聯(lián)系人:李女士
座機(jī):010-59433750
手機(jī):15313878231
郵 箱:angelals@secspace.com
地 址:北京市海淀區(qū)金碼大廈B座2328
招聘網(wǎng)站陷簡(jiǎn)歷數(shù)據(jù)泄露風(fēng)波:700元即可采集58同城全國(guó)簡(jiǎn)歷信息
支付700元購(gòu)買軟件之后,記者用賣家提供的賬號(hào)登陸軟件,該軟件可以不斷采集信息,并且將所采集信息自動(dòng)錄入到excel表格中。
58同城的全國(guó)簡(jiǎn)歷數(shù)據(jù)泄露了
近日,經(jīng)濟(jì)報(bào)道記者調(diào)查發(fā)現(xiàn),有淘寶電商出售“58同城簡(jiǎn)歷數(shù)據(jù)”。其中一位旺旺號(hào)為“lsgjart”的店鋪告訴記者:“一次購(gòu)買2萬(wàn)份以上,3毛一條;10萬(wàn)以上,2毛一條。要多少有多少,全國(guó)同步實(shí)時(shí)更新。”根據(jù)該店主發(fā)來(lái)的少量簡(jiǎn)歷信息測(cè)試,記者電話聯(lián)系的求職者均在58同城上投遞了簡(jiǎn)歷,有人還在當(dāng)天更新過(guò)自己的簡(jiǎn)歷。
當(dāng)然,出售數(shù)據(jù)者并非獨(dú)此一家。另一家店鋪按照2毛一條出售數(shù)據(jù),并且在記者多次溝通下表示:“700塊賣你一套軟件,你可以自己采集58數(shù)據(jù)。”并非店主慷慨,而是“這個(gè)軟件已經(jīng)快爛大街了,有幾個(gè)團(tuán)隊(duì)開(kāi)發(fā)過(guò)針對(duì)58的采集軟件,更新過(guò)幾次版本,已經(jīng)穩(wěn)定運(yùn)行了幾個(gè)月了,現(xiàn)在手里有軟件的人不在少數(shù)。”
20元/份簡(jiǎn)歷變廉價(jià)批發(fā)
3月20日,支付700元購(gòu)買軟件之后,記者用賣家提供的賬號(hào)登錄軟件,在檢索選項(xiàng)中選擇北京市、所有職業(yè)、2017年1月后更新過(guò)簡(jiǎn)歷的活躍求職者,該軟件開(kāi)始不斷采集信息,并且將所采集信息按照“姓名、手機(jī)號(hào)、求職方向、年齡、期望月薪、工作經(jīng)驗(yàn)、居住地、學(xué)歷、用戶ID、更新簡(jiǎn)歷時(shí)間”等格式自動(dòng)錄入到excel表格中。
在檢索選項(xiàng)中,包括全國(guó)430多個(gè)城市,以及464個(gè)職業(yè)選項(xiàng)。該登錄賬號(hào)有效期為1個(gè)月,如果需要不斷獲取58簡(jiǎn)歷最新數(shù)據(jù),每個(gè)月都需要續(xù)費(fèi)700元。
21世紀(jì)經(jīng)濟(jì)報(bào)道記者在幾個(gè)小時(shí)內(nèi)按照上述條件采集到約3萬(wàn)條數(shù)據(jù),根據(jù)該軟件每小時(shí)可以采集數(shù)千份數(shù)據(jù),賣家告訴記者:“軟件對(duì)每個(gè)人的采集速度做出限制,采集的人太多,如果數(shù)據(jù)流太大,有可能會(huì)被58發(fā)現(xiàn)。但已經(jīng)做好防御措施,放心用你的,不會(huì)被封。”
此外,賣家建議記者,如果想提高檢索速度,可以購(gòu)買ADSL服務(wù)器,該服務(wù)器可以通過(guò)不斷更換IP的方式躲避58的監(jiān)測(cè),“一般采集量大的都會(huì)買這個(gè)。”
從采集結(jié)果中,記者聯(lián)系了數(shù)位在3月20日更新簡(jiǎn)歷的求職者,后者向記者確認(rèn)“今天更新了簡(jiǎn)歷,并且投遞過(guò)簡(jiǎn)歷”。
