超過2億中國求職者簡歷資訊洩露，數據“裸奔”將近一周

12月28日，Hacken Proof的網絡風險研究主管兼網絡安全研究員Bob Diachenko在

推特

上爆料稱，一個包含2.02億中國求職者簡歷資訊的數據庫洩露，被稱為中國有史以來最大的數據曝光之一。

僅僅通過Shodan一類的物聯網搜索引擎或BinaryEdge.io搜索就可以查到相關資訊，這意味著任何人無需密碼或登錄驗證即可查看和訪問2億多中國求職者的簡歷。

這座數據金庫“裸奔”將近一周時間（12月23至28日）之後，直到曝光之日才終於做出下線處理。期間至少有十幾個IP在脫機之前訪問了數據庫。

對於數據庫所有者的討論中，Diachenko向外回應“不知情”，一位推特用戶稱自己在GitHub上發現一個已經刪除的儲存庫（目前頁面已不可見，但仍然儲存於Google緩存中）。該儲存庫中Web應用程式與洩露簡歷的應用程式包含幾乎相同的結構模式，使用數據與中國求職者簡歷資訊數據非常接近。他判定，名為“data-import”（數據導入）的工具是一個第三方應用，用於從中國分類廣告中收集用戶簡歷。

以下內容來自數據庫的一份簡歷，包括求職者自我介紹的中英文翻譯。

Diachenko嘗試與58同城取得聯繫。58同城的新聞發言人告訴他，“我們搜遍了整個數據庫並調查了所有數據存儲，可以很確切地說，簡歷數據不是從58同城的平台上洩露的”，並補充道“只有用戶將個人簡歷設定為公開可見時，第三方才能獲取其簡歷”。這種回復印證了他此前的判斷，這些數據來自於第三方數據抓取，而不是網絡洩露。

加拿大安全研究員Huo Ju為此感到擔憂，“如果沒有數據庫提供的資訊，技術不精明的詐騙者也很難找出這些關係”，現在如果有人想要深入研究某個人的社會關係，那麽2億求職者的數據寶庫將為他提供教育背景、工作經驗和其他資訊。她說，“每個人都應該理解這一點：你認為這只是一份簡歷，但它可以用於其他目的。”在Diachenko看來“網絡犯罪分子利用私人資訊竊取你的身份，接著以你的名義進行金融交易。”

值得一提的是，越來越多的用戶數據被置身於‘裸奔’的狀態，除了政府積極完善相關規則，企業組織也應該正確認識到保護任何第三方數據庫服務的重要性。