“58同城”數據外泄“ 700元可竊取全國簡歷
58同城的全國簡歷數據泄露了。
近日,21世紀經濟報道記者調查發現,有淘寶電商出售“58同城簡歷數據”。其中一位旺旺號為“lsgjart”的店鋪告訴記者:“一次購買2萬份以上,3毛一條;10萬以上,2毛一條。要多少有多少,全國同步實時更新。”根據該店主發來的少量簡歷信息測試,記者電話聯系的求職者均在58同城上投遞了簡歷,有人還在當天更新過自己的簡歷。
當然,出售數據者並非獨此一家。另一家店鋪按照2毛一條出售數據,並且在記者多次溝通下表示:“700塊賣你一套軟件,你可以自己采集58數據。”並非店主慷慨,而是“這個軟件已經快爛大街了,有幾個團隊開發過針對58的采集軟件,更新過幾次版本,已經穩定運行了幾個月了,現在手裡有軟件的人不在少數。”
20元/份簡歷變廉價批發
3月20日,支付700元購買軟件之後,記者用賣家提供的賬號登錄軟件,在檢索選項中選擇北京市、所有職業、2017年1月後更新過簡歷的活躍求職者,該軟件開始不斷采集信息,並且將所采集信息按照“姓名、手機號、求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶ID、更新簡歷時間”等格式自動錄入到excel表格中。
在檢索選項中,包括全國430多個城市,以及464個職業選項。該登錄賬號有效期為1個月,如果需要不斷獲取58簡歷最新數據,每個月都需要續費700元。
21世紀經濟報道記者在幾個小時內按照上述條件采集到約3萬條數據,根據該軟件每小時可以采集數千份數據,賣家告訴記者:“軟件對每個人的采集速度做出限制,采集的人太多,如果數據流太大,有可能會被58發現。但已經做好防御措施,放心用你的,不會被封。”
此外,賣家建議記者,如果想提高檢索速度,可以購買ADSL服務器,該服務器可以通過不斷更換IP的方式躲避58的監測,“一般采集量大的都會買這個。”
從采集結果中,記者聯系了數位在3月20日更新簡歷的求職者,後者向記者確認“今天更新了簡歷,並且投遞過簡歷”。
需要指出,58同城官網本身並未對求職者簡歷做出太多保護措施。在58同城官網上注冊的賬號均可搜索所有人簡歷,並查看年齡、頭像、學歷、學校等信息,但不能查看手機號。
如果需要查看求職者聯系方式,則需要獲取權限,向58“購買簡歷套餐”。根據官網信息,簡歷套餐分為5檔,最便宜的一檔僅可以查看6份簡歷,每份20元,總價120元。最高檔每份簡歷售價14.5元,可以查看138份,總價2000元。
日前,58同城發布財報,預計58同城將在2017年底成為中國最大的網絡招聘公司,並且預計招聘業務將在2017年增長50%左右,成為58集團旗下最大的業務。但如今,簡歷數據庫出現泄密情況,原本高價出售的簡歷信息現在均可廉價獲取。
目前,並不確定此類泄密事件對58影響幾何,但如果信息廣泛流通,一旦被詐騙分子利用,就可以根據求職者的求職意向、更新簡歷頻率、年齡、學校定制詐騙內容。2015年至今,多地公安機關發布公告,提醒求職者警惕招聘詐騙。
值得一提的是,在淘寶寶貝搜索欄中輸入“58簡歷”,搜索框下拉欄中會推薦“58簡歷電話查看”、“58簡歷采集工具”等關鍵詞,但是直接鍵入此類關鍵詞卻沒有對應結果。知情人士介紹:“說明淘寶上熱賣過這類產品,但後來被清理掉了。”
3月23日,記者就“有淘寶賣家大量出售58同城簡歷”、“簡歷數據泄露”等問題咨詢58同城相關部門人士。58同城回應記者稱:“58同城通過技術手段將求職者進行加密,除正常渠道下載外,58內部員工也無法查看簡歷電話號碼”,“58同城通過技術手段禁止了網絡爬蟲對58同城簡歷內容的抓取”,此外,58同城正在通過多種風控措施進一步保護求職者信息。
惡意爬蟲+移動端漏洞
不過,事實與58同城的回應略有出入。
3月23日,記者將該軟件以及信息泄露情況提供給多家安全機構,包括獵豹移動、安華金和等安全公司均告訴21世紀經濟報道記者:“這個采集軟件,是一個惡意爬蟲工具。”爬蟲軟件是一種收集大量信息時的常用軟件,而利用漏洞爬取信息則被稱為惡意爬蟲。
分享: |
注: | 在此頁閱讀全文 |