你的簡歷安全嗎？2.02億中國求職者簡歷遭洩露

2018年12月28日，推特使用者Bob Diachenko爆料稱，一個包含2.02億份中國人簡歷資訊的資料庫洩露，這些簡歷內容非常詳細，包括姓名、生日、手機號碼、郵箱、婚姻狀況、政治面貌和工作經歷等。

Diachenko還在推特上曬出過一張中英文翻譯截圖。一名求職者在自我介紹後稱，"只想有份穩定工作。"

Bob Diachenko是Hacken.io網路風險研究和bug賞金平臺HackenProof的總監。

2018年12月28日，他分析了BinaryEdge搜尋引擎(https://app.binaryedge.io/)的資料流，並確定了一個開放且不受保護的MongoDB資料庫例項： 

Shodan搜尋結果中也出現了相同的IP ：

經過仔細檢查，一個854 GB大小的MongoDB資料庫無人看管，無需密碼/登入驗證即可檢視和訪問中國求職者超過2億份非常詳細的簡歷。

202,730,434條記錄中的每條記錄不僅包含候選人的技能和工作經驗，還包括他們的個人資訊，如手機號碼，電子郵件，婚姻，子女，政治，身高，體重，駕駛執照，識字水平，薪水，期望等等。

資料的來源仍然未知。但據Bob Diachenko的一個Twitter粉絲稱，一個GitHub repository中包含的Web應用程式原始碼與暴露簡歷所使用的結構模式相似，目前，這個頁面已經無法開啟了但還能在Google快取中找到。

https://github.com/xzfan/data-import

其中，有一個名為“data-import”的工具，於3年前建立，似乎是為了從不同的中文分類廣告中搜集簡歷而建立的，例如bj.58.com和其他平臺。

目前尚不清楚這些收集簡歷的行為是公司行為還是個人行為，其中相當一部分簡歷標記為“Privacy”。

BJ.58.com的安全團隊否認資料來自其公司，並做出以下申明：

我們搜遍了我們的資料庫並調查了所有其他儲存，結果發現樣本資料沒有洩露給我們。

似乎資料是從第三方洩露出來的，這些第三方從許多CV網站上抓取資料。

Bob Diachenko在Twitter上釋出通知後不久，該資料庫已得到保護。值得注意的是，MongoDB日誌顯示至少有十幾個IP可能在離線之前訪問過資料。

關於簡歷資料洩露的訊息並不少見。此前有媒體報導，一些招聘網站向企業和個人賬號開放簡歷搜尋許可權。有賣家稱，花700元就可購買一套採集軟體，批量爬取多家知名招聘平臺全國簡歷資訊。

國內安全人士分析，本次資料是通過爬取收集的可能性非常小。因為一般簡歷公開資料不會這麼詳細，而且部分內容會脫敏，更可能是相關業務存在未授權或者其它漏洞而導致資料洩露。

“簡歷其實就是個人畫像資料。如果大規模被洩露或被利用，可能造成嚴重的危害。”

在上傳簡歷資訊時，應選擇可信的招聘或者獵頭平臺。當給出姓名、電話、身份證、銀行卡等可與自己直接關聯的資料時，要特別謹慎。對於簡歷上提到的資料，建議與個人敏感資料分離。

使用者應該養成良好的密碼設定和保管意識，密碼組合應儘量複雜、位數要多，包括字母、數字和特殊符號，儘量不使用生日、名字拼音等。此外，在不同平臺設定不同密碼且最好定期修改。

參考來源：

• 黑鳥
  
• 南方都市報

事件最新進展：

該機構通過對比簡歷的資料模式，發現GitHub專案xzfan/data-import（目前該專案已經被刪除）疑似為收集這些簡歷資料的爬蟲。

更新時間：2019年1月4日