映象新聞

　　支付700元購買軟件之后，記者用賣家提供的賬號登陸軟件，該軟件可以不斷采集信息，并且將所采集信息自動錄入到excel表格中。

　　58同城的全國簡歷數據泄露了。

　　近日，21世紀經濟報道記者調查發現，有淘寶電商出售“58同城簡歷數據”。其中一位旺旺號為“lsgjart”的店鋪告訴記者：“一次購買2萬份以上，3毛一條；10萬以上，2毛一條。要多少有多少，全國同步實時更新。”根據該店主發來的少量簡歷信息測試，記者電話聯系的求職者均在58同城上投遞了簡歷，有人還在當天更新過自己的簡歷。

　　當然，出售數據者并非獨此一家。另一家店鋪按照2毛一條出售數據，并且在記者多次溝通下表示：“700塊賣你一套軟件，你可以自己采集58數據。”并非店主慷慨，而是“這個軟件已經快爛大街了，有幾個團隊開發過針對58的采集軟件，更新過幾次版本，已經穩定運行了幾個月了，現在手里有軟件的人不在少數。”

　　20元/份簡歷變廉價批發

　　3月20日，支付700元購買軟件之后，記者用賣家提供的賬號登錄軟件，在檢索選項中選擇北京市、所有職業、2017年1月后更新過簡歷的活躍求職者，該軟件開始不斷采集信息，并且將所采集信息按照“姓名、手機號、求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶ID、更新簡歷時間”等格式自動錄入到excel表格中。

　　在檢索選項中，包括全國430多個城市，以及464個職業選項。該登錄賬號有效期為1個月，如果需要不斷獲取58簡歷最新數據，每個月都需要續費700元。

　　21世紀經濟報道記者在幾個小時內按照上述條件采集到約3萬條數據，根據該軟件每小時可以采集數千份數據，賣家告訴記者：“軟件對每個人的采集速度做出限制，采集的人太多，如果數據流太大，有可能會被58發現。但已經做好防御措施，放心用你的，不會被封。”

　　此外，賣家建議記者，如果想提高檢索速度，可以購買ADSL服務器，該服務器可以通過不斷更換IP的方式躲避58的監測，“一般采集量大的都會買這個。”

　　從采集結果中，記者聯系了數位在3月20日更新簡歷的求職者，后者向記者確認“今天更新了簡歷，并且投遞過簡歷”。

　　需要指出，58同城官網本身并未對求職者簡歷做出太多保護措施。在58同城官網上注冊的賬號均可搜索所有人簡歷，并查看年齡、頭像、學歷、學校等信息，但不能查看手機號。

　　如果需要查看求職者聯系方式，則需要獲取權限，向58“購買簡歷套餐”。根據官網信息，簡歷套餐分為5檔，最便宜的一檔僅可以查看6份簡歷，每份20元，總價120元。最高檔每份簡歷售價14.5元，可以查看138份，總價2000元。

　　日前，58同城發布財報，預計58同城將在2017年底成為中國最大的網絡招聘公司，并且預計招聘業務將在2017年增長50%左右，成為58集團旗下最大的業務。但如今，簡歷數據庫出現泄密情況，原本高價出售的簡歷信息現在均可廉價獲取。

　　目前，并不確定此類泄密事件對58影響幾何，但如果信息廣泛流通，一旦被詐騙分子利用，就可以根據求職者的求職意向、更新簡歷頻率、年齡、學校定制詐騙內容。2015年至今，多地公安機關發布公告，提醒求職者警惕招聘詐騙。

　　值得一提的是，在淘寶寶貝搜索欄中輸入“58簡歷”，搜索框下拉欄中會推薦“58簡歷電話查看”、“58簡歷采集工具”等關鍵詞，但是直接鍵入此類關鍵詞卻沒有對應結果。知情人士介紹：“說明淘寶上熱賣過這類產品，但后來被清理掉了。”

