记者 | 梁晶晶
据TechCrunch 5月1日报告,美国著名招聘公司Ladders因安全失效,超过1370万用户信息被泄露。
这家总部位于美国、成立于2003年的招聘公司,旨在为用户提供职业新闻、职业建议、和在线求职服务,为雇主和高级招聘人员提供订阅服务。从服务对象和市场定位来看,Ladders是国内高端人才招聘公司猎聘成立之初对标的对象,仅仅推出年薪为10万美元以上的工作机会,后来将用户拓展至年薪为4万美元至25万美元之间。
安全研究员Sanyam Jain最先发现该数据库数据泄露,他也是GDI基金会的成员,GDI基金会是一家旨在保护数据的非营利组织。
因配置错误,The Ladderts上公开了亚马逊托管的Elasticsearch数据库,导致1370万用户的个人身份信息泄露。在不需要密码的情况下,任何人都可以访问该数据库。暴露的信息包括求职者的姓名,电子邮件地址,就业历史以及申请人正在寻找工作、行业和当前薪资水平。
在安全研究员向TechCrunch报告的一个小时之内,The Ladders已将数据库拉下线,确认数据安全。
发生数据泄露事件后,The Ladders公司的创始人兼首席执行官Marc Cenedella发布了一份简短的声音。他说,“AWS服务提供商确认了我们的ASW托管弹性搜索是安全的,只有内部员工才可以在指定的IP地址访问。我们将研究这种潜在的盗窃行为,并感谢您的帮助了。” 但是他们并未详细说明用户信息暴露的时间或在“裸奔”期间,数据是否被访问。
TechCrunch联系了十几位该网站的注册求职者,证实了信息泄露的事实。其中几个人确认,从数据库内检索出来的数据信息,与他们在该网站上的注册简历信息一致。一名用户表示,在这次大规模信息泄露后,他以后“不再使用该网站”。
部分个人数据在网站上属于公开信息,允许The Ladders网站的其他注册用户查看,但是这次信息泄露让他们在意的是触及敏感的个人隐私,比如电子邮件,邮政地址,电话号码以及基于其IP地址的大致地理位置。
除了求职者以外,还有一个群体的信息也被公开。这次有超过379,000名招聘人员的信息被曝光,关于他们的数据不那么敏感,可能主要是个人电话、邮件和就业公司。
值得一提的是,越来越多的用户数据被置身于“裸奔”状态,隐私信息泄露已经成为一个让人感到无奈、却少有改善的顽疾。一般存在两种情况,包括从招聘平台内部泄露和第三方数据抓取。
今年1月,界面新闻曾经报道超过2亿中国求职者简历泄露,曝光时间接近一周。人力资源服务企业前程无忧和58同城可能是简历的数据来源,58同城的新闻发言人当时回应意为,“简历数据不是从58同城的平台上泄露的”,而是用户将简历设置为公开可见时,第三方数据抓取。
招聘网站对求职者简历做出了什么保护措施?如何保护用户信息安全?2018年12月,58同城上线“建立手机号保护”服务,完善就业服务防火墙。覆盖简历公开设置、黑名单设置、个性化隐私服务等隐私设置功能,生成第三方虚拟号码,全方位保护求职者隐私。
界面新闻记者登录58同城官网,发现仍然可以看到求职者简历上的大量公开信息。在58同城官网上注册的账号均可搜索所有人简历,并查看年龄、头像、详细的教育背景和工作经历等信息,但不能查看手机号。
2015年至今,多地公安机关发布公告,提醒求职者警惕招聘诈骗。而在网上公开的大量个人信息并不只是一份简历,可能被技术不精明的诈骗者可以用于其他目的。
