12月2日，國(guó)內(nèi)漏洞應(yīng)急平臺(tái)烏云上發(fā)布一個(gè)漏洞“看我如何拿下智聯(lián)招聘八十六萬(wàn)用戶簡(jiǎn)歷”，宣稱智聯(lián)招聘網(wǎng)站有簡(jiǎn)歷信息泄露的漏洞。次日，智聯(lián)招聘及時(shí)回復(fù)，烏云網(wǎng)漏洞中提到的IP地址并不是智聯(lián)招聘的地址，而是上海另外一個(gè)招聘網(wǎng)站，智聯(lián)招聘絕對(duì)沒(méi)有泄露任何用戶簡(jiǎn)歷信息。

一個(gè)不能忽略的事實(shí)是，并非烏云公布信息的時(shí)候才發(fā)現(xiàn)數(shù)據(jù)漏洞。據(jù)了解，更多用戶信息今年9月開(kāi)始就在網(wǎng)上銷售，近期一些銷售數(shù)據(jù)資料的微信群里也在銷售宣稱是智聯(lián)招聘簡(jiǎn)歷的資料。

據(jù)購(gòu)買這份資料的人透露，“社工庫(kù)論壇”上銷售“一個(gè)招聘網(wǎng)站簡(jiǎn)歷”的帖子，宣稱有86萬(wàn)用戶信息資料，其中包含姓名、手機(jī)號(hào)、部分身份證號(hào)、畢業(yè)院校、求職目標(biāo)、期望薪資等信息，全部數(shù)據(jù)售價(jià)只有不到100元。

我從截圖信息數(shù)據(jù)中隨機(jī)抽取了5個(gè)用戶打電話詢問(wèn)，其中3位半年多前只在智聯(lián)招聘發(fā)過(guò)信息，而另外2位在智聯(lián)招聘、51Job上都發(fā)過(guò)信息，電話、學(xué)校、求職意向等信息都是準(zhǔn)確的。

那么很多問(wèn)題都來(lái)了。首先， 86萬(wàn)數(shù)據(jù)到底是誰(shuí)泄露的?智聯(lián)招聘是不是躺槍呢?

據(jù)智聯(lián)招聘回復(fù)，漏洞報(bào)告中提到的IP地址指向上海另外一個(gè)招聘網(wǎng)站，但是我采樣的幾個(gè)數(shù)據(jù)則依然有指向智聯(lián)招聘的可能。而被指向的另外一個(gè)公司則回應(yīng)“不接受采訪”。

從智聯(lián)招聘和烏云網(wǎng)關(guān)于IP地址的確認(rèn)信息看來(lái)，此次漏洞泄露的網(wǎng)段并不是直接從智聯(lián)招聘出來(lái)的數(shù)據(jù)。但是雖然智聯(lián)招聘一再?gòu)?qiáng)調(diào)智聯(lián)招聘絕對(duì)沒(méi)有任何泄露資料的可能，但也沒(méi)有證據(jù)表明這批數(shù)據(jù)泄露和智聯(lián)招聘完全沒(méi)有關(guān)系。

綜合多位安全領(lǐng)域?qū)＜业慕庾x，排除智聯(lián)招聘本身存在技術(shù)安全的可能之外，在智聯(lián)招聘向一些企業(yè)用戶開(kāi)放權(quán)限的時(shí)候，也有可能因?yàn)檫@些企業(yè)方的疏忽造成數(shù)據(jù)泄露。當(dāng)然，還存在第三方招聘網(wǎng)站未經(jīng)授權(quán)抓取了智聯(lián)招聘的信息，然后保管不當(dāng)造成泄露，也的有可能的。

泄露的資料中有完整的注冊(cè)賬號(hào)信息，只要與公司的數(shù)據(jù)庫(kù)比對(duì)，就可以知道究竟哪個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題。但目前，依靠我個(gè)人的力量實(shí)在無(wú)法去追溯問(wèn)題出哪個(gè)公司。而且，即使通過(guò)輿論去問(wèn)責(zé)這個(gè)公司，對(duì)于這些被個(gè)人信息被泄露的用戶來(lái)說(shuō)，也無(wú)濟(jì)于事。

