• 资讯
    纯技术角度:从 MONGODB “赎金事件” 看安全问题 今天上午(2017年1月7日),我的微信群中同时出现了两个MongoDB被黑掉要赎金的情况,于是在调查这个事的过程中,我发现了这个事。这个事件应该是2017年开年的第一次比较大的安全事件吧,发现国内居然没有什么报道,国内安全圈也没有什么动静(当然,他们也许知道,只是不想说吧),Anyway,让我这个非安全领域的人来帮补补位。 事件回顾 这个事情应该是从2017年1月3日开始的,是由安全圈的大拿 Victor Gevers (网名:0xDUDE,GDI.foundation 的Chairman),他在2016年12月27日,他发现了一些在互联网上用户的MongoDB没有任何的保护措施,被攻击击把数据库删除了,并留下了一个叫 WARNING 的数据库,这张表的内容如下: { "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" } 基本上如下所示: MongoDB ransom demand (via Victor Gevers)说白了就是黑客留下的东西——老子把你的MongoDB里的数据库给转走了,如果你要你的数据的话,给我0.2个的比特币(大约USD200)。然后,他的twitter上不断地发布这个“赎金事件”的跟踪报道。与此同时,中国区的V2EX上也发现了相关的攻击问题 《自己装的 mongo 没有设置密码结果被黑了》 然后,在接下来的几天内,全球大约有1800个MongoDB的数据库被黑,这个行为来自一个叫 Harak1r1 的黑客组织(这个组织似乎就好黑MongoDB,据说他们历史上干了近8500个MongoDB的数据库,几乎都是在祼奔的MongoDB)。 不过,这个组织干了两天后就停手了,可能是因为这事已经引起了全球科技媒体的注意,产生了大量的报道(如果你在Google News里查一下“mongodb ransom”,你会看到大量的报道(中文社区中,只有台湾有相关的报道)),他们也许是不敢再搞下去了。 不过,很快,有几个copycats开始接着干, 马上跟进的是 own3d ,他们留下的数据库的名字叫 WARNING_ALERT,他们至少干掉了 930个MongoDB,赎金0.5个比特币(USD500),至少有3个用户付费了 然后是0704341626asdf,他们留下的数据库名字叫PWNED,他们至少干掉了740个MongoDB,赎金0.15个比特币(USD150),看看他们在数据库里留下的文字——你的MongoDB没有任何的认证,并且暴露在公网里(你TMD是怎么想的?)…… 0704341626asdf group ransom note (via Victor Gerves)就在这两天,有两个新的黑客也来了 先是kraken0,发现到现在1天了,干了13个MongoDB,赎金 0.1个比特币。 然后是 3lix1r,发现到现在5个小时,干了17个MongoDB,赎金0.25比特币。 BBC新闻也于昨天报道了这一情况——《Web databases hit in ransom attacks》,现在这个事情应该是一个Big News了。 关于MongoDB的安全 安全问题重来都是需要多方面一起努力,但是安全问题最大的短板就是在用户这边。这次的这个事,说白了,就是用户没有给MongoDB设置上用户名和口令,然后还把服务公开到了公网上。 是的,这个安全事件,相当的匪夷所思,为什么这些用户要在公网上祼奔自己的数据库?他们的脑子是怎么想的? 让我们去看一下Shodan上可以看到的有多少个在暴露在公网上而且没有防范的MongoDB?我了个去!4万7千个,还是很触目惊心的(下图来自我刚刚创建的 Shodan关于MongoDB的报表)   那么,怎么会有这么多的有对象显露的MongoDB?看了一下Shodan的报告,发现主要还是来自公有云平台,Amazon,Alibaba,Digital Ocean,OVH,Azure 的云平台上有很多这样的服务。不过,像AWS这样的云平台,有很完善的默认安全组设置和VPC是可以不把这样的后端服务暴露到公有云上的,为什么还会有那么多?   这么大量的暴露在公网上的服务是怎么回事?有人发现(参看这篇文章《It’s the Data, Stupid!》 ),MongoDB历史上一直都是把侦听端口绑在所有的IP上的,这个问题在5年前(2011年11月)就报给了MongoDB (SERVER-4216),结果2014年4月才解决掉。所以,他觉得可能似乎 MongoDB的 2.6之前的版本都会默认上侦听在0.0.0.0 。 于是我做了一个小试验,到我拉Ubuntu 14.04上去 apt-get install mongodb(2.4.9版),然后我在/etc/mongodb.conf 文件中,看到了默认的配置是127.0.0.1,mongod启动也侦听在了127.0.0.1这台机器上。一切正常。不过,可能是时过境迁,debain的安装包里已加上了这个默认配置文件。不管怎么样,MongoDB似乎是有一些问题的。 再到Shodan上看到相关的在公网裸奔的MongoDB的版本如下,发现3.x的也是主流:   虽然,3.x的版本成为了主流,但是似乎,还是有很多人把MongoDB的服务开到了互联网上来,而且可以随意访问。 你看,我在阿里云随便找了几台机器,一登就登上去了,还都是3.2.8的版本。 真是如那些黑客中的邮件所说的:WTF,你们是怎么想的? 后续的反思 为什么还是有这么多的MongoDB在公网上祼奔呢?难道有这么多的用户都是小白?这个原因,是什么呢?我觉得可能会是如下两个原因: 1)一是技术人员下载了mongod的软包,一般来说,mongodb的压缩包只有binary文件 ,没有配置文件 ,所以直接解开后运行,结果就没有安全认证,也绑在了公网上。也许,MongoDB这么做的原因就是为了可以快速上手,不要在环境上花太多的时间,这个有助于软件方面的推广。但是,这样可能就坑了更多的人。 2)因为MongoDB是后端基础服务,所以,需要很多内部机器防问,按道理呢,应该绑定在内网IP上,但是呢,可能是技术人员不小心,绑在了0.0.0.0的IP上。 那么,这个问题在云平台上是否可以更好的解决呢? 关于公网的IP。一般来说,公有云平台上的虚拟主机都会有一个公网的IP地址,老实说,这并不是一个好的方法,因为有很多主机是不需要暴露到公网上的,所以,也就不需要使用公网IP,于是,就会出现弹性IP或虚拟路由器以及VPC这样的虚拟网络服务,这样用户在公有云就可以很容易的组网,也就没有必要每台机器都需要一个公网IP,使用云平台,最好还是使用组网方案比较好的平台。 