首页> 资讯> 要闻> 信息安全> 正文

58同城全国简历数据泄露 20元/份变廉价批发

2017.03.24 09:312955

支付700元购买软件之后,记者用卖家提供的账号登陆软件,该软件可以不断采集信息,并且将所采集信息自动录入到excel表格中。

58同城的全国简历数据泄露了。

近日,21世纪经济报道记者调查发现,有淘宝电商出售“58同城简历数据”。其中一位旺旺号为“lsgjart”的店铺告诉记者:“一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”根据该店主发来的少量简历信息测试,记者电话联系的求职者均在58同城上投递了简历,有人还在当天更新过自己的简历。

当然,出售数据者并非独此一家。另一家店铺按照2毛一条出售数据,并且在记者多次沟通下表示:“700块卖你一套软件,你可以自己采集58数据。”并非店主慷慨,而是“这个软件已经快烂大街了,有几个团队开发过针对58的采集软件,更新过几次版本,已经稳定运行了几个月了,现在手里有软件的人不在少数。”

20元/份简历变廉价批发

3月20日,支付700元购买软件之后,记者用卖家提供的账号登录软件,在检索选项中选择北京市、所有职业、2017年1月后更新过简历的活跃求职者,该软件开始不断采集信息,并且将所采集信息按照“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等格式自动录入到excel表格中。

在检索选项中,包括全国430多个城市,以及464个职业选项。该登录账号有效期为1个月,如果需要不断获取58简历最新数据,每个月都需要续费700元。

记者在几个小时内按照上述条件采集到约3万条数据,根据该软件每小时可以采集数千份数据,卖家告诉记者:“软件对每个人的采集速度做出限制,采集的人太多,如果数据流太大,有可能会被58发现。但已经做好防御措施,放心用你的,不会被封。”

此外,卖家建议记者,如果想提高检索速度,可以购买ADSL服务器,该服务器可以通过不断更换IP的方式躲避58的监测,“一般采集量大的都会买这个。”

从采集结果中,记者联系了数位在3月20日更新简历的求职者,后者向记者确认“今天更新了简历,并且投递过简历”。

需要指出,58同城官网本身并未对求职者简历做出太多保护措施。在58同城官网上注册的账号均可搜索所有人简历,并查看年龄、头像、学历、学校等信息,但不能查看手机号。

如果需要查看求职者联系方式,则需要获取权限,向58“购买简历套餐”。根据官网信息,简历套餐分为5档,最便宜的一档仅可以查看6份简历,每份20元,总价120元。最高档每份简历售价14.5元,可以查看138份,总价2000元。

日前,58同城发布财报,预计58同城将在2017年底成为中国最大的网络招聘公司,并且预计招聘业务将在2017年增长50%左右,成为58集团旗下最大的业务。但如今,简历数据库出现泄密情况,原本高价出售的简历信息现在均可廉价获取。

目前,并不确定此类泄密事件对58影响几何,但如果信息广泛流通,一旦被诈骗分子利用,就可以根据求职者的求职意向、更新简历频率、年龄、学校定制诈骗内容。2015年至今,多地公安机关发布公告,提醒求职者警惕招聘诈骗。

值得一提的是,在淘宝宝贝搜索栏中输入“58简历”,搜索框下拉栏中会推荐“58简历电话查看”、“58简历采集工具”等关键词,但是直接键入此类关键词却没有对应结果。知情人士介绍:“说明淘宝上热卖过这类产品,但后来被清理掉了。”

3月23日,记者就“有淘宝卖家大量出售58同城简历”、“简历数据泄露”等问题咨询58同城相关部门人士。58同城回应记者称:“58同城通过技术手段将求职者进行加密,除正常渠道下载外,58内部员工也无法查看简历电话号码”,“58同城通过技术手段禁止了网络爬虫对58同城简历内容的抓取”,此外,58同城正在通过多种风控措施进一步保护求职者信息。

恶意爬虫+移动端漏洞

不过,事实与58同城的回应略有出入。

3月23日,记者将该软件以及信息泄露情况提供给多家安全机构,包括猎豹移动、安华金和等安全公司均告诉21世纪经济报道记者:“这个采集软件,是一个恶意爬虫工具。”爬虫软件是一种收集大量信息时的常用软件,而利用漏洞爬取信息则被称为恶意爬虫。

招聘网站允许企业、个人账号搜索简历,是爬虫软件可以采集简历信息的入口。包括58同城、智联招聘、前程无忧等大型招聘网站均提供简历搜索权限,搜索结果呈现大部分个人信息,但查看联系方式则需要向网站付费。

安华金和安全攻防实验室专家告诉记者,“涉及个人隐私的信息,应当防范爬虫软件。”该人士告诉记者,名为集搜客(GooSeeKer)的平台提供了大量爬取58信息的爬虫软件。记者在GooSeeKer发现,多个爬取58本地商户信息、汽车过户联系人信息、保洁公司信息、租房联系人信息的爬虫软件在售。

