3
| 本文作者: Longye | 2014-12-03 11:06 |
今天上午,國內漏洞應急平臺烏云公開了一個導致智聯招聘86萬用戶簡歷信息泄露的漏洞。
該漏洞由烏云用戶“天地不仁 以萬物為芻狗”在昨晚9點左右提交,據其表述可導致智聯招聘的用戶簡歷數據庫泄露,其中包括用戶的姓名、地址、身份證、戶口等信息。
漏洞提交后,智聯招聘今天早上主動“忽略”并公開了該漏洞(忽略為烏云的一種狀態,表示否認、不相關的意思),其官方在烏云回應稱,漏洞披露的網站IP并非智聯招聘所有,圖中的用戶信息還待核實。
“感謝對智聯招聘的關注,經核實,漏洞詳情中披露的IP地址,非智聯招聘的。圖片中的標有‘智聯招聘’的信息待核實。建設總比破壞有意義,這個事情同時也給我們敲響了安全的警鐘。”
盡管智聯招聘官方還未確認被曝光的用戶信息是否為其所有,但據接近此事的白帽子向雷鋒網透露,這次被泄露的信息是在另外一家招聘網站上,并確認為智聯招聘所有。
對方解釋稱,這件事情看起來古怪,但有其可能性。很可能是智聯招聘曾經遭遇脫庫,這批信息被轉手到本次事件中的招聘網站,然后因為漏洞又被發現。這些事情在地下黑產中并不少見。
當前國內招聘網站中,老牌的有中華英才、前程無憂,新興的有58同城招聘、大街網、拉勾網、獵聘網等,還不清楚這次信息泄露主角會是哪一家?
在漏洞公開大概一小時后,智聯招聘向新浪科技回應稱,正在確認該漏洞并進行修復,目前尚未有更新回應。雷鋒網將持續跟蹤此事。
更新:智聯招聘在下午回應稱,本次事件中漏洞與數據均與智聯無關。烏云透露這起漏洞確實發生在某家新興招聘網站上,只是具體名字不知,亦不知道為何這家網站的簡歷數據會有智聯招聘關鍵詞。
烏云平臺上信息泄露的細節圖片:
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
