早在今年1月份，看雪就曾经曝光过“2.02亿份中国人简历信息数据泄露事件”，详情戳：你的简历安全吗？2.02亿中国求职者简历遭泄露。但简历数据泄露事件却没有因此止步。

研究人员发现，2019年第一季度，中国企业连续出现数起简历信息泄露事件，大多数简历无需密码就可在网上看到信息。据统计，泄露的简历达以5.90497亿份。

安全专家指出，多数简历泄露是因为MongoDB和ElasticSearch服务器安全措施不到位，或防火墙出现错误导致。

发现信息泄露的安全研究者Sanyam Jain表示，他在过去一个月发现并汇报了7起泄露事件，其中4起已修复。接下来，就让我们一起来看看，都有哪些简历泄露事件吧！

3月10日，Jain发现一台ElasticSearch存有3300万中国用户的简历。随后，他将问题报告给中国国家计算机应急响应小组（CNCERT），4天后数据库得到修复。

3月13日，Jain又发现一台ElasticSearch不安全，存有8480万份简历，在CNCERT的帮助下，问题得以解决。

3月15日，Jain找到一台有问题的ElasticSearch服务器，存有9300万份简历，已向CNCERT汇报，并未收到回应。

第四台服务器同样来自ElasticSearch，存有中国企业的900万份简历。

第五个泄露点是ElasticSearch服务器集群，里面存放逾1.29亿份简历。Jain无法确认所有者，但数据库仍为开放状态。

另外两个泄露点的规模较小。一台ElasticSearch服务器存放18万份简历，另一台存放17000份简历。

此外，两周前，另一位安全研究员Devin Stokes发现，一个ElasticSearch服务器包含1900万中国用户的简历，均为管理职位。除了简历外，此服务器还有每位用户的完整配置文件，其中包括当前工作、招聘人员和高管之间最近的对话及培训课程等。

泄密服务器还包含一份公司名单，这些公司签署了猎头公司的服务，并在其帮助下聘请了高管。通过这份名单粗略搜索到了Kraft Heinz和StonCor等外国公司，以及中国航空动力控制和无锡AMT技术等许多中国本土公司。

加拿大安全研究员Huo Ju担忧的说道：“如果没有数据库提供的信息，技术不精明的诈骗者也很难找出这些关系”，现在如果有人想要深入研究某个人的社会关系，那么上亿求职者的数据宝库将为他提供教育背景、工作经验和其他信息。她说，“每个人都应该理解这一点：你认为这只是一份简历，但它可以用于其他目的。”

所以，当越来越多的用户数据被置身于‘裸奔’的状态，除了政府积极完善相关规则，企业组织也应该正确认识到保护任何第三方数据库服务的重要性。

来源：

新浪科技

界面新闻

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com