中国人寿招聘系统惊现高危漏洞 27万份简历一览无余

2015 年 7 月 25 日3010

  “一份较为详细的个人简历资料,售价甚至可以达到50元,不法分子可从中牟取不菲利益。”近日,来自乌云漏洞报告平台网友向《投资快报》记者透露,中国人寿(行情601628,咨询)招聘系统存在危害等级为“高危”的漏洞,通过该招聘系统漏洞可越权访问27万份简历,应聘用户信息存在随时泄露危险。

  层出不穷的系统漏洞是否在进行补救?庞大利益受害者将如何善后?上周《投资快报》独家披露国寿广东分公司由于系统漏洞问题,数十万份保单或已泄露,引起行业内外较大关注。虽然发去采访函,但截至昨晚记者发稿,中国人寿仍然置若罔闻,未采取任何正面回应。

  国寿再曝高危漏洞 27万份简历一览无余

  据了解,乌云网为知名网络漏洞报告平台,众多“白帽”黑客在此排查国内各大网站的安全漏洞。早在4月9日,网友“prolog”便向乌云平台提交了关于该漏洞的相关信息,就有关的细节通知厂商并且等待厂商处理,中国人寿在得到漏洞信息后,反应迅速并在当天上午十时许确认,回应危害等级为高,并对披露漏洞的网友表示感谢。不过后续进展却为未可知。记者登陆该网站平台看到,关于该漏洞的细节信息在5月24日向公众公开,通过上述网友在平台上提供的两个网站链接,可以越权查看该公司招聘系统应聘者的详细信息,具体applylogininfoIds范围从10000开始到278011。

  从网友提供的截图可以看到,登陆中国人寿招聘系统简历中心后,点击“预览&;打印PDF”按钮,可以查看该招聘系统的简历信息,信息包括应聘者的基本信息、联系信息、教育信息等。

  除却补天漏洞等其他平台不算,仅仅据乌云漏洞报告平台统计,2015年上半年中国人寿漏洞出现7次,漏洞类型主要包括敏感信息泄露、未授权访问/权限绕过、任意文件遍历/下载以及设计缺陷/逻辑错误。

  今年上半年以来,乌云漏洞报告平台上网友除了披露中国人寿招聘系统上的漏洞,还披露了中国人寿的其他系统漏洞,危害等级低中高均有出现。

  2015年2月11日,乌云网友“ADO”发布了题为《中国人寿任意文件下载》的漏洞信息。该漏洞危害等级为“低”,发布作者ADO认为这种漏洞一般无影响,修复与否无所谓,发布漏洞信息是以防万一。

  2015年5月7日,乌云网友“0x80”披露中国人寿某处配置错误导致通过保单号获取保险信息,该漏洞涉及用户敏感信息泄露,危害等级为“中”,漏洞已得到中国人寿的确认。

  2015年6月1日,乌云网友“0x80”继续披露中国人寿某处再次泄露财险客户敏感信息,包括用户的车牌、姓名、保单等信息,危害等级为“高”,对此,中国人寿回复:CNVD确认并复现所述情况,已经转由CNCERT向保险行业信息化主管部门通报,由其后续协调网站管理单位处置。

  网友透露登陆中国人寿招聘系统简历中心后,点击“预览&;打印PDF”按钮,可以查看该招聘系统的简历信息

  泄露信息包括应聘者的基本信息、联系信息、教育信息等

  招聘平台应聘者信息频频泄露

  早在2014年12月,据北京媒体报道,漏洞报告平台乌云网曝出智联招聘存在漏洞,涉及86万用户简历信息泄露。

  乌云白帽子“天地不仁以万物为刍狗”提交了一个关于“导致智联招聘86万用户简历信息泄露”的漏洞。描述称,该漏洞将导致智联招聘数据库中86万份用户简历能够被获取,其中包括户口、身份证等用户重要信息。

  但智联招聘回应表示,经过技术部门排查确认,乌云白帽子“天地不仁以万物为刍狗”所提交的疑似漏洞信息所指向的IP地址并非智联招聘。

  尽管智联招聘称,不存在漏洞,但网友对智联招聘的用户信息安全性进行质疑。还是有网友发布微博称,“往事不堪回首啊。想起某年找工作之时在智联弄了个简历,关闭以后小半年还有人称在智联看到我的简历,问一些奇奇怪怪的问题,不胜其扰!”

  7月20日,中华人民共和国国家互联网信息办公室网站上刊登了一篇题为《湖北孝感事业单位考试信息泄露 人社局称系黑客入侵》的报道。该报道称,不少报考了孝感事业单位考试的考生,都收到了一个助考机构发出的推销备考资料和培训的短信。一些考生跟对方联系后得知,这个助考机构不仅掌握了许多报考考生的详细信息,还声称能够提前弄到试题和答案。

  针对这一情况,孝感市人社局称系黑客入侵。并在7月13日,孝感人事考试院在官网发布了一则《郑重提示》:近日,2015年孝感市事业单位公开招聘工作人员的报名工作已经结束,发现有个别培训机构和个人通过网络、短信发布考前培训、绝密资料、高分通过等信息。在此郑重申明:一是人事考试管理机构不举办任何培训、不指定考试资料用书;二是参考人员不要轻信不法培训机构和个人发布的虚假信息,按照公告内容复习备考;三是人社部门将配合公安网监部门跟踪监控信息来源渠道,对涉嫌违法的机构和个人实施严厉打击,切实维护孝感人事考试公平公正。

  类似的信息泄露情况同样发生在贵阳市,据贵州当地媒体报道,贵阳市2015年春季统一公开招聘中小学、幼儿园教师笔试于7月4日结束。有参加此次考试的网友反映,在6月8日报名后自己不停收到骚扰信息,报名信息疑似被泄露。对此,贵阳市考试指导中心却一口否认,称考生的信息很安全,不存在被泄露的情况。

  专家:信息保护迫在眉睫

  目前招聘网站鱼龙混杂,求职者在投递简历时容易泄露个人信息。有不少网友都有过在网上招聘网站投递简历信息泄露后受到莫名其妙干扰的经历。在百度知道平台上,网友a823151735 写到:“网上招聘网站简历信息泄露该怎么办?总是受到莫名其妙的面试通知,很烦啊。”网友可爱多sky0 则甚至怀疑自己曾经投递过简历的一些企业把自己的私人信息泄露给了传销组织。

  一位长期从业于网络招聘的工作人员毫不讳言地披露,出售求职者信息是行业通行的“潜规则”,几乎所有小型招聘网站和一些相关培训机构都有三大招聘网站资料库的相关资料。正是其中隐含着巨大的“商机”,网上的求职者成为一些商家的猎物,众多社交、招聘等涉及个人信息的网站,成为黑客和商业网站盗取财富的新平台。“因招聘单位系统漏洞,不法分子往往有机可乘,一份较为详细的个人简历资料,售价甚至可以达到50元,黑客一个月可获利高达上万元,牟取非法利益不菲。”

  对此,专家呼吁,应通过立法等手段加大对个人信息的保护力度。同时,公民个人也需要增强保护意识,敢于拿起法律武器维护自己的合法权益。

0 0