唯有寄希望于這些可能存在數(shù)據(jù)泄露的公司，能夠?qū)τ脩粜畔⒏油咨票９埽灰钾?fù)用戶對(duì)平臺(tái)的信任。

今年以來(lái)，我個(gè)人跟進(jìn)了攜程泄密、Openssl漏洞的報(bào)道，最終都會(huì)感覺(jué)到深深的無(wú)力感。作為一個(gè)互聯(lián)網(wǎng)終端用戶，只要把自己的信息提交出去，那就相當(dāng)于老虎卸下自己的爪牙，到底這些信息會(huì)被如何處理，個(gè)人完全無(wú)法控制。

而仔細(xì)去看每個(gè)互聯(lián)網(wǎng)公司的用戶條款，其中關(guān)于免責(zé)的部分基本上都有一條 “黑客攻擊”導(dǎo)致的問(wèn)題，企業(yè)不承擔(dān)任何責(zé)任。這更讓公司掛上了“免死金牌”，即使出現(xiàn)了數(shù)據(jù)泄露，公司也不需要承擔(dān)法律責(zé)任。

比如智聯(lián)招聘的聲明為“盡管zhaopin.com已作好了全面的安全防范措施后，以下情況仍然有可能發(fā)生，例如某一第三方躲過(guò)了我們的安全措施并進(jìn)入我們的數(shù)據(jù)庫(kù)，查找到你的簡(jiǎn)歷。zhaopin.com認(rèn)為在你把你的簡(jiǎn)歷放入我們的數(shù)據(jù)庫(kù)時(shí)，你已經(jīng)意識(shí)到了這種風(fēng)險(xiǎn)的存在，并同意承擔(dān)這樣的風(fēng)險(xiǎn)。對(duì)于因此而引起的任何法律糾紛，zhaopin.com不承擔(dān)任何法律責(zé)任。”

此外，360安全總監(jiān)趙武表示，人才庫(kù)數(shù)據(jù)的大量泄露快遞行業(yè)和電商行業(yè)一樣，已經(jīng)成為用戶信息泄露的“重災(zāi)區(qū)”，大量的用戶數(shù)據(jù)已經(jīng)發(fā)生了多次泄露，數(shù)據(jù)量遠(yuǎn)不止幾十萬(wàn)。

本文開(kāi)頭提到的數(shù)據(jù)購(gòu)買者證實(shí)了這一點(diǎn)，因工作需求，他經(jīng)常活躍在各種的數(shù)據(jù)買賣的微信群，有的人購(gòu)買這些數(shù)據(jù)進(jìn)行詐騙，而有的人則進(jìn)行征信復(fù)核等用處。而這些數(shù)據(jù)庫(kù)因?yàn)橛袕V泛的銷售渠道，售價(jià)也越來(lái)越便宜。

趙武還反映了另外一個(gè)情況，“國(guó)內(nèi)互聯(lián)網(wǎng)網(wǎng)站大量的存在漏洞，95%的網(wǎng)站能夠被黑，40%的網(wǎng)站存在后門。而接入互聯(lián)網(wǎng)的企業(yè)對(duì)于用戶的隱私信息并沒(méi)有深刻的認(rèn)識(shí)，更沒(méi)有盡到保護(hù)的義務(wù)。”

從個(gè)人信息安全角度，趙武給出的建議是，希望有關(guān)部門在互聯(lián)網(wǎng)相關(guān)條約上可以明確就企業(yè)由于黑客攻擊導(dǎo)致的用戶信息泄露的問(wèn)題進(jìn)行約束，甚至是立法;

也希望各漏洞平臺(tái)能夠有效的協(xié)助企業(yè)解決安全問(wèn)題，不把未修復(fù)的漏洞細(xì)節(jié)公開(kāi)，避免二次攻擊，對(duì)企業(yè)和公眾造成損失。

另外一位軟件工程師則提到，目前黑客攻擊和數(shù)據(jù)銷售的渠道已經(jīng)越來(lái)越完善，已經(jīng)成為一個(gè)完整的產(chǎn)業(yè)鏈。像簡(jiǎn)歷這種只有姓名、手機(jī)等的信息并不值錢，更大的危險(xiǎn)來(lái)自移動(dòng)端支付相關(guān)的產(chǎn)品。利用WiFi或者直接攻擊手機(jī)系統(tǒng)，個(gè)人交易的安全也存在很大風(fēng)險(xiǎn)。

為了自身安全，我打算去找業(yè)內(nèi)人士咨詢一些實(shí)用的建議，既然大環(huán)境不能控制，那么個(gè)人在維護(hù)自己安全方面，到底能做哪些事情。