2018年12月28日,推特使用者Bob Diachenko爆料稱,一個包含2.02億份中國人簡歷資訊的資料庫洩露,這些簡歷內容非常詳細,包括姓名、生日、手機號碼、郵箱、婚姻狀況、政治面貌和工作經歷等。
Diachenko還在推特上曬出過一張中英文翻譯截圖。一名求職者在自我介紹後稱,"只想有份穩定工作。"
Bob Diachenko是Hacken.io網路風險研究和bug賞金平臺HackenProof的總監。
2018年12月28日,他分析了BinaryEdge搜尋引擎(https://app.binaryedge.io/)的資料流,並確定了一個開放且不受保護的MongoDB資料庫例項:
Shodan搜尋結果中也出現了相同的IP :
經過仔細檢查,一個854 GB大小的MongoDB資料庫無人看管,無需密碼/登入驗證即可檢視和訪問中國求職者超過2億份非常詳細的簡歷。
202,730,434條記錄中的每條記錄不僅包含候選人的技能和工作經驗,還包括他們的個人資訊,如手機號碼,電子郵件,婚姻,子女,政治,身高,體重,駕駛執照,識字水平,薪水,期望等等。
資料的來源仍然未知。但據Bob Diachenko的一個Twitter粉絲稱,一個GitHub repository中包含的Web應用程式原始碼與暴露簡歷所使用的結構模式相似,目前,這個頁面已經無法開啟了但還能在Google快取中找到。
https://github.com/xzfan/data-import
其中,有一個名為“data-import”的工具,於3年前建立,似乎是為了從不同的中文分類廣告中搜集簡歷而建立的,例如bj.58.com和其他平臺。
目前尚不清楚這些收集簡歷的行為是公司行為還是個人行為,其中相當一部分簡歷標記為“Privacy”。
BJ.58.com的安全團隊否認資料來自其公司,並做出以下申明:
我們搜遍了我們的資料庫並調查了所有其他儲存,結果發現樣本資料沒有洩露給我們。
似乎資料是從第三方洩露出來的,這些第三方從許多CV網站上抓取資料。
Bob Diachenko在Twitter上釋出通知後不久,該資料庫已得到保護。值得注意的是,MongoDB日誌顯示至少有十幾個IP可能在離線之前訪問過資料。
關於簡歷資料洩露的訊息並不少見。此前有媒體報導,一些招聘網站向企業和個人賬號開放簡歷搜尋許可權。有賣家稱,花700元就可購買一套採集軟體,批量爬取多家知名招聘平臺全國簡歷資訊。
國內安全人士分析,本次資料是通過爬取收集的可能性非常小。因為一般簡歷公開資料不會這麼詳細,而且部分內容會脫敏,更可能是相關業務存在未授權或者其它漏洞而導致資料洩露。
“簡歷其實就是個人畫像資料。如果大規模被洩露或被利用,可能造成嚴重的危害。”
在上傳簡歷資訊時,應選擇可信的招聘或者獵頭平臺。當給出姓名、電話、身份證、銀行卡等可與自己直接關聯的資料時,要特別謹慎。對於簡歷上提到的資料,建議與個人敏感資料分離。
使用者應該養成良好的密碼設定和保管意識,密碼組合應儘量複雜、位數要多,包括字母、數字和特殊符號,儘量不使用生日、名字拼音等。此外,在不同平臺設定不同密碼且最好定期修改。
參考來源:
註明:
事件最新進展:
該機構通過對比簡歷的資料模式,發現GitHub專案xzfan/data-import(目前該專案已經被刪除)疑似為收集這些簡歷資料的爬蟲。
更新時間:2019年1月4日
更多資訊: