烏雲漏洞報告現烏龍
- 發佈時間:2014-12-04 01:54:42 來源:京華時報 責任編輯:羅伯特
京華時報訊(記者廖豐實習記者蔣雅琛)昨天早上,烏雲網漏洞平臺發佈了一份漏洞報告,該報告指出這個漏洞可導致86萬智聯招聘用戶簡歷資訊洩露,智聯招聘回應稱被洩露資訊的並不是智聯招聘的用戶。隨後烏雲平臺將該報告刪除。
智聯否認存在漏洞
烏雲平臺的這份報告稱,該漏洞可導致智聯招聘數據庫中86萬份用戶簡歷被駭客獲取,其中包括戶口、身份證等重要資訊。報告還截圖顯示“智聯招聘”字樣及用戶編號。
智聯招聘方面告訴記者,該公司在12月2日晚就收到了烏雲白帽子駭客的郵件,經過智聯招聘技術部門排查確認,烏雲白帽子所提交的疑似漏洞資訊所指向的IP地址,並非智聯招聘。烏雲網站上公佈的疑似洩露資訊圖片中,標有智聯招聘字段的簡歷資訊,“絕非來自智聯招聘”。
昨天中午,烏雲方面稱已經確認漏洞中曝出的IP地址屬於一家新興招聘網站,該網站被白帽子發現86萬條簡歷數據,而這些數據卻全部被標示為來自智聯招聘。到下午烏雲平臺將該報告刪除。
烏龍事件仍有意義
近年來,快遞公司、酒店、旅遊網站、支付平臺、電子郵箱平臺等企業不斷有漏洞被曝光。安全業內人士認為,漏洞被白帽子駭客發現並不是壞事,有利於企業對安全系統進行整改。但最糟糕的情況是漏洞被公開前已經有不法分子對用戶資訊進行買賣,對用戶來説,如果這些完整的個人資訊洩露,損失基本上是不可挽回的。
智聯招聘相關負責人強調,智聯招聘所有的簡歷數據庫在網際網路上無法訪問;智聯招聘有嚴密的數據庫網路防火牆,公司安全及運維部門實施24小時監控;智聯招聘網站上線17年來,從未發生過用戶資訊洩露事件。該負責人還表示,對於招聘平臺而言,用戶數據是公司主要收入來源和核心資産,一定會嚴加保護。
中國網際網路協會信用評價中心法律顧問趙佔領表示,資訊盜取和買賣是違法行為。擁有海量用戶資訊的公司或平臺作為資訊管理方要承擔保護用戶資訊的法律義務,因平臺漏洞和“內鬼”倒賣而出現資訊洩露時需要承擔賠償責任。
>>追問
資訊到底是誰洩露的?
記者詢問出現漏洞IP地址是哪,存在安全漏洞的那一家新興招聘網站又是哪家時,烏雲和智聯招聘方面並未透露。有線上招聘行業人士告訴記者,事實上網路上長期存在著簡歷買賣的“黑市”,一類是線上招聘網站的“內鬼”,他們盜取網站數據對外交易獲利;另一類是線下企業或其HR部門、非正規的網路招聘論壇等出售用戶資訊,為表示權威或掩飾資訊來源而標示來源為知名企業或招聘網站。
- 股票名稱 最新價 漲跌幅