昨天早上,乌云网漏洞平台发布了一份漏洞报告,该报告指出这个漏洞可导致86万智联招聘用户简历信息泄露,智联招聘回应称被泄露信息的并不是智联招聘的用户。随后乌云平台将该报告删除。
智联否认存在漏洞
乌云平台的这份报告称,该漏洞可导致智联招聘数据库中86万份用户简历被黑客获取,其中包括户口、身份证等重要信息。报告还截图显示“智联招聘”字样及用户编号。
智联招聘方面告诉记者,该公司在12月2日晚就收到了乌云白帽子黑客的邮件,经过智联招聘技术部门排查确认,乌云白帽子所提交的疑似漏洞信息所指向的IP地址,并非智联招聘。乌云网站上公布的疑似泄露信息图片中,标有智联招聘字段的简历信息,“绝非来自智联招聘”。
昨天中午,乌云方面称已经确认漏洞中曝出的IP地址属于一家新兴招聘网站,该网站被白帽子发现86万条简历数据,而这些数据却全部被标示为来自智联招聘。到下午乌云平台将该报告删除。
乌龙事件仍有意义
近年来,快递公司、酒店、旅游网站、支付平台、电子邮箱平台等企业不断有漏洞被曝光。安全业内人士认为,漏洞被白帽子黑客发现并不是坏事,有利于企业对安全系统进行整改。但最糟糕的情况是漏洞被公开前已经有不法分子对用户信息进行买卖,对用户来说,如果这些完整的个人信息泄露,损失基本上是不可挽回的。
智联招聘相关负责人强调,智联招聘所有的简历数据库在互联网上无法访问;智联招聘有严密的数据库网络防火墙,公司安全及运维部门实施24小时监控;智联招聘网站上线17年来,从未发生过用户信息泄露事件。该负责人还表示,对于招聘平台而言,用户数据是公司主要收入来源和核心资产,一定会严加保护。
中国互联网协会信用评价中心法律顾问赵占领表示,信息盗取和买卖是违法行为。拥有海量用户信息的公司或平台作为信息管理方要承担保护用户信息的法律义务,因平台漏洞和“内鬼”倒卖而出现信息泄露时需要承担赔偿责任。
>>追问
信息到底是谁泄露的?
记者询问出现漏洞IP地址是哪里,存在安全漏洞的那一家新兴招聘网站又是哪家时,乌云和智联招聘方面并未透露。有在线招聘行业人士告诉记者,事实上网络上长期存在着简历买卖的“黑市”,一类是线上招聘网站的“内鬼”,他们盗取网站数据对外交易获利;另一类是线下企业或其HR部门、非正规的网络招聘论坛等出售用户信息,为表示权威或掩饰信息来源而标示来源为知名企业或招聘网站。
