本报讯(记者 解丽)昨日,国内漏洞应急平台乌云公开了一个据称是导致智联招聘86万用户简历信息泄露的漏洞。而从漏洞上看,泄露的简历信息可以看到姓名、地址、身份证号及户口等。对此,智联招聘发布声明称,自己实为“躺枪”,疑似漏洞信息所指的IP地址并非智联,简历信息绝非来自智联招聘。
据了解,12月2日晚,智联招聘收到来自乌云白帽子“天地不仁 以万物为刍狗“邮件,信中提交了一个关于“导致智联招聘86万用户简历信息泄露”的漏洞,12月3日早上乌云网站正式公布此漏洞。从漏洞中可以清楚看到姓名、地址、身份证号、户口、月薪等信息。同时,智联招聘对该漏洞的反馈是“忽略”。
智联招聘表示,在接到乌云的提醒之后,技术部门很快进行了排查确认,认定其指向的IP地址并非智联招聘,同时乌云网站上公布的疑似泄露信息图片中,标有智联招聘字段的简历信息,绝非来自智联招聘。而对于此消息,智联招聘的个人用户显得十分平静,有些甚至发帖称“一看这些信息就是假的,身份证号根本不对”。
智联招聘强调,该公司自1997年成立zhaopi.com网站以来,就将信息安全视为第一要务,持续加大投入,并使用领先技术,确保用户信息安全性。相关负责人明确,其一,智联招聘所有的简历数据库在互联网上绝对无法访问。即通过搜索引擎是找不到的,只会向经过审核、合作的客户开放;其二,智联招聘有严密的数据库网络防火墙,公司安全及运维部门实施24小时监控;其三,成立17年以来拥有近亿份用户简历,从未发生过用户信息泄露事件,广大用户可以安心使用。
而对于有媒体推断,该事件很可能是智联招聘曾经遭遇脱库,泄露信息又被转手到本次事件中的招聘网站,最后因为漏洞又被发现,智联招聘坚称绝无可能。
同时,北京青年报记者发现,求职者在大型的招聘网站上进行简历注册时,个人信息开放程序的等级是可以选择的。像智联招聘就设置了完全开放、完全保密、委托智联招聘等三个等级。完全开放是所有企业都可以看到简历,但同时可选择屏蔽某个或某些公司;完全保密,是所有企业都看不到,但个人可凭喜好投递简历;委托智联招聘,就是只有智联招聘猎头可以与简历人沟通。提醒求职者,在简历注册时,可根据自身情况进行选择。
此外,针对此次“躺枪”,北青报记者也采访了其他一些招聘网站,其都表示,对于系统性的安全,其技术部门会时刻关注安全状态并随时更新升级防御措施,同时也会和其他同样注重用户信息安全的企业(如电商、支付、互联网金融)保持技术上的沟通协作,共同提升网络安全的技术水平。