关于安全组。在AWS上,你开一台EC2,会有一个非常严格的安全组——只暴露22端口,其它的全部对外网关闭。这样做,其实是可以帮用户防止一下不小心把不必要的服务Open到公网上。按道理来说,AWS上应该是帮用户防了这些的。但是,AWS上的MongoDB祼奔的机器数量是最多的,估计和AWS的EC2R 基数有关系吧(据说AWS有千万台左右的EC2了) 最后,提醒大家一下,被黑了也不要去付赎金,因为目前来说没有任何证据证明黑客们真正保存了你的数据,因为,被黑的服务器太多了,估计有几百T的数据,估计是不会为你保存的。下面也是Victor Gevers的提示: (全文完) 关注CoolShell微信公众账号可以在手机端搜索文章 (转载本站文章请注明作者和出处 酷 壳 – CoolShell ,请勿用于任何商业用途) http://coolshell.cn/articles/17607.html
    资讯
    2017年01月07日
  • 资讯
    HR 接收简历意外感染勒索软件 GoldenEye,须付上万赎金解密文件 稿源:HackerNews.cc翻译整理,封面来源:百度搜索。 转自 HackerNews.cc 原文链接:http://hackernews.cc/archives/4664 长期以来,勒索软件一直被认为是消费者和企业的主要威胁。最近一系列针对企业人力资源( HR )部门的恶意活动表明,勒索软件对企业的威胁正持续上升。攻击者精心设计了一个简历邮件,其中不仅包含了应聘人的简短介绍,还包含了两个“详细介绍”的附件。 安全公司 Check Point 称,此类钓鱼邮件专门针对人力资源部门,因为 HR 不可避免的需要打开陌生人的电子邮件和附件去了解情况。垃圾邮件一直被用作为恶意软件的传播媒介,毫无疑问,攻击者继续使用这种方法去传播勒索软件“ GoldenEye ”,“ GoldenEye ”是勒索软件 Petya 的一个变种系列,恶意宏代码可执行、加密计算机上的文件。加密完成后,代码会修改主引导记录( MBR ),重新启动电脑并加密磁盘文件。 安全公司 Check Point 表示“ GoldenEye ”主要针对德语用户。钓鱼邮件中包含两个附件,其中一个附件是正常的 PDF 求职信,目的是为了迷惑受害者让她相信这确实是一个求职者。此后,受害者会打开另外一个带有恶意宏功能的 Excel 文件。Excel 会显示一个正在加载的图片并请求受害者启用内容,以便继续加载宏文件。一旦受害者单击“启用内容”,宏内的代码将被执行并启动加密文件进程,使受害者无法访问文件。 勒索软件“ GoldenEye ”会以 8 个字符的随机扩展名加密文件,所有文件加密后,将会显示一个勒索信“你的文件已被加密.txt”。 你以为结束了?显示完勒索信后,勒索软件会强制电脑重新启动并开始加密电脑磁盘,在加密磁盘过程中屏幕会显示一个“假的”磁盘修复进程。最终,加密完成并显示解密方法。受害者需要缴纳 1.3 比特币的赎金(约 1.1 万人民币)。此外,勒索软件作者还提供邮件“咨询”服务,全程帮助受害者解决恢复文件过程中遇到的各种问题。 目前,尚且没有安全公司发布解密工具解密文件。人力资源部门在接收邮件时应警惕查看附件( Word、Excel、PDF ),禁用宏功能,切勿点击不可信链接,并及时做好文件备份。
    资讯
    2017年01月06日
  • 资讯
    Gartner 26亿美金收购CEB(SHL)通过现金加股票的方式,预计今年上半年完成   北京时间1月5日晚间消息,IT调研与咨询服务公司Gartner今日宣布,将以价值26亿美元的现金和股票收购商业调研与分析公司CEB,从而拓展公司的商业调研服务。 CEB总部位于弗吉尼亚州的阿灵顿(Arlington),主要服务包括人力资源、销售、财经和法律相关的研究与分析。收购CEB之后,Gartner的业务范围将得到进一步拓展。 根据收购协议,Gartner将以每股54美元的现金及0.2284股Gartner股票收购CEB,即每股CEB股票可兑换54美元现金和0.2284股Gartner股票。与CEB周三收盘价相比,该收购价格溢价约25%。 两家公司合并后,Gartner股东将拥有新公司约91%的股份。根据协议,CEB还拥有35天的“询价期”。该期间内,CEB还可以寻求其他更高的报价。 Gartner表示,预计该交易将于今年上半年完成。交易完成后即可推动公司每股摊薄收益增长(基于非美国通用会计准则),而2018年可推动每股摊薄收益涨幅达到两位数。(李明)   更新: @程时旭 程老大解读: Gartner和CEB为什么合并?这两家公司都是卖会员(Membership)的,Gartner强在IT、Marketing、Supply Chain;CEB强在HR、Sales、Finance、Legal。Gartner在全球99个国家营业,销售比CEB多出10倍以上,原则上来说,Gartner又有最好的东西可卖了,是完全的强强联手。
    资讯
    2017年01月05日
  • 资讯
    GOOGLE 的HRVP Laszlo Bock 离职创业了!《重新定义团队:谷歌如何工作》的作者 《重新定义团队:谷歌如何工作》一书作者、前谷歌人力运营部高级副总裁、谷歌高级顾问Laszlo Bock先生在2017年元旦正式宣布离职创业。 在BOCK先生任职谷歌(2006-2016年) 担任人力运营部负责人的shi年期间,谷歌的员工数从6000增长到近5万,在全球四十多个国家设立了七十多个分支机构。他帮助谷歌创建了人力运营部,并创建了谷歌(也许是世界上)第一个人才数据分析团队。他撰写的《重新定义团队:谷歌如何工作》一书是用人才数据说话的典范,并揭示了改变未来的工作法则。该书曾获《纽约时报》畅销榜第一名,并在国内HR界引起“重新定义”热潮。他本人曾于2014年被《Human Resource Executive Magazine》评为 十 年内对HR行业影响最深远的 十 人之一。 