　　3月23日，記者就“有淘寶賣家大量出售58同城簡歷”、“簡歷數據泄露”等問題咨詢58同城相關部門人士。58同城回應記者稱：“58同城通過技術手段將求職者進行加密，除正常渠道下載外，58內部員工也無法查看簡歷電話號碼”，“58同城通過技術手段禁止了網絡爬蟲對58同城簡歷內容的抓取”，此外，58同城正在通過多種風控措施進一步保護求職者信息。

　　惡意爬蟲+移動端漏洞

　　不過，事實與58同城的回應略有出入。

　　3月23日，記者將該軟件以及信息泄露情況提供給多家安全機構，包括獵豹移動、安華金和等安全公司均告訴21世紀經濟報道記者：“這個采集軟件，是一個惡意爬蟲工具。”爬蟲軟件是一種收集大量信息時的常用軟件，而利用漏洞爬取信息則被稱為惡意爬蟲。

　　招聘網站允許企業、個人賬號搜索簡歷，是爬蟲軟件可以采集簡歷信息的入口。包括58同城、智聯招聘、前程無憂等大型招聘網站均提供簡歷搜索權限，搜索結果呈現大部分個人信息，但查看聯系方式則需要向網站付費。

　　安華金和安全攻防實驗室專家告訴記者，“涉及個人隱私的信息，應當防范爬蟲軟件。”該人士告訴記者，名為集搜客（GooSeeKer）的平臺提供了大量爬取58信息的爬蟲軟件。記者在GooSeeKer發現，多個爬取58本地商戶信息、汽車過戶聯系人信息、保潔公司信息、租房聯系人信息的爬蟲軟件在售。

　　目前，開始考慮隱私保護的平臺已經不再提供簡歷搜索服務。面向數百萬學生實習群體的“實習僧”CTO王承明告訴21世紀經濟報道記者：“給企業或者合作商開放權限過大，容易導致信息爬取。‘實習僧’杜絕企業直接搜索簡歷，企業下載簡歷的路徑也都是動態隨機生成，這樣避免過度傳播。”

　　理論上，爬蟲軟件只能爬取到部分簡歷信息。在招聘網站設置了聯系方式的閱讀權限之后，爬蟲軟件并不能爬取其聯系方式信息。但遺憾的是，“58同城存在多個安全技術漏洞的組合”，“白帽匯”創始人趙武告訴記者，一是58同城在移動端的一個接口導致可以批量獲取用戶的簡歷ID，以及加密不嚴謹的用戶ID信息，二是另一個接口導致用戶包括姓名等真實信息泄漏；三是58的微店程序能夠通過用戶ID獲取用戶的電話號碼，“其實這幾個漏洞任何一個都算不上是高危漏洞，但是在多個漏洞的組合情況下，就會造成大范圍的數據泄漏，可能被黑產用于電信欺詐等破壞性攻擊。”

　　記者截稿時，白帽匯已經復現了數據泄露的整個過程，并將漏洞整理向監管部門報備。

　　需要指出，該漏洞或許已經存在很長時間。在精易論壇、52破解等匯集了軟件開發者的論壇中，58同城簡歷采集工具、漏洞分析等相關文章從2016年初就開始不斷出現，還有不少開發者推廣自己開發的58簡歷采集工具。

　　目前，招聘行業普遍存在信息泄露風險。一位曾在智聯工作人士告訴記者：“內部對于信息保護并不嚴格，新來的實習生也可以跟主管要個賬號，登錄數據庫把求職者簡歷下載到個人電腦上，想下多少都可以，沒有限制。”

　　除此之外，有多個賣家在淘寶出售智聯招聘企業賬號，其中一個店主告訴記者：“一個賬號900元，可以下載200份簡歷。”該價格遠低于官方價格，根據一企業提供的智聯招聘合同顯示，“一個可以下載200份簡歷的賬號，一年3200元。”此外，前程無憂、獵聘網企業賬號也均有出售，均可下載簡歷。