需要指出,58同城官網(wǎng)本身并未對(duì)求職者簡(jiǎn)歷做出太多保護(hù)措施。在58同城官網(wǎng)上注冊(cè)的賬號(hào)均可搜索所有人簡(jiǎn)歷,并查看年齡、頭像、學(xué)歷、學(xué)校等信息,但不能查看手機(jī)號(hào)。
如果需要查看求職者聯(lián)系方式,則需要獲取權(quán)限,向58“購(gòu)買簡(jiǎn)歷套餐”。根據(jù)官網(wǎng)信息,簡(jiǎn)歷套餐分為5檔,最便宜的一檔僅可以查看6份簡(jiǎn)歷,每份20元,總價(jià)120元。最高檔每份簡(jiǎn)歷售價(jià)14.5元,可以查看138份,總價(jià)2000元。
日前,58同城發(fā)布財(cái)報(bào),預(yù)計(jì)58同城將在2017年底成為中國(guó)最大的網(wǎng)絡(luò)招聘公司,并且預(yù)計(jì)招聘業(yè)務(wù)將在2017年增長(zhǎng)50%左右,成為58集團(tuán)旗下最大的業(yè)務(wù)。但如今,簡(jiǎn)歷數(shù)據(jù)庫(kù)出現(xiàn)泄密情況,原本高價(jià)出售的簡(jiǎn)歷信息現(xiàn)在均可廉價(jià)獲取。
目前,并不確定此類泄密事件對(duì)58影響幾何,但如果信息廣泛流通,一旦被詐騙分子利用,就可以根據(jù)求職者的求職意向、更新簡(jiǎn)歷頻率、年齡、學(xué)校定制詐騙內(nèi)容。2015年至今,多地公安機(jī)關(guān)發(fā)布公告,提醒求職者警惕招聘詐騙。
值得一提的是,在淘寶寶貝搜索欄中輸入“58簡(jiǎn)歷”,搜索框下拉欄中會(huì)推薦“58簡(jiǎn)歷電話查看”、“58簡(jiǎn)歷采集工具”等,但是直接鍵入此類關(guān)鍵詞卻沒(méi)有對(duì)應(yīng)結(jié)果。知情人士介紹:“說(shuō)明淘寶上熱賣過(guò)這類產(chǎn)品,但后來(lái)被清理掉了。”
3月23日,記者就“有淘寶賣家大量出售58同城簡(jiǎn)歷”、“簡(jiǎn)歷數(shù)據(jù)泄露”等問(wèn)題咨詢58同城相關(guān)部門人士。58同城回應(yīng)記者稱:“58同城通過(guò)技術(shù)手段將求職者進(jìn)行加密,除正常渠道下載外,58內(nèi)部員工也無(wú)法查看簡(jiǎn)歷電話號(hào)碼”,“58同城通過(guò)技術(shù)手段禁止了網(wǎng)絡(luò)爬蟲對(duì)58同城簡(jiǎn)歷內(nèi)容的抓取”,此外,58同城正在通過(guò)多種風(fēng)控措施進(jìn)一步保護(hù)求職者信息。
惡意爬蟲+移動(dòng)端漏洞
不過(guò),事實(shí)與58同城的回應(yīng)略有出入。
3月23日,記者將該軟件以及信息泄露情況提供給多家安全機(jī)構(gòu),包括、安華金和等安全公司均告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者:“這個(gè)采集軟件,是一個(gè)惡意爬蟲工具。”爬蟲軟件是一種收集大量信息時(shí)的常用軟件,而利用漏洞爬取信息則被稱為惡意爬蟲。
招聘網(wǎng)站允許企業(yè)、個(gè)人賬號(hào)搜索簡(jiǎn)歷,是爬蟲軟件可以采集簡(jiǎn)歷信息的入口。包括58同城、、等大型招聘網(wǎng)站均提供簡(jiǎn)歷搜索權(quán)限,搜索結(jié)果呈現(xiàn)大部分個(gè)人信息,但查看聯(lián)系方式則需要向網(wǎng)站付費(fèi)。
