偷窺|58簡歷洩露，兩毛錢你就被賣了

1

58同城的全國簡歷資料洩露了。

其中一位旺旺號為“lsgjart”的店鋪告訴《21世紀經濟報道》記者：“一次購買2萬份以上，3毛一條；10萬以上，2毛一條。要多少有多少，全國同步實時更新。”

根據該店主發來的少量簡歷資訊測試，《21世紀經濟報道》記者電話聯絡的求職者均在58同城上投遞了簡歷，有人還在當天更新過自己的簡歷。

當然，出售資料者並非獨此一家。另一家店鋪按照2毛一條出售資料，並且表示：“700塊賣你一套軟體，你可以自己採集58資料。”

並非店主慷慨，而是“這個軟體已經快爛大街了，有幾個團隊開發過針對58的採集軟體，更新過幾次版本，已經穩定運行了幾個月了，現在手裡有軟體的人不在少數。”

2

20元/份簡歷變廉價批發

3月20日，支付700元購買軟體之後，《21世紀經濟報道》記者用賣家提供的賬號登入軟體。

在檢索選項中選擇北京市、所有職業、2017年1月後更新過簡歷的活躍求職者，該軟體開始不斷採集資訊。

並且將所採集資訊按照“姓名、手機號、求職方向、年齡、期望月薪、工作經驗、居住地、學歷、使用者ID、更新簡歷時間”等格式自動錄入到excel表格中。

在檢索選項中，包括全國430多個城市，以及464個職業選項。該登入賬號有效期為1個月，如果需要不斷獲取58簡歷最新資料，每個月都需要續費700元。

在幾個小時內按照上述條件採集到約3萬條資料，根據該軟體每小時可以採集數千份資料。

賣家告訴《21世紀經濟報道》記者：“軟體對每個人的採集速度做出限制，採集的人太多，如果資料流太大，有可能會被58發現。但已經做好防禦措施，放心用你的，不會被封。”

此外，賣家建議《21世紀經濟報道》記者，如果想提高檢索速度，可以購買ADSL伺服器，該伺服器可以透過不斷更換IP的方式躲避58的監測，“一般採集量大的都會買這個。”

並且資料是真實的，有聯絡求職者確認“今天更新了簡歷，並且投遞過簡歷”。

需要指出，58同城官網本身並未對求職者簡歷做出太多保護措施。在58同城官網上註冊的賬號均可搜尋所有人簡歷，並檢視年齡、頭像、學歷、學校等資訊，但不能檢視手機號。

如果需要檢視求職者聯絡方式，則需要獲取許可權，向58“購買簡歷套餐”。根據官網資訊，簡歷套餐分為5檔，最便宜的一檔僅可以檢視6份簡歷，每份20元，總價120元。最高檔每份簡歷售價14。5元，可以檢視138份，總價2000元。

目前，並不確定此類洩密事件對58影響，但如果資訊廣泛流通，一旦被詐騙分子利用，就可以根據求職者的求職意向、更新簡歷頻率、年齡、學校定製詐騙內容。2015年至今，多地公安機關釋出公告，提醒求職者警惕招聘詐騙。

值得一提的是，在淘寶寶貝搜尋欄中輸入“58簡歷”，搜尋框下拉欄中會推薦“58簡歷電話檢視”、“58簡歷採集工具”等關鍵詞，但是直接鍵入此類關鍵詞卻沒有對應結果。知情人士介紹：“說明淘寶上熱賣過這類產品，但後來被清理掉了。”

3月23日，《21世紀經濟報道》記者就“有淘寶賣家大量出售58同城簡歷”、“簡歷資料洩露”等問題諮詢58同城相關部門人士。

58同城迴應《21世紀經濟報道》記者稱：“58同城透過技術手段將求職者進行加密，除正常渠道下載外，58內部員工也無法檢視簡歷電話號碼”。

“58同城透過技術手段禁止了網路爬蟲對58同城簡歷內容的抓取”，此外，58同城正在透過多種風控措施進一步保護求職者資訊。

3

惡意爬蟲+移動端漏洞

不過，事實與58同城的迴應略有出入。

3月23日，《21世紀經濟報道》記者將該軟體以及資訊洩露情況提供給多家安全機構，包括獵豹移動、安華金和等安全公司表示：“這個採集軟體，是一個惡意爬蟲工具。”

爬蟲軟體是一種收集大量資訊時的常用軟體，而利用漏洞爬取資訊則被稱為惡意爬蟲。

招聘網站允許企業、個人賬號搜尋簡歷，是爬蟲軟體可以採集簡歷資訊的入口。包括58同城、智聯招聘、前程無憂等大型招聘網站均提供簡歷搜尋許可權，搜尋結果呈現大部分個人資訊，但檢視聯絡方式則需要向網站付費。

安華金和安全攻防實驗室專家告訴《21世紀經濟報道》記者，“涉及個人隱私的資訊，應當防範爬蟲軟體。”

該人士告訴《21世紀經濟報道》記者，名為集搜客（GooSeeKer）的平臺提供了大量爬取58資訊的爬蟲軟體。《21世紀經濟報道》記者在GooSeeKer發現，多個爬取58本地商戶資訊、汽車過戶聯絡人資訊、保潔公司資訊、租房聯絡人資訊的爬蟲軟體在售。

目前，開始考慮隱私保護的平臺已經不再提供簡歷搜尋服務。

“給企業或者合作商開放許可權過大，容易導致資訊爬取。杜絕企業直接搜尋簡歷，企業下載簡歷的路徑也都是動態隨機生成，這樣避免過度傳播。”

理論上，爬蟲軟體只能爬取到部分簡歷資訊。在招聘網站設定了聯絡方式的閱讀許可權之後，爬蟲軟體並不能爬取其聯絡方式資訊。

但遺憾的是，“58同城存在多個安全技術漏洞的組合”。

“白帽匯”創始人趙武告訴《21世紀經濟報道》記者，

一是58同城在移動端的一個介面導致可以批次獲取使用者的簡歷ID，以及加密不嚴謹的使用者ID資訊；

二是另一個介面導致使用者包括姓名等真實資訊洩漏；

三是58的微店程式能夠透過使用者ID獲取使用者的電話號碼，“其實這幾個漏洞任何一個都算不上是高危漏洞，但是在多個漏洞的組合情況下，就會造成大範圍的資料洩漏，可能被黑產用於電信欺詐等破壞性攻擊。”

白帽匯已經復現了資料洩露的整個過程，並將漏洞整理向監管部門報備。

需要指出，該漏洞或許已經存在很長時間。在精易論壇、52破解等彙集了軟體開發者的論壇中，58同城簡歷採集工具、漏洞分析等相關文章從2016年初就開始不斷出現，還有不少開發者推廣自己開發的58簡歷採集工具。

4

招聘行業普遍存在洩露風險。

一位曾在智聯工作人士告訴《21世紀經濟報道》記者：“內部對於資訊保護並不嚴格，新來的實習生也可以跟主管要個賬號，登入資料庫把求職者簡歷下載到個人電腦上，想下多少都可以，沒有限制。”

除此之外，有多個賣家在淘寶出售智聯招聘企業賬號，其中一個店主告訴《21世紀經濟報道》記者：“一個賬號900元，可以下載200份簡歷。”

該價格遠低於官方價格，根據一企業提供的智聯招聘合同顯示，“一個可以下載200份簡歷的賬號，一年3200元。”此外，前程無憂、獵聘網企業賬號也均有出售，均可下載簡歷。