据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年第一季度出现数起简历信息泄漏事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。
在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。
简恩发现有一台ElasticSearch(一个基于Lucene的搜索服务器)不安全,里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组(CNCERT),4天之后数据库修正了问题。
之后简恩又发现一台ElasticSearch不安全,里面存放8480万份简历,在CNCERT的帮助下,问题也得到解决。
简恩又找到一台问题ElasticSearch服务器,里面存放9300万份简历。简恩说:“数据库意外离线,我向CNCERT汇报,还没有收到回应。”
第四台服务器存放来自中国企业的简历数据,里面有900万份简历,服务器同样来自ElasticSearch。
还有第五个泄露点,这是一个ElasticSearch服务器集群,里面存放的简历超过1.29亿份。简恩无法确认所有者,目前数据库仍然门户大开。
简恩还发现另外两个泄露点,只是规模较小。一台ElasticSearch服务器存放18万份简历,一台存放17000份简历。
简单统计,中国企业在过去3个月泄露的简历达5.90497亿份。
内容来源:新浪
https://tech.sina.com.cn/i/2019-04-08/doc-ihvhiqax0769134.shtml
人力资源息系统中不乏存储着各种机要或者敏感信息,若信息系统遭到黑客攻击,不仅会影响企业或政府的管理形象,还可能损害公民的切身利益,保护数据安全的重要性不言而喻。优炫软件是一家基于IT技术和软件研发、产品、服务及全方位解决方案的数据安全及数据库产品的运营服务商,积累了多年服务经验,点击下方标题可查看相关行业案例。
《优炫软件助力人力资源和社会保障数据安全》