安華金和安全攻防實(shí)驗(yàn)室專家告訴記者,“涉及個(gè)人隱私的信息,應(yīng)當(dāng)防范爬蟲軟件。”該人士告訴記者,名為集搜客(GooSeeKer)的平臺(tái)提供了大量爬取58信息的爬蟲軟件。記者在GooSeeKer發(fā)現(xiàn),多個(gè)爬取58本地商戶信息、汽車過(guò)戶聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息的爬蟲軟件在售。
目前,開(kāi)始考慮隱私保護(hù)的平臺(tái)已經(jīng)不再提供簡(jiǎn)歷搜索服務(wù)。面向數(shù)百萬(wàn)學(xué)生實(shí)習(xí)群體的“實(shí)習(xí)僧”CTO王承明告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者:“給企業(yè)或者合作商開(kāi)放權(quán)限過(guò)大,容易導(dǎo)致信息爬取。‘實(shí)習(xí)僧’杜絕企業(yè)直接搜索簡(jiǎn)歷,企業(yè)下載簡(jiǎn)歷的路徑也都是動(dòng)態(tài)隨機(jī)生成,這樣避免過(guò)度傳播。”
理論上,爬蟲軟件只能爬取到部分簡(jiǎn)歷信息。在招聘網(wǎng)站設(shè)置了聯(lián)系方式的閱讀權(quán)限之后,爬蟲軟件并不能爬取其聯(lián)系方式信息。但遺憾的是,“58同城存在多個(gè)安全技術(shù)漏洞的組合”,“白帽匯”創(chuàng)始人趙武告訴記者,一是58同城在移動(dòng)端的一個(gè)接口導(dǎo)致可以批量獲取用戶的簡(jiǎn)歷ID,以及加密不嚴(yán)謹(jǐn)?shù)挠脩鬒D信息,二是另一個(gè)接口導(dǎo)致用戶包括姓名等真實(shí)信息泄漏;三是58的微店程序能夠通過(guò)用戶ID獲取用戶的電話號(hào)碼,“其實(shí)這幾個(gè)漏洞任何一個(gè)都算不上是高危漏洞,但是在多個(gè)漏洞的組合情況下,就會(huì)造成大范圍的數(shù)據(jù)泄漏,可能被黑產(chǎn)用于電信欺詐等破壞性攻擊。”
記者截稿時(shí),白帽匯已經(jīng)復(fù)現(xiàn)了數(shù)據(jù)泄露的整個(gè)過(guò)程,并將漏洞整理向監(jiān)管部門報(bào)備。
需要指出,該漏洞或許已經(jīng)存在很長(zhǎng)時(shí)間。在精易論壇、52破解等匯集了軟件開(kāi)發(fā)者的論壇中,58同城簡(jiǎn)歷采集工具、漏洞分析等相關(guān)文章從2016年初就開(kāi)始不斷出現(xiàn),還有不少開(kāi)發(fā)者推廣自己開(kāi)發(fā)的58簡(jiǎn)歷采集工具。
目前,招聘行業(yè)普遍存在信息泄露風(fēng)險(xiǎn)。一位曾在智聯(lián)工作人士告訴記者:“內(nèi)部對(duì)于信息保護(hù)并不嚴(yán)格,新來(lái)的實(shí)習(xí)生也可以跟主管要個(gè)賬號(hào),登錄數(shù)據(jù)庫(kù)把求職者簡(jiǎn)歷下載到個(gè)人電腦上,想下多少都可以,沒(méi)有限制。”
除此之外,有多個(gè)賣家在淘寶出售智聯(lián)招聘企業(yè)賬號(hào),其中一個(gè)店主告訴記者:“一個(gè)賬號(hào)900元,可以下載200份簡(jiǎn)歷。”該價(jià)格遠(yuǎn)低于官方價(jià)格,根據(jù)一企業(yè)提供的智聯(lián)招聘合同顯示,“一個(gè)可以下載200份簡(jiǎn)歷的賬號(hào),一年3200元。”此外,前程無(wú)憂、獵聘網(wǎng)企業(yè)賬號(hào)也均有出售,均可下載簡(jiǎn)歷。