以下是Bock先生刚刚在LinkedIn上发布的信息: Today I wrap up over a decade at Google. It's been an honor to be a part of the company's story, and a joy to learn so much from so many Googlers. Even more, it was a privilege to build People Operations along with so many exceptional friends and -- together -- to create the first People Analytics team. As for what's next .... (see Google HR chief Laszlo Bock leaving to launch startup By Ethan Baron / December 13, 2016 at SiliconBeat) And with that, here's to an amazing 2017, for all of you and your loved ones! Google HR chief Laszlo Bock leaving to launch startup   If an HR manager can be called legendary, it would be Laszlo Bock, the man behind the company culture at Google for the past decade, and a driving force behind the firm’s data-driven hiring and famed free-food cafeterias. Now, Bock is leaving his post as senior vice president of “people operations” to launch a startup. The enterprise will be in “stealth mode” for a while, Bock said in an email to friends and associates. Bock gave a brief description of the startup. “It hinges on a few ideas: that every job can have meaning, that if you give people freedom they will amaze you, that applied science (which I dubbed ‘people analytics’ a decade back) can illuminate the truth about what really makes people happy and productive, and that it doesn’t take a ton of effort or investment to make things better … but that you can make work better, everywhere,” Bock said in the email. Replacing Bock as head of human resources at Google will be Eileen Naughton, who had been the vice president of sales and operations for Google in the U.K. and Ireland, Fortune reported. Sources told Fortune that Naughton was one of the highest-rated Google managers among employees, and that she was a founding member of internal group Women@Google. According to Fortune, Bock will retain an advisory role at Google. However, in his email he signed himself off as a “soon-to-be-former” senior adviser at Google and its parent company Alphabet, which would appear to mean he won’t be advising or he’ll be doing so in a more informal capacity. Bock transformed hiring at Google from a “clunky, arduous process that relied on gimmicks like math puzzles on billboards” to a “smooth engine,” according to online magazine Quartz. “He helped usher in employee-friendly policies like free meals and shuttle buses, and introduced take-your-parents-to-work days,” the article said. Bock oversaw data-driven hiring practices at Google that “led it to disregard college prestige in job applications, to dramatically change its pay policies, and even change the way it presents food in its cafeterias,” according to a profile in Quartz last year. Before arriving at Google in 2006, Bock, who has an MBA from Yale was a vice president of HR at General Electric, and before that, a management consultant at McKinsey & Co. He is the author of “WORK RULES! Insights from Inside Google to Transform How You Live and Lead.”    
