智联招聘被曝安全漏洞 86万人简历信息被泄露
在乌云平台上提交的漏洞证明截图。
昨天上午乌云漏洞平台公开了一个最新漏洞信息,涉及86万人的简历信息,包含姓名、地址、身份证、户口等个人信息,其内容之详细、牵涉面之广,迅速在网上引起轩然大波。
乌云曝光:
智联86万用户信息被泄露
其实,这个漏洞信息在12月2日晚上9点多已经提交。乌云白帽子“天地不仁以万物为刍狗”提交了一份关于“智联招聘某数据库未授权访问涉及86万用户简历”的漏洞。从他披露的漏洞证明截图看,尽管关键信息已经被打上了马赛克,但仍很明显地可以看到其中涉及姓名、地址、身份证、户口、工作经历等等敏感信息。
提交后,30分钟不到,乌云漏洞平台上的白帽子们就紧张起来了,因为连他们自己也中招了。
“妈呀,目测我中招了!”白帽子px1624留言说,看到披露的信息已经第一时间去把手机号改了,照片也删了。
也有人暗自庆幸,“还好除了邮箱是真的,其他信息全是假的”。
白帽子s4msung则担心,虽然这个站的招聘资料是空的、假的,“其他站呢?这玩意防不胜防。”
当晚,这一漏洞细节被提交给智联招聘。
昨天上午,漏洞回应状态更新为:无影响,厂商忽略。“忽略”,是乌云漏洞平台的一种危害等级状态,即为厂商表示否认、不相关的意思。智联招聘在厂商回复中称:“经核实,漏洞详情中披露的IP地址,非智联招聘的。图片中的标有‘智联招聘’的信息待核实。建设总比破坏有意义,这个事情同时也给我们敲响了安全的警钟。”
智联招聘:
被泄露的信息并非来自智联
随后乌云方面表示,目前可确认的是漏洞中曝出的IP地址属于一家新兴招聘网站,该网站被白帽子发现86万条简历数据,而这些数据全部被标注为来自智联招聘。至于数据是否属实、该网站如何获取这些数据等信息,仍需智联招聘方面进一步确认。
对此智联招聘回应称,正在进一步核实这些数据,并且将积极调查此事。
昨天下午2点半左右,智联招聘在其官方微博上发布了公告,称乌云网站上公布的疑似泄露信息图片中,标有智联招聘字段的简历信息,绝非来自智联招聘,并重申其信息的安全性:一、智联招聘所有的简历数据库在互联网上无法访问;二、智联招聘有严密的数据库网络防火墙,公司安全及运维部门实施24小时监控;三、17年来,拥有近亿份用户简历,从未发生过用户信息泄露事件。
智联招聘显得对自己的数据库安全级别相当有信心,但公告中并未回答疑似泄露信息的数据是否属实,至于该IP地址是如何获取这些信息数据的更是只字未提。
用户们关心的是个人信息是否已经被泄露,而白帽子们关注的是这些数据到底是怎么被采集的,又是从哪儿被泄露的,以堵上安全漏洞。
“采集的是相当完整的简历,我想知道是怎么采集的,这个值得反思。”白帽子浩天说,为了降低影响所以披露的IP被打上了马赛克,但不管IP是谁的,根据数据库里的显示,简历的内容也基本符合,“IP不是重点,重点是这86W+的简历是从哪来的!”
业内专家:
重要网络服务,启用两步验证
“如果是关键信息泄露,基本上没治了,比如家庭住址,身份信息,毕业学校等,这些信息都是无价的。”金山首席安全专家李铁军直言,由于看不到漏洞详情,很难说数据到底是不是从智联获得的,但从自我保护的角度看,建议相关用户对所有重要的网络服务,启用两步验证,“就是手机动态验证码,比如微博的微盾,支付宝淘宝的动态口令,Google、微软的账号安全设置中都有两步验证。这样别人就算拿到账号密码也不一定能登录,没办法重置你的账号。”
不过李铁军也坦承,已经泄露的信息确实“无法挽回”,只能避免这些信息被攻击者用来扩大战果。“掌握数据的企业,并不真的在意用户信息安全。这才是当下最大的问题所在!”而他的这句话并不仅仅针对某一家企业。
按下葫芦浮起瓢,智联招聘的一番声明话音未落,乌云漏洞平台上再次曝光了智联的新漏洞。“挖洞”高手“路人甲”提交了智联招聘又被找到一个敏感信息泄露漏洞,可以直接进入其内部邮箱。
漏洞细节已经通知厂商,按照规矩暂时不会对外公开。
不知道这次智联招聘还能不能如此自信地说,“被发现漏洞不是啥坏事儿,关键是敲响警钟,如何积极完善自己。”