58同城曝重大個人信息泄密 :700元可看所有人簡歷業界
700元就可以自動獲得58同城的全國簡歷信息?近日,21世紀經濟報道有消息稱,淘寶電商出售“58同城簡歷數據”,店鋪商家表示700元可賣你一套軟件,來自行采集58數據信息。支付賬款后商家會提供相應軟件與對應賬號,用賬號登錄軟件,檢索過程中該軟件就會開始不斷采集信息,并且按格式自動錄入到excel表格中。
700元一套工具 58最新信息全采集
調查中發現,出售58信息數據的其中一位旺旺號為“lsgjart”的店鋪表示:“一次購買2萬份以上,3毛一條;10萬以上,2毛一條。要多少有多少,全國同步實時更新。”而根據該店主發來的少量簡歷信息,并按簡歷中的聯系方式打過去后獲悉,求職者均在58同城上投遞了簡歷,甚至有人還在當天更新過簡歷,倒也確實應了店家那句“全國同步實時更新”。
無獨有偶,另一家店鋪則是按照2毛一條在出售相關數據,他甚至表示700塊可以賣你一套軟件,自己就能在58上采集數據。
這700元得來的軟件功能也是相當大的,用賣家提供的賬號登錄,在選項中選擇上海市、所有職業、2017年1月后更新過簡歷的活躍求職者,然后開始檢索,該軟件便開始不斷采集信息,且將所采集信息按照“姓名、手機號、求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶ID、更新簡歷時間”等格式自動錄入到excel表格中。
此軟件每小時可以采集數千份數據。根據采集到的信息進行聯系確實,發現其中就當天更新并且投遞過簡歷的用戶。
而這些檢索選項中,包括有全國430多個城市、464個職業選項,這是一個相當可怕的數據。軟件賬號有效期為1個月,想看到實時最新數據就需每月續費700元。
在我們為竟然會有這樣的軟件而感到震驚的同時,店主卻表示這都是快爛大街的軟件了,曾有幾個團隊開發過這種針對58的采集軟件,也更新過幾次版本,目前已穩定運行數月了,所以現在手里有軟件的人不在少數。
對此,藍鯨TMT以“58簡歷”為關鍵詞在淘寶搜索欄中進行輸入發現,其搜索框的下拉選項中會推薦“58簡歷電話查看”、“58簡歷采集工具”等關鍵詞且這類關鍵詞在選項前三位置排列,但直接輸入完整關鍵詞卻沒有對應結果。知情人士表示,這說明此類關鍵詞的產品在淘寶上熱賣過,但后來被清理掉了。
事實上58同城官網本身對與求職者簡歷的保護措施就沒有做到位。普通用戶只要在58同城上注冊的賬號,均可搜索所有人簡歷并查看其年齡、頭像、學歷、學校、工作經歷等信息,只除了不能查看手機號。
但不能查看聯系方式這一點也很好解決,向58官方“購買簡歷套餐”。根據官網信息,簡歷套餐有5檔,最便宜僅可查看6份簡歷,每份20元,總價120元。最高檔的每份14.5元,可以查看138份,總價2000元。
對于“淘寶賣家出售大量58同城簡歷”、“58同城簡歷數據泄露”等問題,58同城回應稱, 58通過技術手段將求職者進行加密,除正常渠道下載外,58內部員工也無法查看簡歷電話號碼,同時58表示,已通過技術手段禁止了網絡爬蟲對58同城簡歷內容的抓取,同時也正在通過多種風控措施進一步保護求職者信息。
那事實真的如58所說的那樣么?
惡意爬蟲軟件利用漏洞橫行無阻
將該采集軟件以及信息泄露的情況提供給多家安全機構,包括安華金、獵豹移動等,這些安全公司均表示,此軟件是一個惡意爬蟲工具。這里要說的是爬蟲軟件是一種專門收集大量信息時的常用軟件,而惡意爬蟲軟件是指利用技術漏洞來爬取各類信息的惡意軟件。
在招聘網站允許企業、個人賬號來搜索簡歷的同時,也為爬蟲軟件提供了可以采集簡歷信息的便利入口。其實不止58同城,智聯招聘、前程無憂等大型招聘網站都在提供簡歷搜索的權限,搜索結果中會呈現大部分個人信息,僅聯系方式需要向網站付費。
安華金和安全攻防實驗室認為, 涉及個人隱私的信息就更應當防范爬蟲軟件。該人士同時透露,一個名為集搜客(GooSeeKer)的平臺提供了大量可爬取58信息的爬蟲軟件。藍鯨TMT搜索后發現,該平臺上確實有多款爬取58供應商信息、汽車過戶聯系人信息、保潔公司信息、租房聯系人信息的爬蟲軟件在售。
理論上,只要招聘網站沒有技術漏洞,在設置了聯系方式權限之后,爬蟲軟件并不能爬取到其聯系方式,僅能爬取到部分的簡歷信息。但很顯然58同城存在這多個安全技術漏洞的組合。這就與58同城的回應有所出入了。
“白帽匯”創始人趙武認為出現漏洞有三個原因, 一是58同城在移動端的一個接口導致爬蟲軟件可以批量獲取用戶的簡歷ID,以及一些加密不嚴謹的用戶ID信息;二是移動端另一個接口導致了用戶的姓名等真實信息的泄漏;三是58的微店程序能夠通過用戶ID獲取到用戶的電話號碼等聯系方式。
趙武表示,其實這幾個漏洞中任何一個都算不上高危漏洞,但是在多個漏洞的組合情況下,就會造成大范圍的數據泄漏,可能也被用于電信欺詐等破壞性攻擊。
據調查,淘寶除了銷售58簡歷信息外,也同時在出售智聯招聘、前程無憂、獵聘網等企業賬號的簡歷數據信息。
一位曾在智聯招聘工作的人士也透露,智聯內部對于信息保護并不嚴格,就連新來的實習生也可以跟主管要個賬號,登錄數據庫將求職者簡歷下載到個人電腦上,并且想下多少都可以完全沒有限制。
58同城簡歷采集工具、漏洞分析等相關文章從2016年初就陸續不斷的出現,不信可以去精易論壇、52破解等匯集了軟件開發者的論壇中找找,上面還有不少開發者在推廣自己開發的58簡歷采集工具。
由此可見目前招聘行業普遍存在著信息泄露的風險,各類漏洞也方便惡意爬蟲軟件的入侵,而漏洞或許已經存在很長時間。
【來源:藍鯨TMT 作者:賈瓊】
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