    资讯
    2017年01月04日
  • 资讯
    HiAll与实习僧达成战略合并,同时上市板块定向增资500万,放弃控制权 近日,纽哈斯(HiAll)发布公告启动新一轮定增,股东杨骅力以现金500万元认购公司定增股份。   纽哈斯(HiAll)专深耕雇主品牌和校园招聘十年,拥有丰富的行业资源和经验,在2016年又独家推出空中宣讲平台,致力于通过直播互动的模式打破传统宣讲会的时间、空间界限,创新人才招聘模式。产品上线后获荣获了中国招聘领袖论坛颁发的人力资源领域最具创新产品奖”。 1 同时据记者了解,纽哈斯(HiAll)与实习僧已达成战略合作关系。实习僧,是由90后创办的创新型新秀企业,专注实习招聘垂直领域,产品覆盖实习、校招、职前培训等领域,是目前国内最大的大学生一站式成长加速平台,在2016年还荣获“2016中国人力资源创业创新大赛第一名”、“中国(宁波)人力资源创新创业大赛二等奖”等奖项。   据透露,双方将在企业服务、产品创新和业务协同等方面优势互补,展开深度合作,希望为大学生提供更好的职业成长机会,给企业客户提供更优质高效的招聘服务,创新校园招聘模式,促进国内人力资源行业的快速发展。
    资讯
    2016年12月29日
  • 资讯
    魔方招聘获5000万元A+融资,协立投资,上海联创领投 【猎云网(微信:ilieyun)】12月26日报道 今日,猎云网曾报道过的魔方招聘宣布完成5000万元人民币A+融资,本轮融资由协立投资,上海联创领投,拉卡拉创投,黑马基金跟投。2015年5月魔方招聘获得了近千万的三行资本的“天使”投资,今年3月份完成4000万A轮融资,考拉基金领投,三行资本、1898创投基金跟投。 据了解,魔方招聘自上线以来,已经累计了近千万用户,与京东、瓜子二手车、百度、58等2万多家企业合作。魔方招聘CEO郝耘琦表示,本轮融资用作进一步优化产品服务体验以及升级大数据系统和团队,同时建立全国销售团队。 魔方招聘,成立于2015年3月,是基于移动互联+招聘面试的招聘网站,求职者和企业在线就能沟通,极大提升了求职者和企业双方的效率。魔方招聘的创始人郝耘琦,历任中华英才网、人瑞集团等公司高管,有着10年的网络招聘行业经验,从05年进入招聘行业,可以说是招聘行业的老兵。 魔方招聘针对传统的互联网招聘行业存在如求职者和企业方匹配不准,沟通方式单一,面试效率低,入职周期过长等痛点,以大数据和精准匹配为依托,通过手机APP、网站、微信、魔方小聘、魔方微猎等矩阵式产品布局,为企业方和求职者提供即刻线上和线下面试的服务,针对性解决面试前大量低效的事务性工作。 魔方招聘APP打破了传统互联网招聘的简历投递模式,通过对大数据和匹配算法的应用,为供求双方提供最优质的匹配方案。求职者与企业招聘方可以直接通过文字、图片、语音、视频、直播等进行多维度互动面试,极大的提高了沟通效率,节省沟通成本,增强沟通效果。 魔方微猎则通过大数据系统加招聘顾问的专业服务,为求职者和企业方进行深度撮合,为供求双方提供从面试安排到成功入职的一站式全流程的贴心服务。 上海联创管理合伙人周水文先生提到,招聘的本质就是服务,招聘行业的大部分创新主要在信息获取层面,魔方招聘利用大数据和在线面试的技术直接为企业提供深度招聘服务,大大提高了招聘效果,真正解决企业招聘问题,我们非常看好魔方招聘的发展。 本文来自猎云网,如若转载,请注明出处:http://www.lieyunwang.com/archives/253610
    资讯
    2016年12月26日
  • 资讯
    世纪鼎利收购一芯智能100%股权,将提供包括物联网在内的职业教育培训 12月19日,世纪鼎利发布《发行股份及支付现金购买资产并募集配套资金暨关联交易报告书(草案)》,宣布购买一芯智能100%股权,交易价格为 6.66 亿元,其中70%的对价将以发行股份的方式支付,30%的对价以现金方式支付。 一芯智能的主营业务为提供基于 RFID 技术的工业机器人装备、RFID 产品、物联网行业解决方案的产品及服务,在相关领域拥有自主品牌、自主核心技术。报告称,本次交易是世纪鼎利进入物联网领域,布局下一代产业互联网的重大战略举措。 世纪鼎利的主营业务包括通信业务和IT职业教育两大部分。