58同城被曝簡歷數據泄露:700元可采集全國簡歷信息
58同城的全國簡歷數據泄露了。
近日,記者調查發現,有淘寶電商出售“58同城簡歷數據”。其中一位旺旺號為“lsgjart”的店鋪告訴記者:“一次購買2萬份以上,3毛一條;10萬以上,2毛一條。要多少有多少,全國同步實時更新。”根據該店主發來的少量簡歷信息測試,記者電話聯系的求職者均在58同城上投遞了簡歷,有人還在當天更新過自己的簡歷。
當然,出售數據者并非獨此一家。另一家店鋪按照2毛一條出售數據,并且在記者多次溝通下表示:“700塊賣你一套軟件,你可以自己采集58數據。”并非店主慷慨,而是“這個軟件已經快爛大街了,有幾個團隊開發過針對58的采集軟件,更新過幾次版本,已經穩定運行了幾個月了,現在手里有軟件的人不在少數。”
20元/份簡歷變廉價批發
3月20日,支付700元購買軟件之后,記者用賣家提供的賬號登錄軟件,在檢索選項中選擇北京市、所有職業、2017年1月后更新過簡歷的活躍求職者,該軟件開始不斷采集信息,并且將所采集信息按照“姓名、手機號、求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶ID、更新簡歷時間”等格式自動錄入到excel表格中。
在檢索選項中,包括全國430多個城市,以及464個職業選項。該登錄賬號有效期為1個月,如果需要不斷獲取58簡歷最新數據,每個月都需要續費700元。
21世紀經濟報道記者在幾個小時內按照上述條件采集到約3萬條數據,根據該軟件每小時可以采集數千份數據,賣家告訴記者:“軟件對每個人的采集速度做出限制,采集的人太多,如果數據流太大,有可能會被58發現。但已經做好防御措施,放心用你的,不會被封。”
此外,賣家建議記者,如果想提高檢索速度,可以購買ADSL服務器,該服務器可以通過不斷更換IP的方式躲避58的監測,“一般采集量大的都會買這個。”
從采集結果中,記者聯系了數位在3月20日更新簡歷的求職者,后者向記者確認“今天更新了簡歷,并且投遞過簡歷”。
需要指出,58同城官網本身并未對求職者簡歷做出太多保護措施。在58同城官網上注冊的賬號均可搜索所有人簡歷,并查看年齡、頭像、學歷、學校等信息,但不能查看手機號。
如果需要查看求職者聯系方式,則需要獲取權限,向58“購買簡歷套餐”。根據官網信息,簡歷套餐分為5檔,最便宜的一檔僅可以查看6份簡歷,每份20元,總價120元。最高檔每份簡歷售價14.5元,可以查看138份,總價2000元。
日前,58同城發布財報,預計58同城將在2017年底成為中國最大的網絡招聘公司,并且預計招聘業務將在2017年增長50%左右,成為58集團旗下最大的業務。但如今,簡歷數據庫出現泄密情況,原本高價出售的簡歷信息現在均可廉價獲取。
目前,并不確定此類泄密事件對58影響幾何,但如果信息廣泛流通,一旦被詐騙分子利用,就可以根據求職者的求職意向、更新簡歷頻率、年齡、學校定制詐騙內容。2015年至今,多地公安機關發布公告,提醒求職者警惕招聘詐騙。
值得一提的是,在淘寶寶貝搜索欄中輸入“58簡歷”,搜索框下拉欄中會推薦“58簡歷電話查看”、“58簡歷采集工具”等關鍵詞,但是直接鍵入此類關鍵詞卻沒有對應結果。知情人士介紹:“說明淘寶上熱賣過這類產品,但后來被清理掉了。”
3月23日,記者就“有淘寶賣家大量出售58同城簡歷”、“簡歷數據泄露”等問題咨詢58同城相關部門人士。58同城回應記者稱:“58同城通過技術手段將求職者進行加密,除正常渠道下載外,58內部員工也無法查看簡歷電話號碼”,“58同城通過技術手段禁止了網絡爬蟲對58同城簡歷內容的抓取”,此外,58同城正在通過多種風控措施進一步保護求職者信息。
惡意爬蟲+移動端漏洞
不過,事實與58同城的回應略有出入。
3月23日,記者將該軟件以及信息泄露情況提供給多家安全機構,包括獵豹移動、安華金和等安全公司均告訴21世紀經濟報道記者:“這個采集軟件,是一個惡意爬蟲工具。”爬蟲軟件是一種收集大量信息時的常用軟件,而利用漏洞爬取信息則被稱為惡意爬蟲。
招聘網站允許企業、個人賬號搜索簡歷,是爬蟲軟件可以采集簡歷信息的入口。包括58同城、智聯招聘、前程無憂等大型招聘網站均提供簡歷搜索權限,搜索結果呈現大部分個人信息,但查看聯系方式則需要向網站付費。
安華金和安全攻防實驗室專家告訴記者,“涉及個人隱私的信息,應當防范爬蟲軟件。”該人士告訴記者,名為集搜客(GooSeeKer)的平臺提供了大量爬取58信息的爬蟲軟件。記者在GooSeeKer發現,多個爬取58本地商戶信息、汽車過戶聯系人信息、保潔公司信息、租房聯系人信息的爬蟲軟件在售。
目前,開始考慮隱私保護的平臺已經不再提供簡歷搜索服務。面向數百萬學生實習群體的“實習僧”CTO王承明告訴21世紀經濟報道記者:“給企業或者合作商開放權限過大,容易導致信息爬取。‘實習僧’杜絕企業直接搜索簡歷,企業下載簡歷的路徑也都是動態隨機生成,這樣避免過度傳播。”
理論上,爬蟲軟件只能爬取到部分簡歷信息。在招聘網站設置了聯系方式的閱讀權限之后,爬蟲軟件并不能爬取其聯系方式信息。但遺憾的是,“58同城存在多個安全技術漏洞的組合”,“白帽匯”創始人趙武告訴記者,一是58同城在移動端的一個接口導致可以批量獲取用戶的簡歷ID,以及加密不嚴謹的用戶ID信息,二是另一個接口導致用戶包括姓名等真實信息泄漏;三是58的微店程序能夠通過用戶ID獲取用戶的電話號碼,“其實這幾個漏洞任何一個都算不上是高危漏洞,但是在多個漏洞的組合情況下,就會造成大范圍的數據泄漏,可能被黑產用于電信欺詐等破壞性攻擊。”
記者截稿時,白帽匯已經復現了數據泄露的整個過程,并將漏洞整理向監管部門報備。
需要指出,該漏洞或許已經存在很長時間。在精易論壇、52破解等匯集了軟件開發者的論壇中,58同城簡歷采集工具、漏洞分析等相關文章從2016年初就開始不斷出現,還有不少開發者推廣自己開發的58簡歷采集工具。
目前,招聘行業普遍存在信息泄露風險。一位曾在智聯工作人士告訴記者:“內部對于信息保護并不嚴格,新來的實習生也可以跟主管要個賬號,登錄數據庫把求職者簡歷下載到個人電腦上,想下多少都可以,沒有限制。”
除此之外,有多個賣家在淘寶出售智聯招聘企業賬號,其中一個店主告訴記者:“一個賬號900元,可以下載200份簡歷。”該價格遠低于官方價格,根據一企業提供的智聯招聘合同顯示,“一個可以下載200份簡歷的賬號,一年3200元。”此外,前程無憂、獵聘網企業賬號也均有出售,均可下載簡歷。
