支付 700 元购买软件之后,记者用卖家提供的账号登陆软件,该软件可以不断采集信息,并且将所采集信息自动录入到 excel 表格中。
58 同城的全国简历数据泄露了。
近日,21 世纪经济报道记者调查发现,有淘宝电商出售 "58 同城简历数据 "。其中一位旺旺号为 "lsgjart" 的店铺告诉记者:" 一次购买 2 万份以上,3 毛一条;10 万以上,2 毛一条。要多少有多少,全国同步实时更新。" 根据该店主发来的少量简历信息测试,记者电话联系的求职者均在 58 同城上投递了简历,有人还在当天更新过自己的简历。
当然,出售数据者并非独此一家。另一家店铺按照 2 毛一条出售数据,并且在记者多次沟通下表示:"700 块卖你一套软件,你可以自己采集 58 数据。" 并非店主慷慨,而是 " 这个软件已经快烂大街了,有几个团队开发过针对 58 的采集软件,更新过几次版本,已经稳定运行了几个月了,现在手里有软件的人不在少数。"
20 元 / 份简历变廉价批发
3 月 20 日,支付 700 元购买软件之后,记者用卖家提供的账号登录软件,在检索选项中选择北京市、所有职业、2017 年 1 月后更新过简历的活跃求职者,该软件开始不断采集信息,并且将所采集信息按照 " 姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户 ID、更新简历时间 " 等格式自动录入到 excel 表格中。
在检索选项中,包括全国 430 多个城市,以及 464 个职业选项。该登录账号有效期为 1 个月,如果需要不断获取 58 简历最新数据,每个月都需要续费 700 元。
21 世纪经济报道记者在几个小时内按照上述条件采集到约 3 万条数据,根据该软件每小时可以采集数千份数据,卖家告诉记者:" 软件对每个人的采集速度做出限制,采集的人太多,如果数据流太大,有可能会被 58 发现。但已经做好防御措施,放心用你的,不会被封。"
此外,卖家建议记者,如果想提高检索速度,可以购买 ADSL 服务器,该服务器可以通过不断更换 IP 的方式躲避 58 的监测," 一般采集量大的都会买这个。"
从采集结果中,记者联系了数位在 3 月 20 日更新简历的求职者,后者向记者确认 " 今天更新了简历,并且投递过简历 "。
需要指出,58 同城官网本身并未对求职者简历做出太多保护措施。在 58 同城官网上注册的账号均可搜索所有人简历,并查看年龄、头像、学历、学校等信息,但不能查看手机号。
如果需要查看求职者联系方式,则需要获取权限,向 58" 购买简历套餐 "。根据官网信息,简历套餐分为 5 档,最便宜的一档仅可以查看 6 份简历,每份 20 元,总价 120 元。最高档每份简历售价 14.5 元,可以查看 138 份,总价 2000 元。
日前,58 同城发布财报,预计 58 同城将在 2017 年底成为中国最大的网络招聘公司,并且预计招聘业务将在 2017 年增长 50% 左右,成为 58 集团旗下最大的业务。但如今,简历数据库出现泄密情况,原本高价出售的简历信息现在均可廉价获取。
目前,并不确定此类泄密事件对 58 影响几何,但如果信息广泛流通,一旦被诈骗分子利用,就可以根据求职者的求职意向、更新简历频率、年龄、学校定制诈骗内容。2015 年至今,多地公安机关发布公告,提醒求职者警惕招聘诈骗。
值得一提的是,在淘宝宝贝搜索栏中输入 "58 简历 ",搜索框下拉栏中会推荐 "58 简历电话查看 "、"58 简历采集工具 " 等关键词,但是直接键入此类关键词却没有对应结果。知情人士介绍:" 说明淘宝上热卖过这类产品,但后来被清理掉了。"
3 月 23 日,记者就 " 有淘宝卖家大量出售 58 同城简历 "、" 简历数据泄露 " 等问题咨询 58 同城相关部门人士。58 同城回应记者称:"58 同城通过技术手段将求职者进行加密,除正常渠道下载外,58 内部员工也无法查看简历电话号码 ","58 同城通过技术手段禁止了网络爬虫对 58 同城简历内容的抓取 ",此外,58 同城正在通过多种风控措施进一步保护求职者信息。
恶意爬虫 + 移动端漏洞
不过,事实与 58 同城的回应略有出入。
3 月 23 日,记者将该软件以及信息泄露情况提供给多家安全机构,包括猎豹移动、安华金和等安全公司均告诉 21 世纪经济报道记者:" 这个采集软件,是一个恶意爬虫工具。" 爬虫软件是一种收集大量信息时的常用软件,而利用漏洞爬取信息则被称为恶意爬虫。
招聘网站允许企业、个人账号搜索简历,是爬虫软件可以采集简历信息的入口。包括 58 同城、智联招聘、前程无忧等大型招聘网站均提供简历搜索权限,搜索结果呈现大部分个人信息,但查看联系方式则需要向网站付费。
安华金和安全攻防实验室专家告诉记者," 涉及个人隐私的信息,应当防范爬虫软件。" 该人士告诉记者,名为集搜客(GooSeeKer)的平台提供了大量爬取 58 信息的爬虫软件。记者在 GooSeeKer 发现,多个爬取 58 本地商户信息、汽车过户联系人信息、保洁公司信息、租房联系人信息的爬虫软件在售。
目前,开始考虑隐私保护的平台已经不再提供简历搜索服务。面向数百万学生实习群体的 " 实习僧 "CTO 王承明告诉 21 世纪经济报道记者:" 给企业或者合作商开放权限过大,容易导致信息爬取。‘实习僧’杜绝企业直接搜索简历,企业下载简历的路径也都是动态随机生成,这样避免过度传播。"
理论上,爬虫软件只能爬取到部分简历信息。在招聘网站设置了联系方式的阅读权限之后,爬虫软件并不能爬取其联系方式信息。但遗憾的是,"58 同城存在多个安全技术漏洞的组合 "," 白帽汇 " 创始人赵武告诉记者,一是 58 同城在移动端的一个接口导致可以批量获取用户的简历 ID,以及加密不严谨的用户 ID 信息,二是另一个接口导致用户包括姓名等真实信息泄漏;三是 58 的微店程序能够通过用户 ID 获取用户的电话号码," 其实这几个漏洞任何一个都算不上是高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能被黑产用于电信欺诈等破坏性攻击。"
记者截稿时,白帽汇已经复现了数据泄露的整个过程,并将漏洞整理向监管部门报备。
需要指出,该漏洞或许已经存在很长时间。在精易论坛、52 破解等汇集了软件开发者的论坛中,58 同城简历采集工具、漏洞分析等相关文章从 2016 年初就开始不断出现,还有不少开发者推广自己开发的 58 简历采集工具。
目前,招聘行业普遍存在信息泄露风险。一位曾在智联工作人士告诉记者:" 内部对于信息保护并不严格,新来的实习生也可以跟主管要个账号,登录数据库把求职者简历下载到个人电脑上,想下多少都可以,没有限制。"
除此之外,有多个卖家在淘宝出售智联招聘企业账号,其中一个店主告诉记者:" 一个账号 900 元,可以下载 200 份简历。" 该价格远低于官方价格,根据一企业提供的智联招聘合同显示," 一个可以下载 200 份简历的账号,一年 3200 元。" 此外,前程无忧、猎聘网企业账号也均有出售,均可下载简历。