其中,IT职业教育业务主要由全资子公司智翔信息运营,线上搭建“在线职业教育平台”和“人才云服务平台”,逐渐摸索形成 了“UBL 产教一体”人才培养模式;线下推进“鼎利学院”的建设,通过人才云、产业外包、实训基地的有机结合,来满足院校、人才、企业的需求对接,形成职业教育 O2O 的闭环。截至2016年9月30日,世纪鼎利已与多地高校和政府联合建立了多个实训基地,与有关院校合作成立了 6 家鼎利学院。 报告称,职业教育作为世纪鼎利的主营业务之一,已成功完成战略发展目标的第一阶段的发展,即提供通信、移动互联网及嵌入式软件为主的 IT 职业教育实训设备和实训服务。目前,世纪鼎利已开始向第二阶段迈进,即筹划提供包括物联网、VR、先进制造等在内的 IT 职业教育实训设备或实训服务。 据报告所述,本次收购完成后,世纪鼎利将发挥与一芯智能的协同效应,主要表现为: 一芯智能科技能为世纪鼎利的职业教育领域输出 RFID 识别与控制技术、 物联网、工业机器人和智能制造等领域解决方案,有望扩展职业教育实训服务内容,提升职业教育业务的现有实训服务能力; 一芯智能科技长期积累的真实产业项目可转化为世纪鼎利职业教育业务的教学案例,优秀工程师经过一定培训后可以作为“双师”资源进入学校向学生提供更贴近产业一线的实训指导; 一芯智能未来发展需要大量的高技能应用型人才,而世纪鼎利也能够为接受实训服务的学生提供有吸引力的就业机会。 本次交易的利润承诺为,一芯智能在 2016 年度、2017 年度、2018 年度和 2019 年度实现净利润分别不低于人民币 3500 万元、5000 万元、6000 万元和 8000 万元。 此外,世纪鼎利还宣布拟采用定价发行的方式向华夏人寿、广发原驰•世纪鼎利 1 号定向资产管理计划等 2  名特定对象非公开发行股份募集配套资金,募集配套资金总额不超过 4.6 亿元,其中 4266 万元拟用于职业教育实训体系设计与实训设备设计、组装新建项目。 该项目建设内容主要分为两方面: 开发工业 4.0 智能制造职业教育实训内容,形成人才培养方案。实训课程方向涉及工业机器人方向、工业物联网方向、数字化生产及管理方向,课程体系初步设计如下: 为工业 4.0 智能制造职业教育校企合作产业实训基地建设准备设备与技术。实训基地需要建设职业教育工业 4.0 智能制造人才实训中心、产业项目交付中心、基地运营管理中心。   本文来源:芥末堆网 链接://www.jiemodui.com/N/64177.html  
    资讯
    2016年12月21日
  • 资讯
    为7亿求职者代言 58集团首届卓越雇主颁奖盛典在京举行 12月20日,由58集团人力资源事业群(简称58集团HRG)主办的首届“2016年度卓越雇主盛典”在北京举行,现场揭晓了2016年度卓越雇主百强榜单,滴滴、美团、德邦、海底捞、顺丰等企业上榜。人力资源社会保障部就业促进司尹建堃副巡视员、四百余位企业资深HR大咖与58集团CEO姚劲波一起见证了这一盛典。   活动现场揭晓了“2016年度卓越雇主全国TOP100”、“榜样卓越雇主TOP10”、“新锐卓越雇主TOP10”、“最受90后喜欢的卓越雇主TOP10”等多个全国性奖项和“各城市卓越雇主TOP10”、“城市卓越伯乐HR奖TOP10”区域性奖项,以及制造业、餐饮业、物流业、服务业、客服中心和互联网六大细分领域“卓越雇主TOP10”。 国内首个劳动者雇主品牌诞生  为7亿求职者代言 据了解,58集团“2016年度卓越雇主”评选活动自11月启动以来,受到全球500强企业和国内知名企业的关注。本次卓越雇主评选活动秉承“开放、共享”理念和“公平、公正、公开”原则,吸引了近万家企业参与。据相关负责人介绍,评审团成员由中国科学研究院、中国人民大学等权威学术机构和IDG、真格基金、蓝湖资本等顶尖投资人,以及HROOT、《人力资源》杂志等行业权威人士、58集团数据研究院核心成员组成。 除公布卓越雇主榜单外,58集团也同时发布了《2016-2017年度蓝领招聘市场白皮书》,58集团CEO姚劲波也在现场对蓝领市场的现状和发展趋势做了深入解读,并对2017年互联网招聘领域的发展及就业市场的趋势进行了预测。 