查看原文
其他

百万个人简历流向黑市 智联、猎聘等招聘平台成信息泄露重灾区

藏青 安全419 2022-04-06


315晚会记者调查发现,智联招聘、猎聘网、前程无忧等多个招聘平台上存在严重的个人简历信息泄露问题,只需要通过企业账户充值这些互联网招聘网站会员,伸向简历的黑手可以在求职者毫不知情的情况下,就可以不受数量限制的肆意下载,倒卖个人简历。甚至还有一些第三方商家倒卖、兜售智联招聘的企业账户,记者发现,通过伪造资质申请下来的企业账户,在付费后同样可以任意下载详尽的个人简历。


警方调查发现,大量的个人简历信息通过不同途径源源不断的流入黑市,警方称:“招聘网站上发布简历的人,是很希望得到工作的,在这个时候,他们对所有的陌生电话都不会抗拒,对所有的来电,他们都是基于个人的信任和对招聘网站的信任。”



个人简历遭遇到了泄露、买卖以至于精准诈骗,已经形成了一条完整的黑色产业链,而在这条产业链中,这些互联网招聘平台无疑在其中扮演了关键角色。


对此,无糖信息CEO张瑞冬表示,简历一般除了手机号和邮箱外,还会有一个人的出生地、受教育经历、职业生涯等信息,更精准一些的可能还会有身份证号、婚姻状况、传染病情况等更隐私的信息。为了更快找到适合自己的工作,求职者会在简历中尽可能详尽的描述清楚个人的全部情况,同时上传到尽量多的互联网招聘平台上,并期待更大的曝光率。尽管知道这样可能会带来信息泄露的风险,但是对这一现状几乎无力可施。


一家大型企业的人力部门,一年会经手几万份甚至几十万份简历,就拿无糖自身来说,每招聘一个技术岗位也一样要从几百份简历里面去逐层筛选。互联网招聘的供需市场的情况,也反过来催生了现在互联网招聘平台的商业模式。央视财经记者演示的充值企业账户购买简历的行为事实上并不违法,但是需要上级部门更多关注和监管。


据无糖信息长期对抗黑产与网络犯罪的经验来看,那种几百万份的批量交易的简历,几乎不可能是通过注册一个假的企业账号,然后花钱去购买得来的,因为这样的犯罪成本太高了,哪怕是犯罪组织也无法接受。最常见的情况是,正常招聘活动中获取到的大量简历,被流程上的工作人员打包低价卖了,买家四处收购这种打包简历之后,最终就会形成一个巨大的简历库。像晚会视频中展示的QQ群,里面大部分都是些倒卖信息的掮客。如果进一步对这些掮客的身份进行挖掘,很有可能就是一些正规企业的人力员工,或许还会有一些包括车管所、保险公司、教育系统等信息泄露重灾区的临时工。


“简历信息被拿去做精准诈骗的只是少数。实际上被一些市面上的皮包公司用来做虚假招聘的情况会更加泛滥。社会上有大量类似被骗的案例,比如打电话邀请求职人去应聘,结果说求职人技能不达标,要先交钱培训的;或者是到现场后说自己是是工作介绍所,让先交几百块办个卡,给你介绍工作的;甚至还有说因外貌不符合岗位要求,入职前先帮忙办理一个整容贷款等等,不一而足。”张瑞冬谈到。


广州凌晨网络高级安全顾问姚威看来,就本次曝光事件而言,智联等互联网企业,其自身就拥有大量的商业数据,此次数据泄露是在使用的过程出现了越权访问所导致,因此,这些互联网招聘平台用户简历泄露事件,实际上是一个数据安全维度的问题。


在我国刚刚发布的《数据安全法草案》第一章中能够发现,国家是允许企业对自有的商业数据进行合法、有效的应用,但企业需要对数据进行分级分类,包括在数据的流转、加工使用,甚至是交易的过程中,权限级别较低的访问账户是不能够随意使用和交易这些数据的。而央视315晚会提到的,只需要充值60元就可以任意下载用户简历的行为,明显已经违背了国家对于数据安全的相关制度要求。



