據(jù)TechCrunch 5月1日?qǐng)?bào)告�����,美國(guó)著名招聘公司Ladders因安全失效,超過(guò)1370萬(wàn)用戶信息被數(shù)據(jù)泄露����。
這家總部位于美國(guó)、成立于2003年的招聘公司�,旨在為用戶提供職業(yè)新聞、職業(yè)建議�����、和在線求職服務(wù),為雇主和高級(jí)招聘人員提供訂閱服務(wù)�����。
從服務(wù)對(duì)象和市場(chǎng)定位來(lái)看���,Ladders是國(guó)內(nèi)高端人才招聘公司獵聘成立之初對(duì)標(biāo)的對(duì)象�����,僅僅推出年薪為10萬(wàn)美元以上的工作機(jī)會(huì)�����,后來(lái)將用戶拓展至年薪為4萬(wàn)美元至25萬(wàn)美元之間��。
安全研究員Sanyam Jain最先發(fā)現(xiàn)該數(shù)據(jù)庫(kù)數(shù)據(jù)泄露�,他也是GDI基金會(huì)的成員����,GDI基金會(huì)是一家旨在保護(hù)數(shù)據(jù)的非營(yíng)利組織。
因配置錯(cuò)誤�,The Ladderts上公開(kāi)了亞馬遜托管的Elasticsearch數(shù)據(jù)庫(kù)�,導(dǎo)致1370萬(wàn)用戶的個(gè)人身份信息泄露��。
在不需要密碼的情況下��,任何人都可以訪問(wèn)該數(shù)據(jù)庫(kù)��。
暴露的信息包括求職者的姓名��,電子郵件地址��,就業(yè)歷史以及申請(qǐng)人正在尋找工作����、行業(yè)和當(dāng)前薪資水平。
泄露信息包括求職者的姓名���,地址,電話號(hào)碼和職位描述等在安全研究員向TechCrunch報(bào)告的一個(gè)小時(shí)之內(nèi)���,The Ladders已將數(shù)據(jù)庫(kù)拉下線�,確認(rèn)數(shù)據(jù)安全���。
發(fā)生數(shù)據(jù)泄露事件后�,The Ladders公司的創(chuàng)始人兼首席執(zhí)行官M(fèi)arc Cenedella發(fā)布了一份簡(jiǎn)短的聲音。
他說(shuō)���,“AWS服務(wù)提供商確認(rèn)了我們的ASW托管彈性搜索是安全的��,只有內(nèi)部員工才可以在指定的IP地址訪問(wèn)�����。我們將研究這種潛在的盜竊行為����,并感謝您的幫助了�。” 但是他們并未詳細(xì)說(shuō)明用戶信息暴露的時(shí)間或在“裸奔”期間,數(shù)據(jù)是否被訪問(wèn)����。
TechCrunch聯(lián)系了十幾位該網(wǎng)站的注冊(cè)求職者,證實(shí)了信息泄露的事實(shí)�����。
其中幾個(gè)人確認(rèn)����,從數(shù)據(jù)庫(kù)內(nèi)檢索出來(lái)的數(shù)據(jù)信息�����,與他們?cè)谠摼W(wǎng)站上的注冊(cè)簡(jiǎn)歷信息一致����。
一名用戶表示�����,在這次大規(guī)模信息泄露后����,他以后“不再使用該網(wǎng)站”。
部分個(gè)人數(shù)據(jù)在網(wǎng)站上屬于公開(kāi)信息����,允許The Ladders網(wǎng)站的其他注冊(cè)用戶查看,但是這次信息泄露讓他們?cè)谝獾氖怯|及敏感的個(gè)人隱私����,比如電子郵件�����,郵政地址,電話號(hào)碼以及基于其IP地址的大致地理位置���。
除了求職者以外�,還有一個(gè)群體的信息也被公開(kāi)���。
這次有超過(guò)379,000名招聘人員的信息被曝光�,關(guān)于他們的數(shù)據(jù)不那么敏感��,可能主要是個(gè)人電話��、郵件和就業(yè)公司���。
值得一提的是����,越來(lái)越多的用戶數(shù)據(jù)被置身于“裸奔”狀態(tài)��,隱私信息泄露已經(jīng)成為一個(gè)讓人感到無(wú)奈��、卻少有改善的頑疾��。
一般存在兩種情況,包括從招聘平臺(tái)內(nèi)部泄露和第三方數(shù)據(jù)抓取���。
今年1月��,界面新聞曾經(jīng)報(bào)道超過(guò)2億中國(guó)求職者簡(jiǎn)歷泄露�,曝光時(shí)間接近一周�����。
人力資源服務(wù)企業(yè)前程無(wú)憂和58同城可能是簡(jiǎn)歷的數(shù)據(jù)來(lái)源�����,58同城的新聞發(fā)言人當(dāng)時(shí)回應(yīng)意為��,“簡(jiǎn)歷數(shù)據(jù)不是從58同城的平臺(tái)上泄露的”�����,而是用戶將簡(jiǎn)歷設(shè)置為公開(kāi)可見(jiàn)時(shí)�����,第三方數(shù)據(jù)抓取����。
招聘網(wǎng)站對(duì)求職者簡(jiǎn)歷做出了什么保護(hù)措施?如何保護(hù)用戶信息安全�����?2018年12月�,58同城上線“建立手機(jī)號(hào)保護(hù)”服務(wù),完善就業(yè)服務(wù)防火墻���。
覆蓋簡(jiǎn)歷公開(kāi)設(shè)置��、黑名單設(shè)置�、個(gè)性化隱私服務(wù)等隱私設(shè)置功能��,生成第三方虛擬號(hào)碼���,全方位保護(hù)求職者隱私����。
界面新聞?dòng)浾叩卿?8同城官網(wǎng)�,發(fā)現(xiàn)仍然可以看到求職者簡(jiǎn)歷上的大量公開(kāi)信息。
在58同城官網(wǎng)上注冊(cè)的賬號(hào)均可搜索所有人簡(jiǎn)歷��,并查看年齡、頭像�、詳細(xì)的教育背景和工作經(jīng)歷等信息,但不能查看手機(jī)號(hào)�����。
2015年至今�����,多地公安機(jī)關(guān)發(fā)布公告��,提醒求職者警惕招聘詐騙��。
而在網(wǎng)上公開(kāi)的大量個(gè)人信息并不只是一份簡(jiǎn)歷�����,可能被技術(shù)不精明的詐騙者可以用于其他目的�。
