2600 万份简历裸奔！钓鱼、人肉搜索与诈骗将如何上演

网络安全团队 Cybernews 披露：

招聘平台 TalentHook 因 Azure 云存储容器配置不当，导致 2600 万个文件（多数为美国求职者简历）暴露在公共网络。该平台隶属于 Resource Edge 公司，是连接企业与求职者的招聘追踪系统。

全名、电子邮箱、电话号码、教育背景详情、职业技能数据、工作年限信息

1、精准钓鱼攻击：利用获取的邮箱 / 手机号发送虚假招聘邀约，诱骗受害者提供证件扫描件、银行账户等敏感信息。

2、人肉搜索（Doxing）风险：个人信息被恶意公开，可能导致骚扰、恐吓等二次伤害。

为降低事件影响，安全专家建议平台方：

• 关闭存储容器的公共访问权限，重新审查安全配置并更新访问权限，确保仅授权用户和服务可操作数据；
• 对活动日志进行审计，排查未授权访问记录；
• 启用服务器端数据加密，并使用 Azure Key Vault 安全管理加密密钥；
• 落实安全最佳实践，包括定期安全检查、自动化防护流程及员工安全意识培训。

目前，TalentHook 及其母公司 Resource Edge 尚未对此事发表评论。专家正等待官方回应，以评估问题规模及用户保护措施的落实情况。

1. 虚假招聘：空壳公司的 “简历收割机”部分不法分子注册空壳公司，或直接 PS 营业执照、办公场景图，在招聘平台发布 “高薪双休”“零经验月入过万” 等诱惑性岗位。其真实目的并非招聘，而是通过求职者投递的简历，收集姓名、电话、家庭住址、教育经历等隐私信息。更有甚者无需注册公司，仅凭伪造材料即可在平台发布招聘信息，利用学生求职心切的心理套取信息。

2. 简历信息的 “黑市交易链”

   非法渠道对简历信息的买卖已形成明确 “价格体系”：一手简历（直接从求职者处获取）可卖 7 元左右，二手简历（转卖多次）2-3 元，N 手简历仍能卖 0.5 元。这些信息之所以值钱，是因为简历中藏着 “完整的个人画像”—— 小到家庭地址、学校名称、工作经历，大到性格特征、爱好特长，都可能被骗子用来精准实施诈骗。

1. 核查公司资质，拒绝 “三无招聘”
• 投递前通过 “国家企业信用信息公示系统” 查询公司注册信息，确认是否存在工商登记；
• 警惕无公司名称、无办公地址、无具体岗位描述的 “模糊招聘”，对 “高薪低要求” 岗位多留心眼。

2. 选择正规平台，避免信息外流

• 优先使用教育部 “24365 校园招聘服务”、学校就业网或知名正规招聘平台，拒绝非官方渠道的招聘链接；
• 注意平台隐私设置，非必要不开放 “简历公开” 功能，避免被非招聘方下载信息。

3. 简历内容 “按需填写”，隐藏敏感信息

• 非必要不填写家庭详细住址（可只填所在城市或区域）、身份证号、银行账户等敏感信息；
• 实习经历、教育背景等内容可模糊处理（如 “某互联网公司” 代替具体名称），避免被不法分子利用信息伪造身份。

4. 遭遇异常及时止损，保留证据举报

• 若发现招聘方索要押金、培训费，或频繁询问与岗位无关的隐私问题（如家庭经济状况、银行卡信息），立即停止沟通；
• 若发现岗位长期挂着，且显示招聘人员沟通记录少，跨度大的岗位不投递；
• 保存聊天记录、招聘页面截图等证据，向招聘平台客服、学校就业办或公安机关举报（全国反诈热线：96110）。