根据科技媒体《ZDNet》报导,2019 年刚过了短短的 3 个月,中国企业就外洩了高达 5.9 亿份履历,显示中国的隐私保护问题严重。
科技媒体《ZDNet》从多位网路安全研究人员得知大量中国履历洩漏的消息,多数的履历洩漏都是因为安全性较差的 MongoDB 资料库以及 ElasticSearch 伺服器在无需密码的状况下外洩资料。履历外洩并非单一公司的问题,而是从小公司到专业的猎人头公司都有履历外洩到网路上。多数用户填写履历时会预设这些个人资料只会提供给特定的公司使用,显然他们不会预料到履历会被外洩到网路上,成为人人可以查看的公开内容。
揭露多数履历洩漏的都是网路安全研究人员和 GDI 基金会一员的 Sanyam Jain,他一个月就发现并报告了 7 件履历洩漏案件。最早在 3 月 10 日,Jain 发现一个 ElasticSearch 伺服器中有 3,300 万份中国用户的履历,并向中国的国家互联网应急中心(CNCERT)报告,这些履历在接获报告的 4 天后受到保护。
接着他又在 3 月 13 日发现 8,480 万份履历被外洩,内容包括用户目前的薪资、过去每份工作的薪资、工作经历、学历、专长和曾受过的培训。Jain 发现最大的履历洩漏事件共外洩了 1.29 亿份履历,而且由于他无法辨识资料库的所有者,这些履历还暴露在网路上。
Around 33 Million Job profiles were found online of three Chinese companies and is on a live database. All were big and established. How it can happen. How Chinese companies can put their people data online with their current location. #cywar2stop pic.twitter.com/EtgoP38QNl
— Sanyam (@HydroMercury) 2019年3月10日
84.8 Million Chinese resumes exposed.
Current salary, work history, education, skills, trainings received, sallary of all previous jobs.
This is some thorough information. pic.twitter.com/StEgfU4H9K
— stoXe (@DevinStokes) 2019年2月28日
Sanyam Jain 不是唯一发现大量履历外洩的人,还有 Devin Stokes 和 Bob Diachenko 等其他研究人员。Stokes 发现了一家活跃于中国市场的猎人头公司外洩了 1,900 万份中国用户的履历,而且全部都是管理阶层的履历。而且外洩的不只履历表还有用户的完整档案,像是现在的工作、最近和主管还有招聘人员的对话内容以及上过的培训课程等。外洩的甚至还有一份公司名单,名单上的是委託猎人头公司寻找高阶主管的客户,包括美国食品公司卡夫亨氏(Kraft Heinz)等外商,但多数还是中国的当地企业。
另一名研究人员 Diachenko 则发现两个外洩的资料库,分别洩漏 2,050 万份和 2.02 亿份履历。这些研究人员在 2019 年前 3 个月总共发现了超过 5.9 亿份履历从中国公司外洩,这显示中国的人力资源部门和猎人头公司并未重视资料保存的安全性以及用户的隐私。
20,591,134 Chinese CVs with pretty detailed information appeared on a leaky server at some point last week. Quickly taken down by CERT after notification but I think this data might have landed in wrong hands already. Not sure if this is same data reported in Jan pic.twitter.com/aX6muDEr46
— Bob Diachenko (@MayhemDayOne) 2019年4月2日
- Chinese companies have leaked over 590 million resumes via open databases
