3
本文作者: Longye | 2014-12-03 11:06 |
今天上午,國(guó)內(nèi)漏洞應(yīng)急平臺(tái)烏云公開了一個(gè)導(dǎo)致智聯(lián)招聘86萬用戶簡(jiǎn)歷信息泄露的漏洞。
該漏洞由烏云用戶“天地不仁 以萬物為芻狗”在昨晚9點(diǎn)左右提交,據(jù)其表述可導(dǎo)致智聯(lián)招聘的用戶簡(jiǎn)歷數(shù)據(jù)庫(kù)泄露,其中包括用戶的姓名、地址、身份證、戶口等信息。
漏洞提交后,智聯(lián)招聘今天早上主動(dòng)“忽略”并公開了該漏洞(忽略為烏云的一種狀態(tài),表示否認(rèn)、不相關(guān)的意思),其官方在烏云回應(yīng)稱,漏洞披露的網(wǎng)站IP并非智聯(lián)招聘所有,圖中的用戶信息還待核實(shí)。
“感謝對(duì)智聯(lián)招聘的關(guān)注,經(jīng)核實(shí),漏洞詳情中披露的IP地址,非智聯(lián)招聘的。圖片中的標(biāo)有‘智聯(lián)招聘’的信息待核實(shí)。建設(shè)總比破壞有意義,這個(gè)事情同時(shí)也給我們敲響了安全的警鐘?!?/p>
盡管智聯(lián)招聘官方還未確認(rèn)被曝光的用戶信息是否為其所有,但據(jù)接近此事的白帽子向雷鋒網(wǎng)透露,這次被泄露的信息是在另外一家招聘網(wǎng)站上,并確認(rèn)為智聯(lián)招聘所有。
對(duì)方解釋稱,這件事情看起來古怪,但有其可能性。很可能是智聯(lián)招聘曾經(jīng)遭遇脫庫(kù),這批信息被轉(zhuǎn)手到本次事件中的招聘網(wǎng)站,然后因?yàn)槁┒从直话l(fā)現(xiàn)。這些事情在地下黑產(chǎn)中并不少見。
當(dāng)前國(guó)內(nèi)招聘網(wǎng)站中,老牌的有中華英才、前程無憂,新興的有58同城招聘、大街網(wǎng)、拉勾網(wǎng)、獵聘網(wǎng)等,還不清楚這次信息泄露主角會(huì)是哪一家?
在漏洞公開大概一小時(shí)后,智聯(lián)招聘向新浪科技回應(yīng)稱,正在確認(rèn)該漏洞并進(jìn)行修復(fù),目前尚未有更新回應(yīng)。雷鋒網(wǎng)將持續(xù)跟蹤此事。
更新:智聯(lián)招聘在下午回應(yīng)稱,本次事件中漏洞與數(shù)據(jù)均與智聯(lián)無關(guān)。烏云透露這起漏洞確實(shí)發(fā)生在某家新興招聘網(wǎng)站上,只是具體名字不知,亦不知道為何這家網(wǎng)站的簡(jiǎn)歷數(shù)據(jù)會(huì)有智聯(lián)招聘關(guān)鍵詞。
烏云平臺(tái)上信息泄露的細(xì)節(jié)圖片:
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。