今天上午,国内漏洞应急平台乌云公开了一个导致智联招聘86万用户简历信息泄露的漏洞。
该漏洞由乌云用户“天地不仁 以万物为刍狗”在昨晚9点左右提交,据其表述可导致智联招聘的用户简历数据库泄露,其中包括用户的姓名、地址、身份证、户口等信息。
漏洞提交后,智联招聘今天早上主动“忽略”并公开了该漏洞(忽略为乌云的一种状态,表示否认、不相关的意思),其官方在乌云回应称,漏洞披露的网站IP并非智联招聘所有,图中的用户信息还待核实。
“感谢对智联招聘的关注,经核实,漏洞详情中披露的IP地址,非智联招聘的。图片中的标有‘智联招聘’的信息待核实。建设总比破坏有意义,这个事情同时也给我们敲响了安全的警钟。”
尽管智联招聘官方还未确认被曝光的用户信息是否为其所有,但据接近此事的白帽子向雷锋网透露,这次被泄露的信息是在另外一家招聘网站上,并确认为智联招聘所有。
对方解释称,这件事情看起来古怪,但有其可能性。很可能是智联招聘曾经遭遇脱库,这批信息被转手到本次事件中的招聘网站,然后因为漏洞又被发现。这些事情在地下黑产中并不少见。
当前国内招聘网站中,老牌的有中华英才、前程无忧,新兴的有58同城招聘、大街网、拉勾网、猎聘网等,还不清楚这次信息泄露主角会是哪一家?
在漏洞公开大概一小时后,智联招聘向新浪科技回应称,正在确认该漏洞并进行修复,目前尚未有更新回应。雷锋网将持续跟踪此事。
更新:智联招聘在下午回应称,本次事件中漏洞与数据均与智联无关。乌云透露这起漏洞确实发生在某家新兴招聘网站上,只是具体名字不知,亦不知道为何这家网站的简历数据会有智联招聘关键词。
乌云平台上信息泄露的细节图片:
正在生成分享图...
nebula