58同城曝重大个人信息泄密 :700元可看所有人简历业界
700元就可以自动获得58同城的全国简历信息?近日,21世纪经济报道有消息称,淘宝电商出售“58同城简历数据”,店铺商家表示700元可卖你一套软件,来自行采集58数据信息。支付账款后商家会提供相应软件与对应账号,用账号登录软件,检索过程中该软件就会开始不断采集信息,并且按格式自动录入到excel表格中。
700元一套工具 58最新信息全采集
调查中发现,出售58信息数据的其中一位旺旺号为“lsgjart”的店铺表示:“一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”而根据该店主发来的少量简历信息,并按简历中的联系方式打过去后获悉,求职者均在58同城上投递了简历,甚至有人还在当天更新过简历,倒也确实应了店家那句“全国同步实时更新”。
无独有偶,另一家店铺则是按照2毛一条在出售相关数据,他甚至表示700块可以卖你一套软件,自己就能在58上采集数据。
这700元得来的软件功能也是相当大的,用卖家提供的账号登录,在选项中选择上海市、所有职业、2017年1月后更新过简历的活跃求职者,然后开始检索,该软件便开始不断采集信息,且将所采集信息按照“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等格式自动录入到excel表格中。
此软件每小时可以采集数千份数据。根据采集到的信息进行联系确实,发现其中就当天更新并且投递过简历的用户。
而这些检索选项中,包括有全国430多个城市、464个职业选项,这是一个相当可怕的数据。软件账号有效期为1个月,想看到实时最新数据就需每月续费700元。
在我们为竟然会有这样的软件而感到震惊的同时,店主却表示这都是快烂大街的软件了,曾有几个团队开发过这种针对58的采集软件,也更新过几次版本,目前已稳定运行数月了,所以现在手里有软件的人不在少数。
对此,蓝鲸TMT以“58简历”为关键词在淘宝搜索栏中进行输入发现,其搜索框的下拉选项中会推荐“58简历电话查看”、“58简历采集工具”等关键词且这类关键词在选项前三位置排列,但直接输入完整关键词却没有对应结果。知情人士表示,这说明此类关键词的产品在淘宝上热卖过,但后来被清理掉了。
事实上58同城官网本身对与求职者简历的保护措施就没有做到位。普通用户只要在58同城上注册的账号,均可搜索所有人简历并查看其年龄、头像、学历、学校、工作经历等信息,只除了不能查看手机号。
但不能查看联系方式这一点也很好解决,向58官方“购买简历套餐”。根据官网信息,简历套餐有5档,最便宜仅可查看6份简历,每份20元,总价120元。最高档的每份14.5元,可以查看138份,总价2000元。
对于“淘宝卖家出售大量58同城简历”、“58同城简历数据泄露”等问题,58同城回应称, 58通过技术手段将求职者进行加密,除正常渠道下载外,58内部员工也无法查看简历电话号码,同时58表示,已通过技术手段禁止了网络爬虫对58同城简历内容的抓取,同时也正在通过多种风控措施进一步保护求职者信息。
那事实真的如58所说的那样么?
恶意爬虫软件利用漏洞横行无阻
将该采集软件以及信息泄露的情况提供给多家安全机构,包括安华金、猎豹移动等,这些安全公司均表示,此软件是一个恶意爬虫工具。这里要说的是爬虫软件是一种专门收集大量信息时的常用软件,而恶意爬虫软件是指利用技术漏洞来爬取各类信息的恶意软件。
在招聘网站允许企业、个人账号来搜索简历的同时,也为爬虫软件提供了可以采集简历信息的便利入口。其实不止58同城,智联招聘、前程无忧等大型招聘网站都在提供简历搜索的权限,搜索结果中会呈现大部分个人信息,仅联系方式需要向网站付费。
安华金和安全攻防实验室认为, 涉及个人隐私的信息就更应当防范爬虫软件。该人士同时透露,一个名为集搜客(GooSeeKer)的平台提供了大量可爬取58信息的爬虫软件。蓝鲸TMT搜索后发现,该平台上确实有多款爬取58供应商信息、汽车过户联系人信息、保洁公司信息、租房联系人信息的爬虫软件在售。
理论上,只要招聘网站没有技术漏洞,在设置了联系方式权限之后,爬虫软件并不能爬取到其联系方式,仅能爬取到部分的简历信息。但很显然58同城存在这多个安全技术漏洞的组合。这就与58同城的回应有所出入了。
“白帽汇”创始人赵武认为出现漏洞有三个原因, 一是58同城在移动端的一个接口导致爬虫软件可以批量获取用户的简历ID,以及一些加密不严谨的用户ID信息;二是移动端另一个接口导致了用户的姓名等真实信息的泄漏;三是58的微店程序能够通过用户ID获取到用户的电话号码等联系方式。
赵武表示,其实这几个漏洞中任何一个都算不上高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能也被用于电信欺诈等破坏性攻击。
据调查,淘宝除了销售58简历信息外,也同时在出售智联招聘、前程无忧、猎聘网等企业账号的简历数据信息。
一位曾在智联招聘工作的人士也透露,智联内部对于信息保护并不严格,就连新来的实习生也可以跟主管要个账号,登录数据库将求职者简历下载到个人电脑上,并且想下多少都可以完全没有限制。
58同城简历采集工具、漏洞分析等相关文章从2016年初就陆续不断的出现,不信可以去精易论坛、52破解等汇集了软件开发者的论坛中找找,上面还有不少开发者在推广自己开发的58简历采集工具。
由此可见目前招聘行业普遍存在着信息泄露的风险,各类漏洞也方便恶意爬虫软件的入侵,而漏洞或许已经存在很长时间。
【来源:蓝鲸TMT 作者:贾琼】
1.砍柴网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为砍柴网或将追究责任;3.作者投稿可能会经砍柴网编辑修改或补充。