惡意爬蟲+移動端漏洞

　　不過，事實(shí)與58同城的回應(yīng)略有出入。

　　3月23日，記者將該軟件以及信息泄露情況提供給多家安全機(jī)構(gòu)，包括獵豹移動、安華金和等安全公司均告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者：“這個(gè)采集軟件，是一個(gè)惡意爬蟲工具。”爬蟲軟件是一種收集大量信息時(shí)的常用軟件，而利用漏洞爬取信息則被稱為惡意爬蟲。

　　招聘網(wǎng)站允許企業(yè)、個(gè)人賬號搜索簡歷，是爬蟲軟件可以采集簡歷信息的入口。包括58同城、智聯(lián)招聘、前程無憂等大型招聘網(wǎng)站均提供簡歷搜索權(quán)限，搜索結(jié)果呈現(xiàn)大部分個(gè)人信息，但查看聯(lián)系方式則需要向網(wǎng)站付費(fèi)。

　　安華金和安全攻防實(shí)驗(yàn)室專家告訴記者，“涉及個(gè)人隱私的信息，應(yīng)當(dāng)防范爬蟲軟件。”該人士告訴記者，名為集搜客（GooSeeKer）的平臺提供了大量爬取58信息的爬蟲軟件。記者在GooSeeKer發(fā)現(xiàn)，多個(gè)爬取58本地商戶信息、汽車過戶聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息的爬蟲軟件在售。

　　目前，開始考慮隱私保護(hù)的平臺已經(jīng)不再提供簡歷搜索服務(wù)。面向數(shù)百萬學(xué)生實(shí)習(xí)群體的“實(shí)習(xí)僧”CTO王承明告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者：“給企業(yè)或者合作商開放權(quán)限過大，容易導(dǎo)致信息爬取。‘實(shí)習(xí)僧’杜絕企業(yè)直接搜索簡歷，企業(yè)下載簡歷的路徑也都是動態(tài)隨機(jī)生成，這樣避免過度傳播。”

　　理論上，爬蟲軟件只能爬取到部分簡歷信息。在招聘網(wǎng)站設(shè)置了聯(lián)系方式的閱讀權(quán)限之后，爬蟲軟件并不能爬取其聯(lián)系方式信息。但遺憾的是，“58同城存在多個(gè)安全技術(shù)漏洞的組合”，“白帽匯”創(chuàng)始人趙武告訴記者，一是58同城在移動端的一個(gè)接口導(dǎo)致可以批量獲取用戶的簡歷ID，以及加密不嚴(yán)謹(jǐn)?shù)挠脩鬒D信息，二是另一個(gè)接口導(dǎo)致用戶包括姓名等真實(shí)信息泄漏；三是58的微店程序能夠通過用戶ID獲取用戶的電話號碼，“其實(shí)這幾個(gè)漏洞任何一個(gè)都算不上是高危漏洞，但是在多個(gè)漏洞的組合情況下，就會造成大范圍的數(shù)據(jù)泄漏，可能被黑產(chǎn)用于電信欺詐等破壞性攻擊。”

　　記者截稿時(shí)，白帽匯已經(jīng)復(fù)現(xiàn)了數(shù)據(jù)泄露的整個(gè)過程，并將漏洞整理向監(jiān)管部門報(bào)備。

　　需要指出，該漏洞或許已經(jīng)存在很長時(shí)間。在精易論壇、52破解等匯集了軟件開發(fā)者的論壇中，58同城簡歷采集工具、漏洞分析等相關(guān)文章從2016年初就開始不斷出現(xiàn)，還有不少開發(fā)者推廣自己開發(fā)的58簡歷采集工具。

　　目前，招聘行業(yè)普遍存在信息泄露風(fēng)險(xiǎn)。一位曾在智聯(lián)工作人士告訴記者：“內(nèi)部對于信息保護(hù)并不嚴(yán)格，新來的實(shí)習(xí)生也可以跟主管要個(gè)賬號，登錄數(shù)據(jù)庫把求職者簡歷下載到個(gè)人電腦上，想下多少都可以，沒有限制。”

　　除此之外，有多個(gè)賣家在淘寶出售智聯(lián)招聘企業(yè)賬號，其中一個(gè)店主告訴記者：“一個(gè)賬號900元，可以下載200份簡歷。”該價(jià)格遠(yuǎn)低于官方價(jià)格，根據(jù)一企業(yè)提供的智聯(lián)招聘合同顯示，“一個(gè)可以下載200份簡歷的賬號，一年3200元。”此外，前程無憂、獵聘網(wǎng)企業(yè)賬號也均有出售，均可下載簡歷。

　?。ㄔ瓨?biāo)題：58同城陷數(shù)據(jù)泄露:700元可采集網(wǎng)站全國簡歷信息）