段冬简历 58同城被曝简历数据泄露:700元可采集全国简历信息
3月23日,记者将该软件以及信息泄露情况提供给多家安全机构,包括猎豹移动、安华金和等安全公司均告诉21世纪经济报道记者:"这个采集软件,是一个恶意爬虫工具。"爬虫软件是一种收集大量信息时的常用软件,而利用漏洞爬取信息则被称为恶意爬虫。
招聘网站允许企业、个人账号搜索简历,是爬虫软件可以采集简历信息的入口。包括58同城、智联招聘、前程无忧等大型招聘网站均提供简历搜索权限,搜索结果呈现大部分个人信息,但查看联系方式则需要向网站付费。
安华金和安全攻防实验室专家告诉记者,"涉及个人隐私的信息,应当防范爬虫软件。"该人士告诉记者,名为集搜客(GooSeeKer)的平台提供了大量爬取58信息的爬虫软件。记者在GooSeeKer发现,多个爬取58本地商户信息、汽车过户联系人信息、保洁公司信息、租房联系人信息的爬虫软件在售。
目前,开始考虑隐私保护的平台已经不再提供简历搜索服务。面向数百万学生实习群体的"实习僧"CTO王承明告诉21世纪经济报道记者:"给企业或者合作商开放权限过大,容易导致信息爬取。‘实习僧’杜绝企业直接搜索简历,企业下载简历的路径也都是动态随机生成,这样避免过度传播。"
理论上,爬虫软件只能爬取到部分简历信息。在招聘网站设置了联系方式的阅读权限之后,爬虫软件并不能爬取其联系方式信息。但遗憾的是,"58同城存在多个安全技术漏洞的组合","白帽汇"创始人赵武告诉记者,一是58同城在移动端的一个接口导致可以批量获取用户的简历ID,以及加密不严谨的用户ID信息,二是另一个接口导致用户包括姓名等真实信息泄漏;三是58的微店程序能够通过用户ID获取用户的电话号码,"其实这几个漏洞任何一个都算不上是高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能被黑产用于电信欺诈等破坏性攻击。
"
记者截稿时,白帽汇已经复现了数据泄露的整个过程,并将漏洞整理向监管部门报备。
需要指出,该漏洞或许已经存在很长时间。在精易论坛、52破解等汇集了软件开发者的论坛中,58同城简历采集工具、漏洞分析等相关文章从2016年初就开始不断出现,还有不少开发者推广自己开发的58简历采集工具。
目前,招聘行业普遍存在信息泄露风险。一位曾在智联工作人士告诉记者:"内部对于信息保护并不严格,新来的实习生也可以跟主管要个账号,登录数据库把求职者简历下载到个人电脑上,想下多少都可以,没有限制。"
除此之外,有多个卖家在淘宝出售智联招聘企业账号,其中一个店主告诉记者:"一个账号900元,可以下载200份简历。"该价格远低于官方价格,根据一企业提供的智联招聘合同显示,"一个可以下载200份简历的账号,一年3200元。"此外,前程无忧、猎聘网企业账号也均有出售,均可下载简历。