据ZDNet报道，安全研究者Sanyam Jain发现，中国企业今年前3个月出现数起简历信息泄露事件涉及5.9亿份简历。大多数数据泄漏都是因为安全性较差的MongoDB数据库和ElasticSearch服务器的安全管理不到位造成的，黑客无需密码就可在网上看到信息，或防火墙出现错误直接导致信息泄露。

在过去的几个月，ZDNet收到部分服务器泄露信息的相关内容，这些服务器属于中国HR企业。大多数泄漏事件都是由安全研究员兼GDI基金会成员Sanyam Jain发现的。

仅在过去的一个月里，Jain就发现并报告了七起此类案件，在本文发表之前只有四起被删除。

3月10日，Jain发现有一台ElasticSearch不安全，其存有3300万中国用户的简历。随后，他将问题报告给中国国家计算机应急响应小组（CNCERT），4天后数据库得到修复。

他的第二个发现是ElasticSearch服务器，他在3月13日发现了包含8480万张中文简历被曝光（工作经历，教育，技能，接受的培训，以前所有工作的报酬）。安全研究员Devin Stokes几天前也发现了这一点。在CNCERT的帮助下，该服务器目前也被拆除了。

3月15日，Jain找到一台问题ElasticSearch服务器，存有9300万份简历，已向CNCERT汇报，并未收到回应。Jain告诉ZDNet： 

数据库意外脱机，在向他们报告后我没有收到CNCERT的回复。

第四台服务器存放来自中国企业的简历数据，存有900万份简历，服务器同样来自ElasticSearch。

第五台服务器是一个拥有超过1.29亿份简历的ElasticSearch集群。在撰写本文时，因为Jain无法识别其所有者，该数据库仍然在线公开。

第六个是ElasticSearch服务器，托管18万份简历，而第七个只存储1.7万份简历。 

但是，Jain并不是唯一一个发现这些数据库的研究人员。两周前，另一位安全研究员Devin Stokes发现，一个ElasticSearch服务器，包含1900万中国用户的简历，均为管理职位。

此服务器除了简历信息外，还包含每个用户的完整配置文件，包括当前工作，招聘人员和高管之间最近的对话，培训课程等。

2018年12月28日，Hacken Proof的网络风险研究主管兼网络安全研究员Bob Diachenko在推特上爆料称，一个包含2.02亿中国求职者简历信息的数据库泄露，被称为中国有史以来最大的数据曝光之一。

据他所说，包含854 GB数据的MongoDB数据库无人看管，处于不受保护的状态。共计202,730,434条简历详尽记录了大量敏感信息，包括个人全名家庭住址，手机号码，电子邮件，婚姻状况，子女数量，政治关系，身高，体重，驾驶执照，识字水平，薪水期望、教育背景、过去的工作经验等等。

根据截图来看，该用户所曝光的这些数据应该是来源于一个完整的数据库。

这座数据金库“裸奔”将近一周时间（12月23至28日）之后，直到曝光之日才终于做出下线处理。期间至少有十几个IP在脱机之前访问了数据库。

一位推特用户称自己在GitHub上发现一个已经删除的储存库（目前页面已不可见，但仍然储存于Google缓存中）。该储存库中Web应用程序与泄露简历的应用程序包含几乎相同的结构模式，使用数据与中国求职者简历信息数据非常接近。他判定，名为“data-import”（数据导入）的工具是一个第三方应用，用于从中国分类广告中收集用户简历。 

廉价的简历数据，你的简历只值两毛钱

早在2017年，就报道过，有淘宝电商出售“58同城简历数据”。

其中一位旺旺号为“lsgjart”的店铺透露：

一次购买2万份以上，3毛一条；10万以上，2毛一条。要多少有多少，全国同步实时更新。

本文翻译自：https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

转载自：  https://www.4hou.com/info/news/17256.html，原文标题《数起简历信息泄露事件曝光——涉及中国企业的5.9亿份简历》