※ 引述《tshs0821 (卿衔)》之铭言:
: 昨天逛ptt看到104个资被盗的新闻
: http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS6/8863782.shtml
: 印象中上个月也看到类似的
: https://www.ptt.cc/bbs/Salary/M.1405101606.A.DDF.html
: 觉得很可怕是因为
: 原来资料这么这么容易就可以盗走了喔!!
: 我也太意外104竟然会有这种漏洞
: 自己也是里面的会员
: 有没有被盗都不知道~"~
: 如果连这么知名这么大的公司都会出这种纰漏
: 我觉得有点瞎
: 虽然我对这些资安管理部分完全不懂
: 但总觉得这应该是人力银行最该注重的问题啊
: 之后不知道会不会接到各种不认识的电话之类的...
: 其他人力银行不知道是否一样有这个疑虑?
: 资安问题一直都是企业公司应该小心的部分才是
这问题你要分成两种角度来看。 1.资安 2.个资保护。
我对 104比较了解,所以以下就只拿 104举例。
1.资安。
上个月那个新闻,主要是因为人资系统的 相似履历 转寄漏洞。
因为系统架构的关系,履历接收位置由浏览器可控制,导致骇客可利用此弱点。
修改浏览器输出,不须任何登入权限,即可将所有人的履历转寄到匿名信箱。
这是标准的资安漏洞。
不过这问题已经修改,目前尚未有无权限可取得完整个资的弱点。
但还是有无权限,取得部分个资的流程弱点。
基本上你在找工作,任何人无权限都可知道的。而且可看到你部分个资。
这部分蛮灰色地带的。(没事的直接把履历关了吧)
2.个资保护。
你在 104 填的所有资料,只能用于厂商征才使用,若用于其他用途,
其实你是可以提告的。
例如你开了履历后,突然接到一堆婚友社电话,
这已经是非法用途了,若你可以问到它们哪家公司,直接去104检举。
若104人力银行不管,那你就可以用个资法去告104。
104人力银行也可去告该公司,来转嫁责任。
另外,时常看到公司把应征者的履历在部门间乱传,这也是违反个资法的,
但是因为很难举证,所以你也不能怎么样。