2018年12月28日，推特用户Bob Diachenko爆料称，一个包含2.02亿份中国人简历信息的数据库泄露，这些简历内容非常详细，包括姓名、生日、手机号码、邮箱、婚姻状况、政治面貌和工作经历等。

Diachenko还在推特上晒出过一张中英文翻译截图。一名求职者在自我介绍后称，"只想有份稳定工作。"

Bob Diachenko是Hacken.io网络风险研究和bug赏金平台HackenProof的总监。

2018年12月28日，他分析了BinaryEdge搜索引擎(https://app.binaryedge.io/)的数据流，并确定了一个开放且不受保护的MongoDB数据库实例： 

Shodan搜索结果中也出现了相同的IP ：

经过仔细检查，一个854 GB大小的MongoDB数据库无人看管，无需密码/登录验证即可查看和访问中国求职者超过2亿份非常详细的简历。

202,730,434条记录中的每条记录不仅包含候选人的技能和工作经验，还包括他们的个人信息，如手机号码，电子邮件，婚姻，子女，政治，身高，体重，驾驶执照，识字水平，薪水，期望等等。

数据的来源仍然未知。但据Bob Diachenko的一个Twitter粉丝称，一个GitHub repository中包含的Web应用程序源代码与暴露简历所使用的结构模式相似，目前，这个页面已经无法打开了但还能在Google缓存中找到。

https://github.com/xzfan/data-import

其中，有一个名为“data-import” 的工具，于3年前创建，似乎是为了从不同的中文分类广告中搜集简历而创建的，例如bj.58.com和其他平台。

目前尚不清楚这些收集简历的行为是公司行为还是个人行为，其中相当一部分简历标记为“Privacy”。

BJ.58.com的安全团队否认数据来自其公司，并做出以下申明：

我们搜遍了我们的数据库并调查了所有其他存储，结果发现样本数据没有泄露给我们。

似乎数据是从第三方泄露出来的，这些第三方从许多CV网站上抓取数据。

Bob Diachenko在Twitter上发布通知后不久，该数据库已得到保护。值得注意的是，MongoDB日志显示至少有十几个IP可能在脱机之前访问过数据。

关于简历数据泄露的消息并不少见。此前有媒体报道，一些招聘网站向企业和个人账号开放简历搜索权限。有卖家称，花700元就可购买一套采集软件，批量爬取多家知名招聘平台全国简历信息。

国内安全人士分析，本次数据是通过爬取收集的可能性非常小。因为一般简历公开数据不会这么详细，而且部分内容会脱敏，更可能是相关业务存在未授权或者其它漏洞而导致数据泄露。

“简历其实就是个人画像数据。如果大规模被泄露或被利用，可能造成严重的危害。”

在上传简历信息时，应选择可信的招聘或者猎头平台。当给出姓名、电话、身份证、银行卡等可与自己直接关联的数据时，要特别谨慎。对于简历上提到的数据，建议与个人敏感数据分离。

用户应该养成良好的密码设置和保管意识，密码组合应尽量复杂、位数要多，包括字母、数字和特殊符号，尽量不使用生日、名字拼音等。此外，在不同平台设置不同密码且最好定期修改。

参考来源：

• 黑鸟

• 南方都市报

往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com