1.媒体来源:
TechNews
2.记者署名
黄 彦钧
3.完整新闻标题:
中国企业 3 个月外泄 5.9 亿份履历,资安与隐私问题堪虑
4.完整新闻内文:
根据科技媒体《ZDNet》报导,2019 年刚过了短短的 3 个月,中国企业就外泄了高达
5.9 亿份履历,显示中国的隐私保护问题严重。
科技媒体《ZDNet》从多位网络安全研究人员得知大量中国履历泄漏的消息,多数的履历
泄漏都是因为安全性较差的 MongoDB 数据库以及 ElasticSearch 服务器在无需密码的状
况下外泄资料。履历外泄并非单一公司的问题,而是从小公司到专业的猎人头公司都有履
历外泄到网络上。多数用户填写履历时会默认这些个人资料只会提供给特定的公司使用,
显然他们不会预料到履历会被外泄到网络上,成为人人可以查看的公开内容。
揭露多数履历泄漏的都是网络安全研究人员和 GDI 基金会一员的 Sanyam Jain,他一个
月就发现并报告了 7 件履历泄漏案件。最早在 3 月 10 日,Jain 发现一个
ElasticSearch 服务器中有 3,300 万份中国用户的履历,并向中国的国家互联网应急中
心(CNCERT)报告,这些履历在接获报告的 4 天后受到保护。
接着他又在 3 月 13 日发现 8,480 万份履历被外泄,内容包括用户目前的薪资、过去每
份工作的薪资、工作经历、学历、专长和曾受过的培训。Jain 发现最大的履历泄漏事件
共外泄了 1.29 亿份履历,而且由于他无法辨识数据库的所有者,这些履历还暴露在网络
上。
Sanyam Jain 不是唯一发现大量履历外泄的人,还有 Devin Stokes 和 Bob Diachenko
等其他研究人员。Stokes 发现了一家活跃于中国市场的猎人头公司外泄了 1,900 万份中
国用户的履历,而且全部都是管理阶层的履历。而且外泄的不只履历表还有用户的完整档
案,像是现在的工作、最近和主管还有招聘人员的对话内容以及上过的培训课程等。外泄
的甚至还有一份公司名单,名单上的是委托猎人头公司寻找高阶主管的客户,包括美国食
品公司卡夫亨氏(Kraft Heinz)等外商,但多数还是中国的当地企业。
另一名研究人员 Diachenko 则发现两个外泄的数据库,分别泄漏 2,050 万份和 2.02 亿
份履历。这些研究人员在 2019 年前 3 个月总共发现了超过 5.9 亿份履历从中国公司外
泄,这显示中国的人力资源部门和猎人头公司并未重视资料保存的安全性以及用户的隐私
。
5.完整新闻连结 (或短网址):
http://tinyurl.com/y6xfffak
6.备注:
这事很大条耶!大量外泄用户资料.....
咦?
是中国哦!
那没事......很正常。