目前,开始考虑隐私保护的平台已经不再提供简历搜索服务。面向数百万学生实习群体的“实习僧”CTO王承明告诉21世纪经济报道记者:“给企业或者合作商开放权限过大,容易导致信息爬取。‘实习僧’杜绝企业直接搜索简历,企业下载简历的路径也都是动态随机生成,这样避免过度传播。”

理论上,爬虫软件只能爬取到部分简历信息。在招聘网站设置了联系方式的阅读权限之后,爬虫软件并不能爬取其联系方式信息。但遗憾的是,“58同城存在多个安全技术漏洞的组合”,“白帽汇”创始人赵武告诉记者,一是58同城在移动端的一个接口导致可以批量获取用户的简历ID,以及加密不严谨的用户ID信息,二是另一个接口导致用户包括姓名等真实信息泄漏;三是58的微店程序能够通过用户ID获取用户的电话号码,“其实这几个漏洞任何一个都算不上是高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能被黑产用于电信欺诈等破坏性攻击。”

记者截稿时,白帽汇已经复现了数据泄露的整个过程,并将漏洞整理向监管部门报备。

需要指出,该漏洞或许已经存在很长时间。在精易论坛、52破解等汇集了软件开发者的论坛中,58同城简历采集工具、漏洞分析等相关文章从2016年初就开始不断出现,还有不少开发者推广自己开发的58简历采集工具。

目前,招聘行业普遍存在信息泄露风险。一位曾在智联工作人士告诉记者:“内部对于信息保护并不严格,新来的实习生也可以跟主管要个账号,登录数据库把求职者简历下载到个人电脑上,想下多少都可以,没有限制。”

除此之外,有多个卖家在淘宝出售智联招聘企业账号,其中一个店主告诉记者:“一个账号900元,可以下载200份简历。”该价格远低于官方价格,根据一企业提供的智联招聘合同显示,“一个可以下载200份简历的账号,一年3200元。”此外,前程无忧、猎聘网企业账号也均有出售,均可下载简历。

佰佰安全网提醒,网络病毒肆虐,在使用电脑等电子产品要做好杀毒,了解相关的网络安全知识,保护自己的电脑安全。

( 责任编辑: 胡玲玲 )

展开剩余全文
发表我的评论
提交评论

相关推荐

58同城全国简历数据泄露 20元/份变廉价批发

58同城全国简历数据泄露 20元/份变廉价批发

2017.03.24 2676
58同城回应简历数据泄露 将加强信安系统管理

58同城回应简历数据泄露 将加强信安系统管理

2017.03.24 2353
58同城二手车面包车交易时收取费用吗

58同城二手车面包车交易时收取费用吗

2019.05.04 3014
58同城总部遭人强闯堵门 大声叫骂阻拦员工进出  

58同城总部遭人强闯堵门 大声叫骂阻拦员工进出  

2016.06.01 1871
摩拜回应数据泄露传闻:相关网络传言不实

摩拜回应数据泄露传闻:相关网络传言不实

2018.06.14 1384
加载更多

最新资讯

网络水军一人控制600台手机不停转评赞:转评赞只需几元钱

网络水军一人控制600台手机不停转评赞:转评赞只需几元钱

2024.11.21 715
一男子频繁家暴妻子致其脾脏破裂死亡,辩称尼龙绳抽打死不了人 事发山东

一男子频繁家暴妻子致其脾脏破裂死亡,辩称尼龙绳抽打死不了人 事发山东

2024.11.20 849
太原一17岁男孩被持钉棍围殴,身上被扎成窟窿眼?太原警方通报

太原一17岁男孩被持钉棍围殴,身上被扎成窟窿眼?太原警方通报

2024.11.20 539
永安市一打假博主称团队在展销会遭商户围殴,当地市监局介入,警方:已立案调查

永安市一打假博主称团队在展销会遭商户围殴,当地市监局介入,警方:已立案调查

2024.11.20 863
德阳一中学生晨跑倒地后脑死亡,家属:校医没做任何抢救

德阳一中学生晨跑倒地后脑死亡,家属:校医没做任何抢救

2024.11.19 830

热门排行

不得随意禁止外地群众返乡过年!

不得随意禁止外地群众返乡过年!

2022.01.29 8745
美国解除中国学生赴美限制 家长们喜忧参半 敢不敢放儿去?

美国解除中国学生赴美限制 家长们喜忧参半 敢不敢放儿去?

2021.04.30 31412
女子举报公务员丈夫出轨公款消费 纪委避而不谈

女子举报公务员丈夫出轨公款消费 纪委避而不谈

2021.12.30 15805
重磅!三孩政策来了!网友“炸锅”!敢不敢生?

重磅!三孩政策来了!网友“炸锅”!敢不敢生?

2021.05.31 29474
浙江男子卖掉亲生儿子后带现妻游山玩水?你怎么看?

浙江男子卖掉亲生儿子后带现妻游山玩水?你怎么看?

2021.04.30 28376
加载更多
返回顶部
返回首页