12月2日，國內(nèi)漏洞應(yīng)急平臺烏云上發(fā)布一個漏洞“看我如何拿下智聯(lián)招聘八十六萬用戶簡歷”，宣稱智聯(lián)招聘網(wǎng)站有簡歷信息泄露的漏洞。次日，智聯(lián)招聘及時回復(fù)，烏云網(wǎng)漏洞中提到的IP地址并不是智聯(lián)招聘的地址，而是上海另外一個招聘網(wǎng)站，智聯(lián)招聘絕對沒有泄露任何用戶簡歷信息。

一個不能忽略的事實是，并非烏云公布信息的時候才發(fā)現(xiàn)數(shù)據(jù)漏洞。據(jù)了解，更多用戶信息今年9月開始就在網(wǎng)上銷售，近期一些銷售數(shù)據(jù)資料的微信群里也在銷售宣稱是智聯(lián)招聘簡歷的資料。

據(jù)購買這份資料的人透露，“社工庫論壇”上銷售“一個招聘網(wǎng)站簡歷”的帖子，宣稱有86萬用戶信息資料，其中包含姓名、手機號、部分身份證號、畢業(yè)院校、求職目標(biāo)、期望薪資等信息，全部數(shù)據(jù)售價只有不到100元。

我從截圖信息數(shù)據(jù)中隨機抽取了5個用戶打電話詢問，其中3位半年多前只在智聯(lián)招聘發(fā)過信息，而另外2位在智聯(lián)招聘、51Job上都發(fā)過信息，電話、學(xué)校、求職意向等信息都是準(zhǔn)確的。

那么很多問題都來了。首先， 86萬數(shù)據(jù)到底是誰泄露的?智聯(lián)招聘是不是躺槍呢?

據(jù)智聯(lián)招聘回復(fù)，漏洞報告中提到的IP地址指向上海另外一個招聘網(wǎng)站，但是我采樣的幾個數(shù)據(jù)則依然有指向智聯(lián)招聘的可能。而被指向的另外一個公司則回應(yīng)“不接受采訪”。

從智聯(lián)招聘和烏云網(wǎng)關(guān)于IP地址的確認信息看來，此次漏洞泄露的網(wǎng)段并不是直接從智聯(lián)招聘出來的數(shù)據(jù)。但是雖然智聯(lián)招聘一再強調(diào)智聯(lián)招聘絕對沒有任何泄露資料的可能，但也沒有證據(jù)表明這批數(shù)據(jù)泄露和智聯(lián)招聘完全沒有關(guān)系。

綜合多位安全領(lǐng)域?qū)＜业慕庾x，排除智聯(lián)招聘本身存在技術(shù)安全的可能之外，在智聯(lián)招聘向一些企業(yè)用戶開放權(quán)限的時候，也有可能因為這些企業(yè)方的疏忽造成數(shù)據(jù)泄露。當(dāng)然，還存在第三方招聘網(wǎng)站未經(jīng)授權(quán)抓取了智聯(lián)招聘的信息，然后保管不當(dāng)造成泄露，也的有可能的。

泄露的資料中有完整的注冊賬號信息，只要與公司的數(shù)據(jù)庫比對，就可以知道究竟哪個環(huán)節(jié)出現(xiàn)問題。但目前，依靠我個人的力量實在無法去追溯問題出哪個公司。而且，即使通過輿論去問責(zé)這個公司，對于這些被個人信息被泄露的用戶來說，也無濟于事。

唯有寄希望于這些可能存在數(shù)據(jù)泄露的公司，能夠?qū)τ脩粜畔⒏油咨票９埽灰钾撚脩魧ζ脚_的信任。

今年以來，我個人跟進了攜程泄密、Openssl漏洞的報道，最終都會感覺到深深的無力感。作為一個互聯(lián)網(wǎng)終端用戶，只要把自己的信息提交出去，那就相當(dāng)于老虎卸下自己的爪牙，到底這些信息會被如何處理，個人完全無法控制。

而仔細去看每個互聯(lián)網(wǎng)公司的用戶條款，其中關(guān)于免責(zé)的部分基本上都有一條 “黑客攻擊”導(dǎo)致的問題，企業(yè)不承擔(dān)任何責(zé)任。這更讓公司掛上了“免死金牌”，即使出現(xiàn)了數(shù)據(jù)泄露，公司也不需要承擔(dān)法律責(zé)任。

比如智聯(lián)招聘的聲明為“盡管zhaopin.com已作好了全面的安全防范措施后，以下情況仍然有可能發(fā)生，例如某一第三方躲過了我們的安全措施并進入我們的數(shù)據(jù)庫，查找到你的簡歷。zhaopin.com認為在你把你的簡歷放入我們的數(shù)據(jù)庫時，你已經(jīng)意識到了這種風(fēng)險的存在，并同意承擔(dān)這樣的風(fēng)險。對于因此而引起的任何法律糾紛，zhaopin.com不承擔(dān)任何法律責(zé)任。”

此外，360安全總監(jiān)趙武表示，人才庫數(shù)據(jù)的大量泄露快遞行業(yè)和電商行業(yè)一樣，已經(jīng)成為用戶信息泄露的“重災(zāi)區(qū)”，大量的用戶數(shù)據(jù)已經(jīng)發(fā)生了多次泄露，數(shù)據(jù)量遠不止幾十萬。

本文開頭提到的數(shù)據(jù)購買者證實了這一點，因工作需求，他經(jīng)常活躍在各種的數(shù)據(jù)買賣的微信群，有的人購買這些數(shù)據(jù)進行詐騙，而有的人則進行征信復(fù)核等用處。而這些數(shù)據(jù)庫因為有廣泛的銷售渠道，售價也越來越便宜。

趙武還反映了另外一個情況，“國內(nèi)互聯(lián)網(wǎng)網(wǎng)站大量的存在漏洞，95%的網(wǎng)站能夠被黑，40%的網(wǎng)站存在后門。而接入互聯(lián)網(wǎng)的企業(yè)對于用戶的隱私信息并沒有深刻的認識，更沒有盡到保護的義務(wù)。”

從個人信息安全角度，趙武給出的建議是，希望有關(guān)部門在互聯(lián)網(wǎng)相關(guān)條約上可以明確就企業(yè)由于黑客攻擊導(dǎo)致的用戶信息泄露的問題進行約束，甚至是立法;

也希望各漏洞平臺能夠有效的協(xié)助企業(yè)解決安全問題，不把未修復(fù)的漏洞細節(jié)公開，避免二次攻擊，對企業(yè)和公眾造成損失。

另外一位軟件工程師則提到，目前黑客攻擊和數(shù)據(jù)銷售的渠道已經(jīng)越來越完善，已經(jīng)成為一個完整的產(chǎn)業(yè)鏈。像簡歷這種只有姓名、手機等的信息并不值錢，更大的危險來自移動端支付相關(guān)的產(chǎn)品。利用WiFi或者直接攻擊手機系統(tǒng)，個人交易的安全也存在很大風(fēng)險。

為了自身安全，我打算去找業(yè)內(nèi)人士咨詢一些實用的建議，既然大環(huán)境不能控制，那么個人在維護自己安全方面，到底能做哪些事情。