在烏云平臺上提交的漏洞證明截圖。
昨天上午烏云漏洞平臺公開了一個最新漏洞信息,涉及86萬人的簡歷信息,包含姓名、地址、身份證、戶口等個人信息,其內容之詳細、牽涉面之廣,迅速在網上引起軒然大波。
烏云曝光:
智聯86萬用戶信息被泄露
其實,這個漏洞信息在12月2日晚上9點多已經提交。烏云白帽子“天地不仁以萬物為芻狗”提交了一份關于“智聯招聘某數據庫未授權訪問涉及86萬用戶簡歷”的漏洞。從他披露的漏洞證明截圖看,盡管關鍵信息已經被打上了馬賽克,但仍很明顯地可以看到其中涉及姓名、地址、身份證、戶口、工作經歷等等敏感信息。
提交后,30分鐘不到,烏云漏洞平臺上的白帽子們就緊張起來了,因為連他們自己也中招了。
“媽呀,目測我中招了!”白帽子px1624留言說,看到披露的信息已經第一時間去把手機號改了,照片也刪了。
也有人暗自慶幸,“還好除了郵箱是真的,其他信息全是假的”。
白帽子s4msung則擔心,雖然這個站的招聘資料是空的、假的,“其他站呢?這玩意防不勝防。”
當晚,這一漏洞細節被提交給智聯招聘。
昨天上午,漏洞回應狀態更新為:無影響,廠商忽略。“忽略”,是烏云漏洞平臺的一種危害等級狀態,即為廠商表示否認、不相關的意思。智聯招聘在廠商回復中稱:“經核實,漏洞詳情中披露的IP地址,非智聯招聘的。圖片中的標有‘智聯招聘’的信息待核實。建設總比破壞有意義,這個事情同時也給我們敲響了安全的警鐘。”
智聯招聘:
被泄露的信息并非來自智聯
隨后烏云方面表示,目前可確認的是漏洞中曝出的IP地址屬于一家新興招聘網站,該網站被白帽子發現86萬條簡歷數據,而這些數據全部被標注為來自智聯招聘。至于數據是否屬實、該網站如何獲取這些數據等信息,仍需智聯招聘方面進一步確認。
對此智聯招聘回應稱,正在進一步核實這些數據,并且將積極調查此事。
昨天下午2點半左右,智聯招聘在其官方微博上發布了公告,稱烏云網站上公布的疑似泄露信息圖片中,標有智聯招聘字段的簡歷信息,絕非來自智聯招聘,并重申其信息的安全性:一、智聯招聘所有的簡歷數據庫在互聯網上無法訪問;二、智聯招聘有嚴密的數據庫網絡防火墻,公司安全及運維部門實施24小時監控;三、17年來,擁有近億份用戶簡歷,從未發生過用戶信息泄露事件。
智聯招聘顯得對自己的數據庫安全級別相當有信心,但公告中并未回答疑似泄露信息的數據是否屬實,至于該IP地址是如何獲取這些信息數據的更是只字未提。
用戶們關心的是個人信息是否已經被泄露,而白帽子們關注的是這些數據到底是怎么被采集的,又是從哪兒被泄露的,以堵上安全漏洞。
“采集的是相當完整的簡歷,我想知道是怎么采集的,這個值得反思。”白帽子浩天說,為了降低影響所以披露的IP被打上了馬賽克,但不管IP是誰的,根據數據庫里的顯示,簡歷的內容也基本符合,“IP不是重點,重點是這86W+的簡歷是從哪來的!”
業內專家:
重要網絡服務,啟用兩步驗證
“如果是關鍵信息泄露,基本上沒治了,比如家庭住址,身份信息,畢業學校等,這些信息都是無價的。”金山首席安全專家李鐵軍直言,由于看不到漏洞詳情,很難說數據到底是不是從智聯獲得的,但從自我保護的角度看,建議相關用戶對所有重要的網絡服務,啟用兩步驗證,“就是手機動態驗證碼,比如微博的微盾,支付寶淘寶的動態口令,Google、微軟的賬號安全設置中都有兩步驗證。這樣別人就算拿到賬號密碼也不一定能登錄,沒辦法重置你的賬號。”
不過李鐵軍也坦承,已經泄露的信息確實“無法挽回”,只能避免這些信息被攻擊者用來擴大戰果。“掌握數據的企業,并不真的在意用戶信息安全。這才是當下最大的問題所在!”而他的這句話并不僅僅針對某一家企業。
按下葫蘆浮起瓢,智聯招聘的一番聲明話音未落,烏云漏洞平臺上再次曝光了智聯的新漏洞。“挖洞”高手“路人甲”提交了智聯招聘又被找到一個敏感信息泄露漏洞,可以直接進入其內部郵箱。
漏洞細節已經通知廠商,按照規矩暫時不會對外公開。
不知道這次智聯招聘還能不能如此自信地說,“被發現漏洞不是啥壞事兒,關鍵是敲響警鐘,如何積極完善自己。”
原標題: 智聯招聘被曝安全漏洞 86萬人簡歷信息被泄露
看臺州新聞,關注浙江在線臺州頻道微信
凡注有"浙江在線臺州頻道"或電頭為"浙江在線臺州頻道"的稿件,均為浙江在線臺州頻道獨家版權所有,未經許可不得轉載或鏡像;授權轉載必須注明來源為"浙江在線臺州頻道",并保留"浙江在線臺州頻道"的電頭。聯系電話:0576-88906060,投稿郵箱:1056292011@qq.com