PCuSER 電腦人

（文／凱撒之鷹）

在網路上看到有網友爆料，只要在Google輸入「求職者編號 sharepdf」，就可以搜尋到某家人力銀行的求職者履歷表！！

喂～ 這未免也太可怕，難道是人力銀行公開洩漏個資？還是駭客的惡作劇呢？

基於查證的精神（根本是怕自己的履歷表也被看到...），我們火速測試了一下，結果發現的確可以查到很多個人資料，甚至被公開的並不只履歷表，連薪資單、報價單、公司考核表、學校成績單.....，一堆超級隱私的資料都能看得到！

不過先澄清一下，這並不是人力銀行或是任何一家公司的系統有漏洞，也不是有駭客入侵電腦，反而使用者自己才是最大的問題，因為正是每一位當事人糊裡糊塗把這些文件上傳公開的。究竟是怎麼回事，我們繼續看下去。

第一次測試

先用Google來搜尋一下這組關鍵字：求職者編號 sharepdf

結果真的有一堆履歷表.....

※內容更新 1：後來發現其實根本不用那麼麻煩下語法。在PDF Online網站上面就有一個搜尋欄（上圖上方的 Search for documents），它已經幫你設定好Google站內搜尋了，只要直接打上你要找的關鍵字就可以 囧

※內容更新 2：正在想說好險看不到照片，結果發現點擊左上方的「View the PDF version」來檢視原始PDF檔，有些原本看不到的照片就現形了..... Orz

第二次測試

可以看出這些履歷表並不是出自人力銀行，而是一個線上轉PDF的網站「PDF Online」(http://www.pdfonline.com/)。所以我們再改用Google專搜指定網站的語法「site:」，會更加縮小範圍。並且換一下關鍵字，例如：

履歷表 site:pdfonline.com 

薪資單 site:pdfonline.com 

基本資料 site:pdfonline.com 

行動電話 site:pdfonline.com

通訊錄 site:pdfonline.com 

機密文件 site:pdfonline.com

隨便看你要查什麼，反正就換一下前面的關鍵字，你會嚇到有超多東西可以挖，連打「機密文件」還真的有機密文件會出現 Orz （這算哪門子的機密....）

問題出在哪？　

好了，別人的隱私資料不要看太多，這是不道德的。重要的是為什麼會發生這種事？

疑似個資洩漏的網站，其實是 PDF Online 這個線上轉檔服務，它是用來把Word檔、Excel檔等文件轉成PDF格式，相信很多人都用過類似的線上轉檔功能。由於不用安裝軟體、一切都在雲端處理就好，看起來似乎很方便，但這樣也增加了資訊洩漏的危機。因為你等於把檔案交給不認識的第三方任由他們處理。如果這個第三方是Google、Dropbox大家可能比較安心（其實也有很多人擔憂它們的安全風險），但如果是名不見經傳的小網站，你也放心把重要檔案丟上去給它們嗎？ －－從結果來看，顯然大家並不是很在意。

其實是使用者自己公開的

很妙的是，PDF Online網站並沒有故意洩漏資料，也不是被駭客入侵。這些一覽無遺的文件內容，其實是當事人自己同意公開的－－雖然他們可能沒發現自己有同意。

仔細觀察一下PDF Online的轉檔流程，我們隨便上傳一個檔案讓它轉成PDF，結果你可以看到，它在轉檔前就會問你要不要將此PDF文件公開，並且有小字說明：PDF內容將會被Google等搜尋引擎查詢到。

問題出在它預設是選擇「公開檔案」（public），而我們通常也不會去仔細看上面寫什麼，反正直接按［Continue］繼續就對了，於是造成了一堆所謂機密文件通通被看光光，因為你有同意可以被公開啊！ 囧

所以說呢，在雲端時代，最大的漏洞其實是自己！如果本身沒有正確的判斷與謹慎的思考，那真的不用靠駭客幫忙，自己根本就是洩密來源啊！