姚劲波对招聘业务寄予厚望,他在现场表示,从今年情况来看,58集团在招聘业务遥遥领先,按照目前的增长趋势,2017年58集团在互联网招聘领域的收入也将遥遥领先同业。58集团HRG副总裁何明科也在会上重点介绍58集团在招聘市场的优势产品,并对下一代招聘的产品做了大胆创想。 同时,颁奖典礼上,海底捞联合创始人、施永宏、途家HR副总裁杨海、顺丰姜卫红与现场四百余位企业HR大伽分享了他们对于卓越雇主的理解,并共同探讨了新形势下的就业市场现状及企业人才观,精彩观点引发现场热议。 业内人士认为,58集团HRG首倡的卓越雇主评选活动冠以“金蓝领时代”主题,彰显了58集团HRG对蓝领招聘领域重要变化的洞察,以及对国内就业市场发展趋势的前瞻性思考,代表着国内互联网招聘市场的发展方向。该项评选旨在帮助7亿中国劳动者提供精准有效的择业信息,同时为优秀雇主提供展示自身雇主理念的舞台,了解新时代求职者的真实诉求,促进整个招聘行业的进步。 城市服务业受求职者青睐  海底捞、顺丰速运登上卓越百强榜 在2016年度卓越雇主全国百强中,德邦物流、顺丰速运、珍爱网、携程、呷哺呷哺、中国人寿等100家榜上有名。顺丰速运、海底捞、携程等3家企业被评为全国人文怀奖。在90后成为就业主力军的就业环境下,赫基(中国)、上海屈臣氏、以纯集团等10家企业获得这一新兴群体的青睐,荣获全国最受90后喜欢的雇主十强。 透过58集团平台大数据分析发现,蓝领招聘市场已经发生了重大变化,制造业转型升级迅速提振企业对技术人才的需求,技术人才呈现区域性及行业性缺口,且缺口逐年呈现扩大的趋势;除制造业外,城市服务业亦涌现一批技能型蓝领,月嫂、按摩师、健身私教等薪资水平甚至超过城市白领,技能型蓝领晋级“金蓝领”。 以海底捞、顺丰、屈臣氏等企业为代表的城市服务业占据了卓越雇主百强榜单半壁江山,而这恰恰反映了当前蓝领就业市场的趋势变化。随着互联网的发展,都市人足不出户即可解决衣、食等日常需求。由此,以快递员、送餐员、导购、服务员为代表的城市服务业职位备受90后、95后求职者的青睐。
    资讯
    2016年12月20日
  • 资讯
    一个会学习的人有哪些特征? 张编者按:本文来自微信公众号“张良计”(ID:zhang_liangj),作者张鹏。 开始今天的话题之前,我说个小故事。 很早以前有一部美剧,叫《Hero》。大概讲的是正反两派都是一群有超能力的人,彼此为了某个巨大的阴谋互相撕逼了十多集。虽然剧情很老套,但是让我感兴趣的是里面正反两派首领的设定。作为两边的头头,他们自己却不会飞,不会手上冒火,不会隐形,不会心灵控制,不会瞬间移动,不会突然力大无穷举起一辆装甲车就朝你扔过去。正派首领的能力是当他盯着一个超能力者使用自己的力量时,马上能把这个能力复制到自己身上,比如他看到一个人在徒手煎鸡蛋,过了一分钟之后他就说卧槽我也会了;反派头头比较血腥一点,当他看到一个人在徒手煎鸡蛋时他会先把这人脑壳给煎了,然后盯着人家的脑回路看一分钟之后卧槽他也会徒手煎鸡蛋了。 他们的超能力没有任何视觉特技效果,但我认为却是全剧中最牛逼的能力。因为他们只要看到了有人使用超能力,就能马上掌握在手,最后变得无所不能。 这个能力,叫学习力。一个会学习的人,在任何领域都能变得强大无比。 同样的,工作中一个人最重要的能力,不是学历多牛逼,不是实习经历多光彩,不是推荐信多漂亮,而是拥有一个强大的学习力。但很可惜,学校教会了我们德智体美劳,社会教会了我们人情和世故,却没有人教我们如何去学习“学习”。 一个学习能力强的人,即使他是一个刚踏入职场什么都不懂的小白,也能够快速掌握工作技巧。一个学习能力差的人,即使他工作了好多年,看上去“经验丰富”,但一遇到实际问题你会发现他给出的解决方法要么思路混乱要么不切实际,这样的例子我曾遇到了太多太多。下面简单谈谈我对“会学习”的理解。 1.会学习的人,一定会观察,找到事物的共性 在我读小学的时候,有一次学校里教我们加减乘除的四则运算法则。那时我因为生病,有几节课没去上,导致和班上的同学有一些脱节。有一天我在家做练习册,发现有几道题目里加了括号,例如: 2*3-(5-2)-2=?。我想了半天老师上课的时候都没有讲过带括号的题目怎么解,后来我就去翻答案,结果答案只有一个孤零零的数字1摆在上面,并没有解题过程。