是委托猎人头公司寻找高阶主管的客户,包括美国食品公司卡夫亨氏(Kraft Heinz)等外商,但多数还是中国的当地企业。
另一名研究人员 Diachenko 则发现两个外泄的数据库,分别泄漏 2,050 万份和 2.02 亿份履历。这些研究人员在 2019 年前 3 个月总共发现了超过 5.9 亿份履历从中国公司外泄,这显示中国的人力资源部门和猎人头公司并未重视资料保存的安全性以及用户的隐私。
20,591,134 Chinese CVs with pretty detailed information appeared on a leaky server at some point last week. Quickly taken down by CERT after notification but I think this data might have landed in wrong hands already. Not sure if this is same data reported in Jan pic.twitter.com/aX6muDEr46
— Bob Diachenko (@MayhemDayOne) 2019年4月2日
- Chinese companies have leaked over 590 million resumes via open databases
(首图来源:pixabay)
延伸阅读:
- 中国监控-“天网”数据库有漏洞,超过 250 万人资料及详细路径、座标可能外泄
- 小说 1984 真实上演,上千万中国人因社会信用评分被禁搭飞机和火车
- 个资恐被看光光,杜奕瑾:别用中国 App 和设备
- 忧 App 泄隐私,中国网友无奈还是得用
