在烏云平臺上提交的漏洞證明截圖。

　　昨天上午烏云漏洞平臺公開了一個最新漏洞信息，涉及86萬人的簡歷信息，包含姓名、地址、身份證、戶口等個人信息，其內容之詳細、牽涉面之廣，迅速在網上引起軒然大波。

　　烏云曝光：

　　智聯86萬用戶信息被泄露

　　其實，這個漏洞信息在12月2日晚上9點多已經提交。烏云白帽子“天地不仁以萬物為芻狗”提交了一份關于“智聯招聘某數據庫未授權訪問涉及86萬用戶簡歷”的漏洞。從他披露的漏洞證明截圖看，盡管關鍵信息已經被打上了馬賽克，但仍很明顯地可以看到其中涉及姓名、地址、身份證、戶口、工作經歷等等敏感信息。

　　提交后，30分鐘不到，烏云漏洞平臺上的白帽子們就緊張起來了，因為連他們自己也中招了。

　　“媽呀，目測我中招了！”白帽子px1624留言說，看到披露的信息已經第一時間去把手機號改了，照片也刪了。

　　也有人暗自慶幸，“還好除了郵箱是真的，其他信息全是假的”。

　　白帽子s4msung則擔心，雖然這個站的招聘資料是空的、假的，“其他站呢？這玩意防不勝防。”

　　當晚，這一漏洞細節被提交給智聯招聘。

　　昨天上午，漏洞回應狀態更新為：無影響，廠商忽略。“忽略”，是烏云漏洞平臺的一種危害等級狀態，即為廠商表示否認、不相關的意思。智聯招聘在廠商回復中稱：“經核實，漏洞詳情中披露的IP地址，非智聯招聘的。圖片中的標有‘智聯招聘’的信息待核實。建設總比破壞有意義，這個事情同時也給我們敲響了安全的警鐘。”

　　智聯招聘：

　　被泄露的信息并非來自智聯

　　隨后烏云方面表示，目前可確認的是漏洞中曝出的IP地址屬于一家新興招聘網站，該網站被白帽子發現86萬條簡歷數據，而這些數據全部被標注為來自智聯招聘。至于數據是否屬實、該網站如何獲取這些數據等信息，仍需智聯招聘方面進一步確認。

　　對此智聯招聘回應稱，正在進一步核實這些數據，并且將積極調查此事。

　　昨天下午2點半左右，智聯招聘在其官方微博上發布了公告，稱烏云網站上公布的疑似泄露信息圖片中，標有智聯招聘字段的簡歷信息，絕非來自智聯招聘，并重申其信息的安全性：一、智聯招聘所有的簡歷數據庫在互聯網上無法訪問；二、智聯招聘有嚴密的數據庫網絡防火墻，公司安全及運維部門實施24小時監控；三、17年來，擁有近億份用戶簡歷，從未發生過用戶信息泄露事件。

　　智聯招聘顯得對自己的數據庫安全級別相當有信心，但公告中并未回答疑似泄露信息的數據是否屬實，至于該IP地址是如何獲取這些信息數據的更是只字未提。

　　用戶們關心的是個人信息是否已經被泄露，而白帽子們關注的是這些數據到底是怎么被采集的，又是從哪兒被泄露的，以堵上安全漏洞。

　　“采集的是相當完整的簡歷，我想知道是怎么采集的，這個值得反思。”白帽子浩天說，為了降低影響所以披露的IP被打上了馬賽克，但不管IP是誰的，根據數據庫里的顯示，簡歷的內容也基本符合，“IP不是重點，重點是這86W+的簡歷是從哪來的！”

　　業內專家：

　　重要網絡服務，啟用兩步驗證

　　“如果是關鍵信息泄露，基本上沒治了，比如家庭住址，身份信息，畢業學校等，這些信息都是無價的。”金山首席安全專家李鐵軍直言，由于看不到漏洞詳情，很難說數據到底是不是從智聯獲得的，但從自我保護的角度看，建議相關用戶對所有重要的網絡服務，啟用兩步驗證，“就是手機動態驗證碼，比如微博的微盾，支付寶淘寶的動態口令，Google、微軟的賬號安全設置中都有兩步驗證。這樣別人就算拿到賬號密碼也不一定能登錄，沒辦法重置你的賬號。”

　　不過李鐵軍也坦承，已經泄露的信息確實“無法挽回”，只能避免這些信息被攻擊者用來擴大戰果。“掌握數據的企業，并不真的在意用戶信息安全。這才是當下最大的問題所在！”而他的這句話并不僅僅針對某一家企業。

　　按下葫蘆浮起瓢，智聯招聘的一番聲明話音未落，烏云漏洞平臺上再次曝光了智聯的新漏洞。“挖洞”高手“路人甲”提交了智聯招聘又被找到一個敏感信息泄露漏洞，可以直接進入其內部郵箱。

　　漏洞細節已經通知廠商，按照規矩暫時不會對外公開。

　　不知道這次智聯招聘還能不能如此自信地說，“被發現漏洞不是啥壞事兒，關鍵是敲響警鐘，如何積極完善自己。”

原標題: 智聯招聘被曝安全漏洞 86萬人簡歷信息被泄露