欧洲​​知名招聘平台泄露 110 万求职者资料​

欧洲知名求职平台beWanted发生重大数据泄露事件，超110万份求职者简历及敏感信息通过未加密的Google云存储桶（GCS）暴露于公网。网络安全媒体Cybernews研究团队于2023年11月发现该漏洞，但多次联系总部位于西班牙马德里的beWanted公司后，数据仍可公开访问。

泄露数据包含：

1. 全名、电话号码、邮箱及家庭住址
2. 出生日期、国籍及出生地
3. 身份证号码（涉及西班牙、阿根廷、危地马拉、洪都拉斯等多国公民）
4. 社交媒体链接、工作经历及教育背景

研究人员指出，每份文件可能对应一名求职者，此次泄露构成重大安全事件。数据至少暴露六个月，网络犯罪分子可能已利用其发起：

1. 身份盗用：伪造合成身份或欺诈账户
2. 精准钓鱼攻击：诱骗受害者泄露金融账户或敏感数据
3. 社交工程攻击：冒充虚假招聘机构渗透职业网络，传播恶意软件或窃取机密

尽管Cybernews已联系beWanted寻求置评，但截至发稿未获回复。该公司自称“全球最大人才库生态”，通过SaaS模式连接求职者与雇主，在墨西哥、德国及英国设有分支机构。

研究团队提出以下防护措施以缓解风险：

1. 限制公开访问：关闭存储桶公共权限，启用“公开访问预防”功能
2. 实施访问控制：基于最小权限原则，仅向授权用户和服务分配必要权限
3. 监控访问活动：启用云审计日志追踪存储桶访问，配置云监控警报响应可疑行为
4. 启用数据加密：激活服务器端静态数据加密，使用Google云密钥管理服务（KMS）
5. 强制安全传输：要求所有数据传输使用SSL/TLS协议，拦截非安全HTTP连接
6. 采纳最佳实践：定期执行权限与配置安全审计，利用Google云安全指挥中心自动化评估

此次事件再次凸显云存储配置失误的破坏力。求职者需警惕异常招聘邀约，企业应强化云环境安全基线，避免成为下一个受害者。

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；