中國企業 3 個月外洩 5.9 億份履歷,資安與隱私問題堪慮

作者 | 發布日期 2019 年 04 月 08 日 15:54 | 分類 中國觀察 , 資訊安全 follow us in feedly

根據科技媒體《ZDNet》報導,2019 年剛過了短短的 3 個月,中國企業就外洩了高達 5.9 億份履歷,顯示中國的隱私保護問題嚴重。




科技媒體《ZDNet》從多位網路安全研究人員得知大量中國履歷洩漏的消息,多數的履歷洩漏都是因為安全性較差的 MongoDB 資料庫以及 ElasticSearch 伺服器在無需密碼的狀況下外洩資料。履歷外洩並非單一公司的問題,而是從小公司到專業的獵人頭公司都有履歷外洩到網路上。多數用戶填寫履歷時會預設這些個人資料只會提供給特定的公司使用,顯然他們不會預料到履歷會被外洩到網路上,成為人人可以查看的公開內容。

揭露多數履歷洩漏的都是網路安全研究人員和 GDI 基金會一員的 Sanyam Jain,他一個月就發現並報告了 7 件履歷洩漏案件。最早在 3 月 10 日,Jain 發現一個 ElasticSearch 伺服器中有 3,300 萬份中國用戶的履歷,並向中國的國家互聯網應急中心(CNCERT)報告,這些履歷在接獲報告的 4 天後受到保護。

接著他又在 3 月 13 日發現 8,480 萬份履歷被外洩,內容包括用戶目前的薪資、過去每份工作的薪資、工作經歷、學歷、專長和曾受過的培訓。Jain 發現最大的履歷洩漏事件共外洩了 1.29 億份履歷,而且由於他無法辨識資料庫的所有者,這些履歷還暴露在網路上。

Sanyam Jain 不是唯一發現大量履歷外洩的人,還有 Devin Stokes 和 Bob Diachenko 等其他研究人員。Stokes 發現了一家活躍於中國市場的獵人頭公司外洩了 1,900 萬份中國用戶的履歷,而且全部都是管理階層的履歷。而且外洩的不只履歷表還有用戶的完整檔案,像是現在的工作、最近和主管還有招聘人員的對話內容以及上過的培訓課程等。外洩的甚至還有一份公司名單,名單上的是委託獵人頭公司尋找高階主管的客戶,包括美國食品公司卡夫亨氏(Kraft Heinz)等外商,但多數還是中國的當地企業。

另一名研究人員 Diachenko 則發現兩個外洩的資料庫,分別洩漏 2,050 萬份和 2.02 億份履歷。這些研究人員在 2019 年前 3 個月總共發現了超過 5.9 億份履歷從中國公司外洩,這顯示中國的人力資源部門和獵人頭公司並未重視資料保存的安全性以及用戶的隱私。

(首圖來源:pixabay

延伸閱讀: