沸點(diǎn) 沸點(diǎn)

58同城陷數(shù)據(jù)泄露:700元可采集網(wǎng)站全國(guó)簡(jiǎn)歷信息

2017年03月24日 09:33 | 來(lái)源：21世紀(jì)經(jīng)濟(jì)報(bào)道

分享到：

（原標(biāo)題：招聘網(wǎng)站陷簡(jiǎn)歷數(shù)據(jù)泄露風(fēng)波：700元即可采集58同城全國(guó)簡(jiǎn)歷信息）

支付700元購(gòu)買軟件之后,，記者用賣家提供的賬號(hào)登陸軟件,，該軟件可以不斷采集信息，并且將所采集信息自動(dòng)錄入到excel表格中。

58同城的全國(guó)簡(jiǎn)歷數(shù)據(jù)泄露了。

近日,，21世紀(jì)經(jīng)濟(jì)報(bào)道記者調(diào)查發(fā)現(xiàn),，有淘寶電商出售“58同城簡(jiǎn)歷數(shù)據(jù)”,。其中一位旺旺號(hào)為“l(fā)sgjart”的店鋪告訴記者：“一次購(gòu)買2萬(wàn)份以上,，3毛一條,；10萬(wàn)以上，2毛一條,。要多少有多少,，全國(guó)同步實(shí)時(shí)更新,?！备鶕?jù)該店主發(fā)來(lái)的少量簡(jiǎn)歷信息測(cè)試，記者電話聯(lián)系的求職者均在58同城上投遞了簡(jiǎn)歷,，有人還在當(dāng)天更新過(guò)自己的簡(jiǎn)歷,。

當(dāng)然，出售數(shù)據(jù)者并非獨(dú)此一家,。另一家店鋪按照2毛一條出售數(shù)據(jù),，并且在記者多次溝通下表示：“700塊賣你一套軟件，你可以自己采集58數(shù)據(jù),?！辈⒎堑曛骺犊恰斑@個(gè)軟件已經(jīng)快爛大街了,，有幾個(gè)團(tuán)隊(duì)開發(fā)過(guò)針對(duì)58的采集軟件,，更新過(guò)幾次版本，已經(jīng)穩(wěn)定運(yùn)行了幾個(gè)月了,，現(xiàn)在手里有軟件的人不在少數(shù),。”

20元/份簡(jiǎn)歷變廉價(jià)批發(fā)

3月20日,，支付700元購(gòu)買軟件之后,，記者用賣家提供的賬號(hào)登錄軟件，在檢索選項(xiàng)中選擇北京市,、所有職業(yè),、2017年1月后更新過(guò)簡(jiǎn)歷的活躍求職者，該軟件開始不斷采集信息,，并且將所采集信息按照“姓名,、手機(jī)號(hào)、求職方向,、年齡,、期望月薪、工作經(jīng)驗(yàn),、居住地,、學(xué)歷,、用戶ID、更新簡(jiǎn)歷時(shí)間”等格式自動(dòng)錄入到excel表格中,。

在檢索選項(xiàng)中,，包括全國(guó)430多個(gè)城市，以及464個(gè)職業(yè)選項(xiàng),。該登錄賬號(hào)有效期為1個(gè)月,，如果需要不斷獲取58簡(jiǎn)歷最新數(shù)據(jù)，每個(gè)月都需要續(xù)費(fèi)700元,。

21世紀(jì)經(jīng)濟(jì)報(bào)道記者在幾個(gè)小時(shí)內(nèi)按照上述條件采集到約3萬(wàn)條數(shù)據(jù),，根據(jù)該軟件每小時(shí)可以采集數(shù)千份數(shù)據(jù)，賣家告訴記者：“軟件對(duì)每個(gè)人的采集速度做出限制,，采集的人太多,，如果數(shù)據(jù)流太大，有可能會(huì)被58發(fā)現(xiàn),。但已經(jīng)做好防御措施,，放心用你的，不會(huì)被封,?！?/p>

此外，賣家建議記者,，如果想提高檢索速度,，可以購(gòu)買ADSL服務(wù)器，該服務(wù)器可以通過(guò)不斷更換IP的方式躲避58的監(jiān)測(cè),，“一般采集量大的都會(huì)買這個(gè),。”

從采集結(jié)果中,，記者聯(lián)系了數(shù)位在3月20日更新簡(jiǎn)歷的求職者,，后者向記者確認(rèn)“今天更新了簡(jiǎn)歷，并且投遞過(guò)簡(jiǎn)歷”,。

需要指出,，58同城官網(wǎng)本身并未對(duì)求職者簡(jiǎn)歷做出太多保護(hù)措施。在58同城官網(wǎng)上注冊(cè)的賬號(hào)均可搜索所有人簡(jiǎn)歷,，并查看年齡,、頭像、學(xué)歷,、學(xué)校等信息,，但不能查看手機(jī)號(hào)。

如果需要查看求職者聯(lián)系方式，則需要獲取權(quán)限,，向58“購(gòu)買簡(jiǎn)歷套餐”,。根據(jù)官網(wǎng)信息，簡(jiǎn)歷套餐分為5檔,，最便宜的一檔僅可以查看6份簡(jiǎn)歷,，每份20元，總價(jià)120元,。最高檔每份簡(jiǎn)歷售價(jià)14.5元,，可以查看138份，總價(jià)2000元,。

日前,，58同城發(fā)布財(cái)報(bào)，預(yù)計(jì)58同城將在2017年底成為中國(guó)最大的網(wǎng)絡(luò)招聘公司,，并且預(yù)計(jì)招聘業(yè)務(wù)將在2017年增長(zhǎng)50%左右,，成為58集團(tuán)旗下最大的業(yè)務(wù),。但如今,，簡(jiǎn)歷數(shù)據(jù)庫(kù)出現(xiàn)泄密情況，原本高價(jià)出售的簡(jiǎn)歷信息現(xiàn)在均可廉價(jià)獲取,。

目前,，并不確定此類泄密事件對(duì)58影響幾何，但如果信息廣泛流通,，一旦被詐騙分子利用,，就可以根據(jù)求職者的求職意向、更新簡(jiǎn)歷頻率,、年齡,、學(xué)校定制詐騙內(nèi)容。2015年至今,，多地公安機(jī)關(guān)發(fā)布公告,，提醒求職者警惕招聘詐騙。

值得一提的是,，在淘寶寶貝搜索欄中輸入“58簡(jiǎn)歷”,，搜索框下拉欄中會(huì)推薦“58簡(jiǎn)歷電話查看”、“58簡(jiǎn)歷采集工具”等關(guān)鍵詞,，但是直接鍵入此類關(guān)鍵詞卻沒有對(duì)應(yīng)結(jié)果,。知情人士介紹：“說(shuō)明淘寶上熱賣過(guò)這類產(chǎn)品，但后來(lái)被清理掉了,?！?/p>

3月23日，記者就“有淘寶賣家大量出售58同城簡(jiǎn)歷”、“簡(jiǎn)歷數(shù)據(jù)泄露”等問題咨詢58同城相關(guān)部門人士,。58同城回應(yīng)記者稱：“58同城通過(guò)技術(shù)手段將求職者進(jìn)行加密,，除正常渠道下載外，58內(nèi)部員工也無(wú)法查看簡(jiǎn)歷電話號(hào)碼”,，“58同城通過(guò)技術(shù)手段禁止了網(wǎng)絡(luò)爬蟲對(duì)58同城簡(jiǎn)歷內(nèi)容的抓取”,，此外，58同城正在通過(guò)多種風(fēng)控措施進(jìn)一步保護(hù)求職者信息,。

惡意爬蟲+移動(dòng)端漏洞

不過(guò),，事實(shí)與58同城的回應(yīng)略有出入。

3月23日,，記者將該軟件以及信息泄露情況提供給多家安全機(jī)構(gòu),，包括獵豹移動(dòng)、安華金和等安全公司均告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者：“這個(gè)采集軟件,，是一個(gè)惡意爬蟲工具,。”爬蟲軟件是一種收集大量信息時(shí)的常用軟件,，而利用漏洞爬取信息則被稱為惡意爬蟲,。

招聘網(wǎng)站允許企業(yè)、個(gè)人賬號(hào)搜索簡(jiǎn)歷,，是爬蟲軟件可以采集簡(jiǎn)歷信息的入口,。包括58同城、智聯(lián)招聘,、前程無(wú)憂等大型招聘網(wǎng)站均提供簡(jiǎn)歷搜索權(quán)限,，搜索結(jié)果呈現(xiàn)大部分個(gè)人信息，但查看聯(lián)系方式則需要向網(wǎng)站付費(fèi),。

安華金和安全攻防實(shí)驗(yàn)室專家告訴記者,，“涉及個(gè)人隱私的信息，應(yīng)當(dāng)防范爬蟲軟件,?！痹撊耸扛嬖V記者，名為集搜客（GooSeeKer）的平臺(tái)提供了大量爬取58信息的爬蟲軟件,。記者在GooSeeKer發(fā)現(xiàn),，多個(gè)爬取58本地商戶信息、汽車過(guò)戶聯(lián)系人信息,、保潔公司信息,、租房聯(lián)系人信息的爬蟲軟件在售。

目前,，開始考慮隱私保護(hù)的平臺(tái)已經(jīng)不再提供簡(jiǎn)歷搜索服務(wù),。面向數(shù)百萬(wàn)學(xué)生實(shí)習(xí)群體的“實(shí)習(xí)僧”CTO王承明告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者：“給企業(yè)或者合作商開放權(quán)限過(guò)大,，容易導(dǎo)致信息爬取?！畬?shí)習(xí)僧’杜絕企業(yè)直接搜索簡(jiǎn)歷,，企業(yè)下載簡(jiǎn)歷的路徑也都是動(dòng)態(tài)隨機(jī)生成，這樣避免過(guò)度傳播,?！?/p>

理論上，爬蟲軟件只能爬取到部分簡(jiǎn)歷信息,。在招聘網(wǎng)站設(shè)置了聯(lián)系方式的閱讀權(quán)限之后,，爬蟲軟件并不能爬取其聯(lián)系方式信息。但遺憾的是,，“58同城存在多個(gè)安全技術(shù)漏洞的組合”,，“白帽匯”創(chuàng)始人趙武告訴記者，一是58同城在移動(dòng)端的一個(gè)接口導(dǎo)致可以批量獲取用戶的簡(jiǎn)歷ID,，以及加密不嚴(yán)謹(jǐn)?shù)挠脩鬒D信息,，二是另一個(gè)接口導(dǎo)致用戶包括姓名等真實(shí)信息泄漏；三是58的微店程序能夠通過(guò)用戶ID獲取用戶的電話號(hào)碼,，“其實(shí)這幾個(gè)漏洞任何一個(gè)都算不上是高危漏洞,，但是在多個(gè)漏洞的組合情況下，就會(huì)造成大范圍的數(shù)據(jù)泄漏,，可能被黑產(chǎn)用于電信欺詐等破壞性攻擊,?！?/p>

記者截稿時(shí),，白帽匯已經(jīng)復(fù)現(xiàn)了數(shù)據(jù)泄露的整個(gè)過(guò)程，并將漏洞整理向監(jiān)管部門報(bào)備,。

需要指出,，該漏洞或許已經(jīng)存在很長(zhǎng)時(shí)間。在精易論壇,、52破解等匯集了軟件開發(fā)者的論壇中,，58同城簡(jiǎn)歷采集工具、漏洞分析等相關(guān)文章從2016年初就開始不斷出現(xiàn),，還有不少開發(fā)者推廣自己開發(fā)的58簡(jiǎn)歷采集工具,。

目前，招聘行業(yè)普遍存在信息泄露風(fēng)險(xiǎn),。一位曾在智聯(lián)工作人士告訴記者：“內(nèi)部對(duì)于信息保護(hù)并不嚴(yán)格,，新來(lái)的實(shí)習(xí)生也可以跟主管要個(gè)賬號(hào)，登錄數(shù)據(jù)庫(kù)把求職者簡(jiǎn)歷下載到個(gè)人電腦上,，想下多少都可以,，沒有限制,。”

除此之外,，有多個(gè)賣家在淘寶出售智聯(lián)招聘企業(yè)賬號(hào),，其中一個(gè)店主告訴記者：“一個(gè)賬號(hào)900元，可以下載200份簡(jiǎn)歷,?！痹搩r(jià)格遠(yuǎn)低于官方價(jià)格，根據(jù)一企業(yè)提供的智聯(lián)招聘合同顯示,，“一個(gè)可以下載200份簡(jiǎn)歷的賬號(hào),，一年3200元?！贝送?，前程無(wú)憂、獵聘網(wǎng)企業(yè)賬號(hào)也均有出售,，均可下載簡(jiǎn)歷,。

編輯：周佳佳

關(guān)鍵詞：58同城數(shù)據(jù)泄露 700元簡(jiǎn)歷信息

法蒂瑪·馬合木提王召明王霞辜勝阻聶震寧錢學(xué)明孟青錄郭晉云許進(jìn)

李健覺醒法師呂鳳鼎賀鏗金曼黃維義關(guān)牧村陳華陳景秋

秦百蘭張自立郭松海李蘭房興耀池慧柳斌杰曹義孫毛新宇

詹國(guó)樞朱永新張曉梅焦加良張連起龍墨王名何水法李延生

鞏漢林李勝素施杰王亞非艾克拜爾·米吉提姚愛興賈寶蘭謝衛(wèi) 湯素蘭

首頁(yè)>要聞>沸點(diǎn) 沸點(diǎn)

58同城陷數(shù)據(jù)泄露:700元可采集網(wǎng)站全國(guó)簡(jiǎn)歷信息

更多

更多

更多