全台唯一的密技電子報
★免費訂《PCuSER網路e周報》電子報,每週精彩密技 資訊直送你面前!

  ← ← ←   如何擺出好POSE:黑麵正宗版第 3 輯
 不要再比 YA 了!拍照姿勢總是一成不變嗎?
 黑麵大師 + 20位外拍模特兒,圖解動作給你照著學!


     <PCuSER + 創意市集> 圖書出版品一覽表

 贊助商連結>>>
 

(文/凱撒之鷹)

在網路上看到有網友爆料,只要在Google輸入「求職者編號 sharepdf」,就可以搜尋到某家人力銀行的求職者履歷表!!

喂~ 這未免也太可怕,難道是人力銀行公開洩漏個資?還是駭客的惡作劇呢?

基於查證的精神(根本是怕自己的履歷表也被看到...),我們火速測試了一下,結果發現的確可以查到很多個人資料,甚至被公開的並不只履歷表,連薪資單、報價單、公司考核表、學校成績單.....,一堆超級隱私的資料都能看得到!

 

不過先澄清一下,這並不是人力銀行或是任何一家公司的系統有漏洞,也不是有駭客入侵電腦,反而使用者自己才是最大的問題,因為正是每一位當事人糊裡糊塗把這些文件上傳公開的。究竟是怎麼回事,我們繼續看下去。

 

第一次測試

 

先用Google來搜尋一下這組關鍵字:求職者編號 sharepdf

結果真的有一堆履歷表.....

 

 

※內容更新 1:後來發現其實根本不用那麼麻煩下語法。在PDF Online網站上面就有一個搜尋欄(上圖上方的 Search for documents),它已經幫你設定好Google站內搜尋了,只要直接打上你要找的關鍵字就可以 囧

※內容更新 2:正在想說好險看不到照片,結果發現點擊左上方的「View the PDF version」來檢視原始PDF檔,有些原本看不到的照片就現形了..... Orz

 

第二次測試

可以看出這些履歷表並不是出自人力銀行,而是一個線上轉PDF的網站「PDF Online」(http://www.pdfonline.com/)。所以我們再改用Google專搜指定網站的語法「site:」,會更加縮小範圍。並且換一下關鍵字,例如:

 

履歷表 site:pdfonline.com 

薪資單 site:pdfonline.com 

基本資料 site:pdfonline.com 

行動電話 site:pdfonline.com

通訊錄 site:pdfonline.com 

機密文件 site:pdfonline.com

 

隨便看你要查什麼,反正就換一下前面的關鍵字,你會嚇到有超多東西可以挖,連打「機密文件」還真的有機密文件會出現 Orz (這算哪門子的機密....)

  

 

 

問題出在哪? 

好了,別人的隱私資料不要看太多,這是不道德的。重要的是為什麼會發生這種事?

 

疑似個資洩漏的網站,其實是 PDF Online 這個線上轉檔服務,它是用來把Word檔、Excel檔等文件轉成PDF格式,相信很多人都用過類似的線上轉檔功能。由於不用安裝軟體、一切都在雲端處理就好,看起來似乎很方便,但這樣也增加了資訊洩漏的危機。因為你等於把檔案交給不認識的第三方任由他們處理。如果這個第三方是Google、Dropbox大家可能比較安心(其實也有很多人擔憂它們的安全風險),但如果是名不見經傳的小網站,你也放心把重要檔案丟上去給它們嗎? --從結果來看,顯然大家並不是很在意。

  

 

其實是使用者自己公開的

很妙的是,PDF Online網站並沒有故意洩漏資料,也不是被駭客入侵。這些一覽無遺的文件內容,其實是當事人自己同意公開的--雖然他們可能沒發現自己有同意。

 

仔細觀察一下PDF Online的轉檔流程,我們隨便上傳一個檔案讓它轉成PDF,結果你可以看到,它在轉檔前就會問你要不要將此PDF文件公開,並且有小字說明:PDF內容將會被Google等搜尋引擎查詢到

 

問題出在它預設是選擇「公開檔案」(public),而我們通常也不會去仔細看上面寫什麼,反正直接按[Continue]繼續就對了,於是造成了一堆所謂機密文件通通被看光光,因為你有同意可以被公開啊! 囧

 

所以說呢,在雲端時代,最大的漏洞其實是自己!如果本身沒有正確的判斷與謹慎的思考,那真的不用靠駭客幫忙,自己根本就是洩密來源啊!

 

※附註:

原本想繼續寫一篇如何刪除這些被公開的資料,結果發現「免費資源網路社群」已經有一篇寫得超詳細了 XD
所以大家記得去看那篇文章更加重要,尤其是當事人啊.....

http://www.freegroup.org/2013/12/how-to-use-online-services-safely/

創作者介紹

PCuSER 電腦人

PCuSER 發表在 痞客邦 PIXNET 留言(6) 人氣()

留言列表 (6)

發表留言
  • cowboy
  • 感謝提醒!剛剛試著輸入像是「出生日期sharepdf」、「職務類別sharepdf」、「履歷代碼sharepdf」、「全職履歷sharepdf」搜尋,赫然也發現好幾家人力銀行的履歷出現! 原來轉檔時真的要注意 (do not) make my document public的差別!
  • Make Lin
  • 被洩漏資料的"當事人"不一定是按下分享的人

    看起來很多資料都是公司人資私自將應徵者與員工的個資
    透過這個網站轉檔並公開

    這點問題比較大吧
  • 光芒室設
  • 真的蠻可怕的,也證明了英文的重要性阿!!
  • 子陽 (Parker)
  • 如果是中文的使用者看到英文,大概就會略過去了,自己要小心><
  • 神勇米蟲
  • 版主這篇真是好文。
  • 咕溜魚
  • 這家的我之前也有用過,個人的照片用自已的名字就可以搜尋得到
    但別家的都不會,就他們的會這樣

[隱藏] JS語法

【 X 關閉 】

恭喜您是我們挑選到的讀者!希望能了解您的
【痞客邦部落格使用行為】

填問卷將有機會獲得痞客邦獨家好禮喔!(注意:關閉此視窗將不再出現。)

立即填寫取消