随着春季求职季的开始,不论是节后返城的打工者还是打算另谋高就的白领,都急于找到一个适合自己的岗位。不少人信奉“广撒网,多捞鱼”这一信条,在各种各样的招聘网站中填写简历。但近日记者从中国较大的漏洞响应平台补天漏洞响应平台了解到,不少的求职网站存在安全漏洞,上亿份简历中涉及的个人隐私存在被泄露的风险。
事件
求职心切 信息疑被泄
为了让更多的企业看到自己,北京市民张先生虽然已经向10余家企业发了个人简历,但又在7家招聘网站上填写了个人资料。这些资料包括自己的学历、住址、工作经验等等。张先生告诉记者,自己从事的投资行业公司太多,自己每家看一遍是不可能的。为此,他在网站上把自己“挂出来”希望能有企业看到,并发现他的才能。
然而,张先生没有等来“伯乐”,却等来了一系列的推销电话。他告诉记者,自己是在去年底有了跳槽的打算,并在1月底之前填报了自己资料。但从春节过后,他就不断收到各种各样的骚扰电话或信息。这其中既有广告推销,也有求职骗局。其中有些推销电话甚至直接说出了他住在石景山区,可以就近提供上门服务。
与张先生情况类似,大四学生小吕也遭遇了电话骚扰。他告诉记者,在上学期他收到的还是考研班的推销信息。而从春节过后,就改成了面试培训、服装出租等等。“我原先以为,是从学校泄露出去的,但考研报名却没考试这件事儿,学校也不知道啊。”为此,他觉得问题可能出在自己投了简历的几家招聘网站。
漏洞
上亿人次的信息可被“盗”
对于小吕和张先生的疑惑。记者发现,信息的泄露不一定是人为故意泄露的。因为,不少的招聘网站都存在漏洞,用户的个人信息可以被“随意取用”。
法晚记者在补天漏洞平台上看到,从2015年开始,就不断有“白帽子”黑客发现,一些招聘网站存在风险漏洞。
根据统计,2015年至今,仅在补天漏洞平台上,被发现的相关漏洞就有876个之多。涉及到1亿4581万人次的资料存在泄露的风险。其中,地区性的人才网站以及针对不同学历毕业生的专业网站“受灾”较为严重。其中,从2016年1月1日起,新发现的漏洞就有89个,危及1818万人次的信息。
在技术专家的演示下记者注意到,一旦掌握漏洞的“应用”方法,网站用户的信息几乎全部公开,姓名、身份证、手机号、邮箱、家庭住址都算是“常规”的。而一些网站还要求求职者提供其他联系人,那么这位求职者的父母、亲友的姓名电话也一并受到了威胁。
说法
漏洞修改难度不大 但修改率低
据介绍,补天漏洞平台目前在招聘网站上一共发现了15种漏洞,其中比较低级的sql注入漏洞和权限绕过漏洞分别占到了61%和16%。这些漏洞是以数据库为核心的网站中常见的。但因为比较低级,很容易发现。因此,只要重视安全的网站会立即进行修复。而且,对于专业的网络安全人员来说,漏洞修复的难度并不大。
但经漏洞平台的反馈,大部分网站并没有做出积极的回应。根据数据统计,截至记者发稿时,在全部876个漏洞中,只有34个得到了有效修复,修复率仅为3.9%。而其余的漏洞几乎没有任何修改。补天漏洞响应平台负责人林伟告诉记者,上文提到的漏洞只能通过网络安全人员进行防范。也就是说,普通的求职者对于这样的漏洞是难以从源头进行防范的。林伟提示,在求职过程中,应选择较大的网站安全系数相对较高;在找到工作后,自己的资料不要长时间挂在网上,应及时删除。
