據(jù)TechCrunch 5月1日報告，美國著名招聘公司Ladders因安全失效，超過1370萬用戶信息被數(shù)據(jù)泄露。

這家總部位于美國、成立于2003年的招聘公司，旨在為用戶提供職業(yè)新聞、職業(yè)建議、和在線求職服務(wù)，為雇主和高級招聘人員提供訂閱服務(wù)。

從服務(wù)對象和市場定位來看，Ladders是國內(nèi)高端人才招聘公司獵聘成立之初對標(biāo)的對象，僅僅推出年薪為10萬美元以上的工作機會，后來將用戶拓展至年薪為4萬美元至25萬美元之間。

安全研究員Sanyam Jain最先發(fā)現(xiàn)該數(shù)據(jù)庫數(shù)據(jù)泄露，他也是GDI基金會的成員，GDI基金會是一家旨在保護數(shù)據(jù)的非營利組織。

因配置錯誤，The Ladderts上公開了亞馬遜托管的Elasticsearch數(shù)據(jù)庫，導(dǎo)致1370萬用戶的個人身份信息泄露。

在不需要密碼的情況下，任何人都可以訪問該數(shù)據(jù)庫。

暴露的信息包括求職者的姓名，電子郵件地址，就業(yè)歷史以及申請人正在尋找工作、行業(yè)和當(dāng)前薪資水平。

泄露信息包括求職者的姓名，地址，電話號碼和職位描述等在安全研究員向TechCrunch報告的一個小時之內(nèi)，The Ladders已將數(shù)據(jù)庫拉下線，確認數(shù)據(jù)安全。

發(fā)生數(shù)據(jù)泄露事件后，The Ladders公司的創(chuàng)始人兼首席執(zhí)行官Marc Cenedella發(fā)布了一份簡短的聲音。

他說，“AWS服務(wù)提供商確認了我們的ASW托管彈性搜索是安全的，只有內(nèi)部員工才可以在指定的IP地址訪問。我們將研究這種潛在的盜竊行為，并感謝您的幫助了。” 但是他們并未詳細說明用戶信息暴露的時間或在“裸奔”期間，數(shù)據(jù)是否被訪問。

TechCrunch聯(lián)系了十幾位該網(wǎng)站的注冊求職者，證實了信息泄露的事實。

其中幾個人確認，從數(shù)據(jù)庫內(nèi)檢索出來的數(shù)據(jù)信息，與他們在該網(wǎng)站上的注冊簡歷信息一致。

一名用戶表示，在這次大規(guī)模信息泄露后，他以后“不再使用該網(wǎng)站”。

部分個人數(shù)據(jù)在網(wǎng)站上屬于公開信息，允許The Ladders網(wǎng)站的其他注冊用戶查看，但是這次信息泄露讓他們在意的是觸及敏感的個人隱私，比如電子郵件，郵政地址，電話號碼以及基于其IP地址的大致地理位置。

除了求職者以外，還有一個群體的信息也被公開。

這次有超過379,000名招聘人員的信息被曝光，關(guān)于他們的數(shù)據(jù)不那么敏感，可能主要是個人電話、郵件和就業(yè)公司。

值得一提的是，越來越多的用戶數(shù)據(jù)被置身于“裸奔”狀態(tài)，隱私信息泄露已經(jīng)成為一個讓人感到無奈、卻少有改善的頑疾。

一般存在兩種情況，包括從招聘平臺內(nèi)部泄露和第三方數(shù)據(jù)抓取。

今年1月，界面新聞曾經(jīng)報道超過2億中國求職者簡歷泄露，曝光時間接近一周。

人力資源服務(wù)企業(yè)前程無憂和58同城可能是簡歷的數(shù)據(jù)來源，58同城的新聞發(fā)言人當(dāng)時回應(yīng)意為，“簡歷數(shù)據(jù)不是從58同城的平臺上泄露的”，而是用戶將簡歷設(shè)置為公開可見時，第三方數(shù)據(jù)抓取。

招聘網(wǎng)站對求職者簡歷做出了什么保護措施？如何保護用戶信息安全？2018年12月，58同城上線“建立手機號保護”服務(wù)，完善就業(yè)服務(wù)防火墻。

覆蓋簡歷公開設(shè)置、黑名單設(shè)置、個性化隱私服務(wù)等隱私設(shè)置功能，生成第三方虛擬號碼，全方位保護求職者隱私。

界面新聞記者登錄58同城官網(wǎng)，發(fā)現(xiàn)仍然可以看到求職者簡歷上的大量公開信息。

在58同城官網(wǎng)上注冊的賬號均可搜索所有人簡歷，并查看年齡、頭像、詳細的教育背景和工作經(jīng)歷等信息，但不能查看手機號。

2015年至今，多地公安機關(guān)發(fā)布公告，提醒求職者警惕招聘詐騙。

而在網(wǎng)上公開的大量個人信息并不只是一份簡歷，可能被技術(shù)不精明的詐騙者可以用于其他目的。