在过去的三个月中，590,497,000 份简历被曝从中国公司泄露，这个数字十分惊人！而报告显示，大多数简历泄漏的原因都是由于 MongoDB 数据库的安全性较差和 ElasticSearch 服务器没有受到密码保护，或意外的防火墙错误导致服务器暴露——这些都表明，中国人力资源公司和中国求职网站们根本无视用户隐私，而且也说明这些公司的安全措施不够完善。

作者 | Catalin Cimpanu
译者 | 弯月
责编 | 郭芮
出品 | CSDN（ID：CSDNnews），图源 Chesnot/Getty Images。

以下为译文：

近日，外媒ZDNet从多位安全研究人员那里了解到，在今年的前三个月里，中国公司泄漏了5.9亿份简历数据——这个数字十分惊人。大多数简历泄漏的原因都是由于MongoDB数据库的安全性较差和ElasticSearch服务器没有受到密码保护，或意外的防火墙错误导致服务器暴露。

 

 

只有中国公司发生了泄漏

 

 

在过去的几个月中，特别是过去的几周里，根据对暴露服务器的调查显示，泄漏的简历皆属于中国的人力资源公司。其中包括只有少量简历的小公司，也有专业的猎头公司，他们通过不同的形式泄露了客户的详细信息。

 

大多数泄漏事件都是由安全研究员兼GDI基金会成员Sanyam Jain报告给ZDNet的。仅在过去的一个月里，Jain就发现就七起这类的泄漏，在本文发表之前只有四家公司的服务器得到了保护或下线了。

 

他的第一个发现是一个ElasticSearch服务器，3月10日他在该服务器上发现了3300万中国用户的简历。在Jain向中国国家计算机网络应急技术处理协调中心（CNCERT）报告了该问题四天后，该数据库得到了保护。

 

 

他的第二个发现是另一个ElasticSearch服务器，3月13日他在该服务器上发现了8480万份简历，几天前安全研究员Devin Stokes也有同样的发现。在CNCERT的帮助下，该服务器也下线了。

 

 

Jain的第三个发现仍然是一个ElasticSearch服务器，这次他发现了3300万份简历，这是他于3月15日发现的。Jain表示：“那个数据库突然离线了，而在我向CNCERT报告后还没有收到回复。”

 

 

第四台存储简历的服务只包含900万份简历，这也是Jain从另一个ElasticSearch数据库中找到的。

 

 

第五台服务器是Jain最大的发现，该ElasticSearch集群容纳了1.29亿份简历。在本文发布的时候，该数据库仍然暴露在网上，因为Jain找不到该服务器的主人。

 

 

Jain的最后两个发现相对较小。第六个ElasticSearch服务器托管了18万份简历，而第七个只存储了1.7万份简历。最后一个服务器是在本文发布前几小时Jain发现的。

 

然而，发现这些数据库有问题的研究人员不止Jain一个，最有意思的一个泄漏中国用户简历的数据库是两周前安全研究员Devin Stokes向ZDNet报告的。这台ElasticSearch服务器容纳了1900万中国用户的简历，而且这些人都身居管理职位。该数据库属于一家活跃在中国市场的猎头公司，因此Stokes决定不将这家公司曝光。

 

这个服务器除了保存简历以外，还保存了每个用户的详细信息，包括当前的工作，近期内与招聘人员和高管进行过的对话，参加过的培训课程等等。

 

 

此外，这台泄密的服务器还有一份与该猎头公司签署了服务协议的公司名单。粗略的搜索了这份名单，就发现了Kraft Heinz和StonCor等外国公司，以及中国航空动力控制和无锡AMT技术等许多中国本土公司。

 

幸运的是，在Stokes通过邮件向CNCERT报告了情况后，该数据库在两天内就采取了保护措施。

 

除了Jain and Stokes之外，还有一个著名的数据泄漏猎人一直在调查这些数据库，此人正是安全发现人员Bob Diachenko。

 

几天前，Diachenko发现了一个类似的服务器暴露问题，该服务器保存了2050万中国用户的简历，目前他正在努力甄别这些泄露的数据，并通知相应的公司。

 

 

然而，Diachenko还有别的发现，1月份他发现了一个MongoDB数据库，该数据库泄露了2.02亿中国用户的简历。

 

 

泄漏的简历总数超过了5.9亿

 

 

统计数据表明，在过去的三个月中，我们总共发现了590,497,000份简历从中国公司泄露，这个迹象很令人担忧，这表明中国的人力资源公司并未认真对待服务器的安全性。

 

有人可能认为，简历中的数据被泄露并不是什么大问题，因为简历本来就是公开的文档，但实际情况并非如此。

 

当人们将简历发送给别人时，他们以为对方只是用简历来做职位评估。当用户将简历上传到一些网站时，他们会定期编辑和完善简历中包含的个人身份信息，例如电话号码、家庭住址、家庭和婚姻状况，在有些情况下还会根据人力资源公司的要求提供身份证号码。

 

同样，当他们在求职网站填写个人详细信息时，他们以为有些数据只有雇主才能看见，他们怎么都想不到这些数据会被泄漏到整个互联网上。

 

中国人力资源公司和中国求职网站泄露这些简历的情况表明，他们无视用户隐私，而且也说明这些公司的安全措施不够完善。

2019程序员转型学什么？

https://edu.csdn.net/topic/ai30?utm_source=csdn_bw

 

链接：https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/，本文为CSDN翻译，转载请注明来源出处。

---

 

 热 文 推 荐 

☞刘强东割袍弃兄弟，马爸爸醉心 996

☞马云：“996 是一种巨大的福气”

☞@程序员，入行物联网的避坑指南！| 技术头条

☞程序员 996 再上热搜，黑名单增至 84 家！

☞与云原生及开源大神们的第二次亲密接触 | 全议程重磅发布

☞V神玩起freestyle! 5位以太坊核心大咖在悉尼的演讲精华全在这了！| 直击EDCON

☞“重构”黑洞：26岁MIT研究生的新算法 | 人物志

☞程序员为什么都爱穿冲锋衣？（最全总结）

System.out.println("点个在看吧！");
console.log("点个在看吧！");
print("点个在看吧！");
printf("点个在看吧！\n");
cout << "点个在看吧！" << endl;
Console.WriteLine("点个在看吧！");
Response.Write("点个在看吧！");
alert("点个在看吧！")
echo "点个在看吧！"

点击阅读原文，输入关键词，即可搜索您想要的 CSDN 文章。

你点的每个“在看”，我都认真当成了喜欢