透過網路人力仲介公司找工作是目前普遍的求職管道,然而,人力仲介公司握有大量求職者的個人資料,也成為駭客的攻擊目標,一名自稱Masakaki的駭客於7/18在網路上宣佈,已成功入侵ITWallStreet.com人力網站,其乃專門媒合華爾街公司IT專業人員職缺的人力網站,並取得超過5萬筆會員帳號資料。
Masakaki表示隸屬於駭客集團TeamGhostShell底下的MidasBank團隊,已成功侵入ITWallStreet的資料庫,而且取得該網站的用戶資訊,並將12個包含應徵者細節資訊(如:預期薪資、電話記錄..等)的檔案公佈在網路上。
這些被公佈的檔案內容包括,招募公司與該網站負責人員往來信件的片斷資訊,信件內容有求職者與該職務的可能性的討論等,從這些往來信件中可發現,求職者的預期薪資約從4萬美元起,職階從基層IT人員到高階管理者都有。此外還有招募公司與求職者之間往來的數千通電話記錄,包括電話號碼、時間、日期、每一通電話的長度,以及一份記載ITWallStreet數百個客戶名稱的檔案,其客戶包括許多華爾街知名的金融公司,如Morgan Stanley、Goldman Sachs、Nasdaq、Dow Jones,以及Moody''s and Wachovia Bank。
一位Computerworld的調查人員針對這些公開資訊進行分析並表示,這些資料揭露了應徵者詳細的個人資料,包含其姓名、住址、Email、使用者名稱、經過hash技術加密的密碼(hashed password)、電話號碼等。其中,有大量的hashed password已經被解密,不僅如此,外洩資料還包括求職者的預期薪資與福利,以及對於可能候選人的一些備註資訊。
根據Masakaki表示,該攻擊是為了響應占領華爾街(Occupy Wall Street)運動而發起,目前他已經取得超過5萬名帳號的資料,此外,他也宣稱已經有超過3,000個求職者的履歷資料流入黑市。佔領華爾街是從2011年九月開始在紐約金融中新華爾街發生的一連串示威活動,目的在於反抗大公司的貪婪不公與社會的不平等。
ITWallStreet.com是由人力招募公司Andiamo Partners所營運的網站,媒合欲進入華爾街公司工作的IT專業人員,會員可以在該網站上傳個人資料、履歷等訊息。對於這次的資料外洩事件,Andiamo Partners至今還未正式回應,但也沒有否認,只表示,公司會在經過更進一步的調查後再作回應。
雖然目前還無法證實這些資料是否如駭客所宣稱,來自於ITWallStreet.com網站,而且實際受到影響的求職者數目也還無法證實,但駭客這次將矛頭指向網路人力仲介公司,對於網路人力媒合公司來說,無疑是資料保護的一大提醒。
資安人科技網