智联招聘躺枪 更多用户信息在售
12月2日,国内漏洞应急平台乌云上发布一个漏洞“看我如何拿下智联招聘八十六万用户简历”,宣称智联招聘网站有简历信息泄露的漏洞。次日,智联招聘及时回复,乌云网漏洞中提到的IP地址并不是智联招聘的地址,而是上海另外一个招聘网站,智联招聘绝对没有泄露任何用户简历信息。
一个不能忽略的事实是,并非乌云公布信息的时候才发现数据漏洞。据了解,更多用户信息今年9月开始就在网上销售,近期一些销售数据资料的微信群里也在销售宣称是智联招聘简历的资料。
据购买这份资料的人透露,“社工库论坛”上销售“一个招聘网站简历”的帖子,宣称有86万用户信息资料,其中包含姓名、手机号、部分身份证号、毕业院校、求职目标、期望薪资等信息,全部数据售价只有不到100元。
我从截图信息数据中随机抽取了5个用户打电话询问,其中3位半年多前只在智联招聘发过信息,而另外2位在智联招聘、51Job上都发过信息,电话、学校、求职意向等信息都是准确的。
那么很多问题都来了。首先, 86万数据到底是谁泄露的?智联招聘是不是躺枪呢?
据智联招聘回复,漏洞报告中提到的IP地址指向上海另外一个招聘网站,但是我采样的几个数据则依然有指向智联招聘的可能。而被指向的另外一个公司则回应“不接受采访”。
从智联招聘和乌云网关于IP地址的确认信息看来,此次漏洞泄露的网段并不是直接从智联招聘出来的数据。但是虽然智联招聘一再强调智联招聘绝对没有任何泄露资料的可能,但也没有证据表明这批数据泄露和智联招聘完全没有关系。
综合多位安全领域专家的解读,排除智联招聘本身存在技术安全的可能之外,在智联招聘向一些企业用户开放权限的时候,也有可能因为这些企业方的疏忽造成数据泄露。当然,还存在第三方招聘网站未经授权抓取了智联招聘的信息,然后保管不当造成泄露,也的有可能的。
泄露的资料中有完整的注册账号信息,只要与公司的数据库比对,就可以知道究竟哪个环节出现问题。但目前,依靠我个人的力量实在无法去追溯问题出哪个公司。而且,即使通过舆论去问责这个公司,对于这些被个人信息被泄露的用户来说,也无济于事。
唯有寄希望于这些可能存在数据泄露的公司,能够对用户信息更加妥善保管,不要辜负用户对平台的信任。
今年以来,我个人跟进了携程泄密、Openssl漏洞的报道,最终都会感觉到深深的无力感。作为一个互联网终端用户,只要把自己的信息提交出去,那就相当于老虎卸下自己的爪牙,到底这些信息会被如何处理,个人完全无法控制。
而仔细去看每个互联网公司的用户条款,其中关于免责的部分基本上都有一条 “黑客攻击”导致的问题,企业不承担任何责任。这更让公司挂上了“免死金牌”,即使出现了数据泄露,公司也不需要承担法律责任。
比如智联招聘的声明为“尽管zhaopin.com已作好了全面的安全防范措施后,以下情况仍然有可能发生,例如某一第三方躲过了我们的安全措施并进入我们的数据库,查找到你的简历。zhaopin.com认为在你把你的简历放入我们的数据库时,你已经意识到了这种风险的存在,并同意承担这样的风险。对于因此而引起的任何法律纠纷,zhaopin.com不承担任何法律责任。”
此外,360安全总监赵武表示,人才库数据的大量泄露快递行业和电商行业一样,已经成为用户信息泄露的“重灾区”,大量的用户数据已经发生了多次泄露,数据量远不止几十万。
本文开头提到的数据购买者证实了这一点,因工作需求,他经常活跃在各种的数据买卖的微信群,有的人购买这些数据进行诈骗,而有的人则进行征信复核等用处。而这些数据库因为有广泛的销售渠道,售价也越来越便宜。
赵武还反映了另外一个情况,“国内互联网网站大量的存在漏洞,95%的网站能够被黑,40%的网站存在后门。而接入互联网的企业对于用户的隐私信息并没有深刻的认识,更没有尽到保护的义务。”
从个人信息安全角度,赵武给出的建议是,希望有关部门在互联网相关条约上可以明确就企业由于黑客攻击导致的用户信息泄露的问题进行约束,甚至是立法;
也希望各漏洞平台能够有效的协助企业解决安全问题,不把未修复的漏洞细节公开,避免二次攻击,对企业和公众造成损失。
另外一位软件工程师则提到,目前黑客攻击和数据销售的渠道已经越来越完善,已经成为一个完整的产业链。像简历这种只有姓名、手机等的信息并不值钱,更大的危险来自移动端支付相关的产品。利用WiFi或者直接攻击手机系统,个人交易的安全也存在很大风险。
为了自身安全,我打算去找业内人士咨询一些实用的建议,既然大环境不能控制,那么个人在维护自己安全方面,到底能做哪些事情。