于是我就尝试着用答案来反推解题过程: 2*3-(5-2)-2=1,这个等式去掉括号如何才能成立?在试过了几种方向之后,最后我发现只有:2*3-5+2-2=1,这个等式才成立。 进而我发现,当括号前面是+号的时候,去掉括号,括号里面的运算符号不变; 当括号前面是-号的时候,去掉括号,括号里面的运算符号要变成相反; 后来我拿着这个结论去验算其他类似的题目,发现全部符合这个规律,而当时因为缺了几堂课,我之前并不知道这一点。 这是一个最简单的“演绎归纳”的推理过程,而它背后的逻辑是,通过找到个别事物的特性从而反推找到整体的共性。 在日常的工作生活中,这种方法其实屡见不鲜。比如,谈恋爱的时候,男生为了讨好女生会在追求的过程中说各种甜言蜜语,可是等到追到手以后就变得不那么上心。这是通过几个个别事例总结出来的事实,然后情感热线专家们据此就会得出一个共性规律: 得不到时才是最好的,得到了就不会懂得珍惜。 再比如,在给领导做工作汇报的时候,通常时间都不会超过半个小时,因为领导总是有下一场会议要赶。这是你在做了几次汇报之后发现的一个事实,然后职场热线专家据此就会告诉你一个共性规律: 领导的时间都是有限的,所以汇报工作要精简抓住要点。 这个世界上所有的事情,是的,我是说所有的事情,背后都有一套简单的运转规律。会学习的人,首先会观察,找到事物背后的本质,继而发现共性,最终推论到全局。无论是科学研究,还是世故人情,无论是商业经济,还是生物进化,支撑着这些领域不断向前发展的都是很简单的几条规律,或者说,真理。这些才是人类智慧的结晶。 牛顿三大定律,摩尔定律,广义相对论,波士顿矩阵,达尔文进化论,星座星盘,如何防范渣男,这些实际上都是一个东西,规则。聪明人从大量事实中发现共性,总结规则;普通人顺应和利用这些规则,仅此而已。 2.会学习的人,一定是“活学”,一定会举一反三 你身边一定有那种各门考试都很好,但是一遇到没见过的问题就不知道该怎么解的“学霸”,这种叫“死学”。 会学习的人,一定是“活学”。“活学”最大的特征就是,跨领域的规则运用。你在A领域学习到的规则,发现在B领域同样适用,或者在C领域更改一小部分也能适用。 比如,能量守恒定律最初是物理学规则,但是同样适用于商业领域,于是有了“零和博弈”; 比如,“物竞天择,适者生存”最初是生物进化学的理论,但是推演到任何一个高度竞争的领域都同样适用。在工作中,能力强的人会一路高升,能力差的人一定会被淘汰;在商业竞争中,质量好的商品会收到追捧,质量差的商品会被下架; 再比如,“市场供求曲线”最初是经济学的一条规则,但是你在谈恋爱的时候同样适用。具体这个不讲了,本Boy不是午夜情感热线; 会“活学”的人,一定会“活用”,再复杂的问题到了他手里都会变的清晰和简单。碰到一个新问题,首先找相似性和共性,一旦发现“这不就是那什么什么嘛”,“这不就跟那什么什么一样的道理嘛”的时候,他们就进入到一个熟悉的领域,问题马上迎刃而解。 3.会学习的人,从来不会在一个领域死磕 关于这一点可能有争议,我谈谈自己的观点。这个世界上“通才”比“专才”更能适应竞争。只说一点,“通才”和“专才”最大的区别在于面对急剧变化的形势时的应变能力。 我有一些做IT的朋友,都在世界知名的IT公司做了好多年,各自领域里都是一等一的“专才”。最近和他们聊天,给我最大的感受就是,他们觉得自己跟不上时代的变化了。在七八年前,互联网还没有像现在这么发达的时候,靠几个核心技术和产品就能全年高枕无忧,客户排队上门来买。可现在他们发现,过去这些让自己引以为傲的东西正在以意想不到的速度土崩瓦解。新的概念和技术每天层出不穷,行业的规则每天都在刷新,一个朋友开玩笑跟我说也许过了几年打败他们公司的会是一个卖跑鞋的。 凯文凯利在《失控》里有一句话说的特别好:要成长为新物种,你就要经历所有你不会去扮演的角色。 当一个环境开始急剧变化的时候,一定是内部和外部同时发生了改变。如果只是单一内部发生改变,以往过去的规则和经验或许足以应对和解决问题,但是一旦这个冲击变化来自于外部陌生的领域,经验主义就再也不适用了。最好的例子就是近几年来几乎中国所有的实体经济都开始朝着互联网+的方向发展。你会发现,手机原来还可以放在网上卖,出租车可以用APP来叫而不是打电话,一个网红淘宝店一年的营业额居然比一个占地5000平米的大型商场还多,这些在过去让人们匪夷所思的事情,背后都蕴含着新的规则和逻辑。 落实到职场中的你我本身,对自己专业领域的技能掌握或许已经远远不够,跨领域跨技能的了解和学习才能更好地适应这样的变化,也许这也是为什么最近“Slash一族”流行起来的原因。因为你永远不知道未来颠覆你所在行业认知的会是谁。所以在这之前,尽可能让自己掌握多个领域的技能,不要把所有鸡蛋放在一个篮子里。 最后用乔老爷的话结尾:Stay hungry, stay foolish. 即使你已经成为一个“专家”,也请时刻把自己保持在“傻瓜”的心态。求知若渴,求贤若愚。
    资讯
    2016年12月16日
  • 资讯
    改变员工之间的沟通方式,Dynamic Signal 获 2500 万美元 D 轮融资,微软领投 去年,LinkedIn 曾试图收购 Dynamic Signal ,之后可能会通过微软再次尝试对其进行收购。 根据麦肯锡(McKinsey)的报告,与员工进行有效沟通的企业生产力要比其他企业高出 20%-25%。此外,Salesforce 的报告表示,86% 的企业高管认为无效的沟通是职场失败的主要原因。从 Slack 到Facebook 的 Workplace,一大批企业级应用程序正在处理和改变公司员工之间的沟通方式。 近日,企业级沟通 Dynamic Signal 获得 2500 万美元 D 轮融资,由微软的风投部门 Microsoft Ventures 和 Akkadian Ventures 共同领投,Focus Ventures 和 Trinity Ventures 等多家公司参投。截止目前,该公司累计获得 6,830 万美元投资,公司市值达到 1.5 亿美元。Dynamic Signal 将利用本轮资金扩大其国际业务,同时进一步加强在管理、销售、营销以及顾客方面的投入,更好地为其世界级企业客户服务。 Dynamic Signal 成立于 2010 年,总部位于美国加州旧金山湾区,目前拥有 110 名员工。公司致力于帮助企业提高员工的生产力、参与度和对公司的拥护。数百家世界级全球企业以及 85 家财富 500 强企业都通过 Dynamic Signal 推出、扩展以及衡量他们的公司通信,这项服务覆盖了 21 个国家、19 种语言。 Dynamic Signal 在众多企业通信工具中脱颖而出的原因是 Dynamic Signal 的平台让企业客户通过广播消息与员工交流,而不是像大多数同行那样侧重于协作。此外,该平台还可以创建 API、跟踪分析读取的项目、构建浏览器扩展程序并与其他应用程序集成。Dynamic Signal 最近与 Facebook Messenger、Slack 和 Yammer 进行了集成。 Dynamic Signal 的 CEO 兼联合创始人Russ Fradin 在一份声明中表示: 企业已经意识到了以我们日常沟通的方式与员工交流的重要性。消息灵通的员工生产力更强,参与度更高,更有可能成为公司的拥护者,对公司自上而下都有着深刻影响。我们将与投资者紧密合作,继续拓展业务,争取满足世界各地不断增长的市场需求。 Trinity Ventures 的普通合伙人 Ajay Chopra 在一份声明中说:“Dynamic Signal 服务于被“遗忘的群体”,公司与这些忠诚的员工的沟通还远远不够。” Microsoft Ventures 副总裁 Nagraj Kashyap 认为: Dynamic Signal 正在通过与现有全球业务流程无缝集成的企业级技术改变企业与员工沟通的方式。我们的投资代表了我们对这一块快速增长的业务以及 Dynamic Signal 的方法的信心。 微软的投资不仅仅是因为微软本身就在购买和建立自己的协作工具(Skype、Yammer以及最近推出的Teams),更是因为微软刚刚在上周正式完成了对 LinkedIn 的收购。 就在去年,LinkedIn 曾试图收购 Dynamic Signal,但最终未在价格上达成一致。LinkedIn 可能今后会通过微软再次尝试对 Dynamic Signal 的收购计划,对此,Fradin 拒绝置评。 本文来自翻译:venturebeat.com
    资讯
    2016年12月14日