惡意爬蟲+移動端漏洞

　　不過，事實與58同城的回應略有出入。

　　3月23日，記者將該軟件以及信息泄露情況提供給多家安全機構，包括獵豹移動、安華金和等安全公司均告訴21世紀經(jīng)濟報道記者：“這個采集軟件，是一個惡意爬蟲工具。”爬蟲軟件是一種收集大量信息時的常用軟件，而利用漏洞爬取信息則被稱為惡意爬蟲。

　　招聘網(wǎng)站允許企業(yè)、個人賬號搜索簡歷，是爬蟲軟件可以采集簡歷信息的入口。包括58同城、智聯(lián)招聘、前程無憂等大型招聘網(wǎng)站均提供簡歷搜索權限，搜索結果呈現(xiàn)大部分個人信息，但查看聯(lián)系方式則需要向網(wǎng)站付費。

　　安華金和安全攻防實驗室專家告訴記者，“涉及個人隱私的信息，應當防范爬蟲軟件。”該人士告訴記者，名為集搜客（GooSeeKer）的平臺提供了大量爬取58信息的爬蟲軟件。記者在GooSeeKer發(fā)現(xiàn)，多個爬取58本地商戶信息、汽車過戶聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息的爬蟲軟件在售。

　　目前，開始考慮隱私保護的平臺已經(jīng)不再提供簡歷搜索服務。面向數(shù)百萬學生實習群體的“實習僧”CTO王承明告訴21世紀經(jīng)濟報道記者：“給企業(yè)或者合作商開放權限過大，容易導致信息爬取。‘實習僧’杜絕企業(yè)直接搜索簡歷，企業(yè)下載簡歷的路徑也都是動態(tài)隨機生成，這樣避免過度傳播。”

　　理論上，爬蟲軟件只能爬取到部分簡歷信息。在招聘網(wǎng)站設置了聯(lián)系方式的閱讀權限之后，爬蟲軟件并不能爬取其聯(lián)系方式信息。但遺憾的是，“58同城存在多個安全技術漏洞的組合”，“白帽匯”創(chuàng)始人趙武告訴記者，一是58同城在移動端的一個接口導致可以批量獲取用戶的簡歷ID，以及加密不嚴謹?shù)挠脩鬒D信息，二是另一個接口導致用戶包括姓名等真實信息泄漏；三是58的微店程序能夠通過用戶ID獲取用戶的電話號碼，“其實這幾個漏洞任何一個都算不上是高危漏洞，但是在多個漏洞的組合情況下，就會造成大范圍的數(shù)據(jù)泄漏，可能被黑產(chǎn)用于電信欺詐等破壞性攻擊。”

　　記者截稿時，白帽匯已經(jīng)復現(xiàn)了數(shù)據(jù)泄露的整個過程，并將漏洞整理向監(jiān)管部門報備。

　　需要指出，該漏洞或許已經(jīng)存在很長時間。在精易論壇、52破解等匯集了軟件開發(fā)者的論壇中，58同城簡歷采集工具、漏洞分析等相關文章從2016年初就開始不斷出現(xiàn)，還有不少開發(fā)者推廣自己開發(fā)的58簡歷采集工具。

　　目前，招聘行業(yè)普遍存在信息泄露風險。一位曾在智聯(lián)工作人士告訴記者：“內(nèi)部對于信息保護并不嚴格，新來的實習生也可以跟主管要個賬號，登錄數(shù)據(jù)庫把求職者簡歷下載到個人電腦上，想下多少都可以，沒有限制。”

　　除此之外，有多個賣家在淘寶出售智聯(lián)招聘企業(yè)賬號，其中一個店主告訴記者：“一個賬號900元，可以下載200份簡歷。”該價格遠低于官方價格，根據(jù)一企業(yè)提供的智聯(lián)招聘合同顯示，“一個可以下載200份簡歷的賬號，一年3200元。”此外，前程無憂、獵聘網(wǎng)企業(yè)賬號也均有出售，均可下載簡歷。

　　（原標題：58同城陷數(shù)據(jù)泄露:700元可采集網(wǎng)站全國簡歷信息）