姚威谈到,在智联招聘的这一案例中,用户数据已经构成了一种商品,但是像用户姓名、手机号、邮箱等等这些重要的隐私信息数据,所属的分类和对应的敏感度分级应该是非常高的,针对这种敏感数据,不应该是向节目中曝光的这样不受限制、畅通无阻的使用方式。


作为企业来讲,是能够具备包括建立数据回归流程监管制度,对类似数据被大规模下载使用的风险的获取、分析、研判、预警,甚至是主动阻断的数据安全管控能力的。而在市面上,包括腾讯安全及广州凌晨网络等等这样的数据安全厂商,都已经拥有了一套完整业务数据安全审计的解决方案,能够解决企业数字化转型中的数据分级分类管理等需求。如智联招聘、猎聘等等存在这样数据安全问题的企业,可以考虑通过使用类似的数据安全平台来规避数据泄露的风险。



简历泄露导致的精准诈骗现象该如何管控治理?


针对利用简历信息精准诈骗的这一情况,张瑞冬谈到,精准诈骗和广撒网式的诈骗相比,隐蔽性更强,成功率更高,预警难度很大。因为数据量小,“客单价”高,诈骗分子很可能采用的是专用的剧本、线路。他建议企业,对简历的关键信息都应该进行打码加密处理,购买后的联系方式也是类似打车平台这样用虚拟号码进行转接。


张瑞冬认为,互联网招聘平台的确在审核上存在问题,但只表态加强审核力度并不能根治这个问题。目前看到有一些互联网招聘平台已经有了双向评价功能,求职者可以对企业的招聘进行体验反馈。“我觉得这个很好。增加双向的透明度,让求职者尽量能公平的和企业进行对话,同时国家各部门也应尽快完善法律保护公民隐私,惩治各种擦边球的专门坑招聘者的公司,打击诈骗团伙,没有了变现渠道,简历倒卖也就不会那么猖獗了。”


无糖信息今年也在和地方警方合作,通过利用工商公开信息和舆情监控等方式对皮包公司进行甄别。“可能不久的将来我们会上线一个平台,帮助各种企业做好双向评分体系,让整个互联网行业的信息安全生态变得更好。”


姚威也给那些担心自己的个人简历已经泄露的求职者提了一些可行性建议。姚威表示,从用户简历泄露到黑产交易,最后在到精准诈骗,这已经形成了一个完整的黑色产业链,在这个精准诈骗的动线里面,企业的用户数据泄露实际上只是一个源头,经过多个产业链条之后才会到达黑产的下游,被诈骗团伙用来进行诈骗。而在这整个环节中,尽管作为民众本身能够干预的节点相当有限,但也仍然应该对简历泄露加以提防。


他建议,用户可以尝试在投递简历的时候提供一个新注册的电话号码,使用投递简历专用的邮箱地址,这样当有陌生的电话和邮件发过来时能够对其进行有效的甄别和过滤。此外,在接到陌生的电话和邮箱时,可以做一些反向的确认,比如询问下是从什么途径得到的个人联系方式,来跟自己的情况进行比对,通过这种方式来确认自己的简历是否已经遭到了泄露。


但姚威也谈到,在数据泄露的整个链条中,实际上个人能够做的事情极为有限,更多的还是应该从源头上加强管控,帮助掌握数据的互联网企业提升自身安全治理的能力,这才是真正解决数据泄露乱象的有效途径。


事件后续:


目前,被点名的前程无忧发布声明,称对于给求职者带来的困扰,深表歉意。同时,前程无忧决定成立由首席运营官、安全总监负责人、开发经理业务负责人等组成的信息安全管理委员会,升级各项信息安全及数据安全管理制度。


前程无忧在声明中还称,已与猎聘、智联招聘等人力资源服务行业同仁达成共识,联合抵制一切侵犯求职者权益的不法行为。


#我们同样欢迎热爱文字且热衷于推动网络安全产业发展的您为我们提供优质内容,期待您的参与!投稿邮箱:tg@anquan419.com

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存