查看原文
其他

700元即可查看全国简历数据,58同城简历数据泄露让求职者恐慌

信息安全公益宣传,信息安全知识启蒙。

加微信群回复公众号:微信群;QQ群:16004488

加微信群或QQ群可免费索取:学习教程


无论是找工作还是兼职,网络已经是相当成熟的渠道了,向58同城、智联招聘一类平台上传电子档案原本是为了方便企业查询,简历联系,可当这一份份有着详细个人电话、地址、姓名等资料的简历被大规模窃取时,你担心吗?


700元恶意软件可查看58全国简历数据

据记者调查发现,近日,有多个淘宝卖家廉价批发“58同城简历数据”:“一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”甚至有卖家出售700元一套的爬虫软件,可采集全国430多个城市,以及464个职业的简历数据。

调查发现,58同城本身就没有对求职者简历做出过多保护,在58同城官网上注册的账号均可搜索所有人简历,并查看年龄、头像、学历、学校等信息,但不能查看手机号,企业如果要或许联系方式则需向58购买简历套餐,每份简历约合14.5元-20元。但是,爬虫软件却可以将“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等简历信息自动录入到excel表格中。


这款软件是如何做到的呢?

招聘网站允许企业、个人账号搜索简历,是爬虫软件可以采集简历信息的入口。包括58同城、智联招聘、前程无忧等大型招聘网站均提供简历搜索权限,搜索结果呈现大部分个人信息,但查看联系方式则需要向网站付费。


理论上,爬虫软件只能爬取到部分简历信息。在招聘网站设置了联系方式的阅读权限之后,爬虫软件并不能爬取其联系方式信息。


安全公司称,该采集软件为利用漏洞爬取信息的恶意爬虫软件,“白帽汇”创始人赵武表示,58同城存在多个安全技术漏洞组合,一是58同城在移动端的一个接口导致可以批量获取用户的简历ID,以及加密不严谨的用户ID信息;二是另一个接口导致用户包括姓名等真实信息泄漏;三是58的微店程序能够通过用户ID获取用户的电话号码。“其实这几个漏洞任何一个都算不上是高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能被黑产用于电信欺诈等破坏性攻击。”


58同城如何说?

58同城对此回应称,已经开展调查,同时采取措施,加固信息安全系统,提升防爬虫技术手段。并已向警方报案。

今日,有媒体报道《58同城简历数据泄露》一事,58同城信息安全部门依据报道内容迅速开展追查,同时采取措施,加固信息安全系统,提升防爬虫技术手段,严格区隔个人信息物理存档。


一直以来,58同城都将用户和求职者信息保密工作置于公司发展的最高战略,但随着互联网发展速度的突飞猛进,网络黑产窃取信息的手段也越来越多样化、团队化、专业化,为此58同城在信息安全建设方面一直持续投入巨大的人力物力”,对抗网络黑产,保护用户信息和求职者隐私安全。对此次恶意爬取个人隐私信息的行为,58同城表示强烈的谴责,同时也已向警方报案。


此次事件的曝出,给58信息安全工作敲响了警钟,衷心感谢各媒体单位对58同城的监督,也希望社会各界如果发现此类泄露和侵犯个人隐私的行为,及时向58同城举报,我们将不断升级和加固信息安全系统,不断对抗网络黑产,保障用户的个人信息安全。


这份官方回复,你满意吗?


曾经,智联被曝86万用户简历泄露

个人简历被曝光事实上上并非58同城一家,早在2014年,曾经漏洞报告平台乌云漏洞在其网站上提交了智联招聘86万用户简历信息泄露的漏洞。官网显示,黑客可通过漏洞获取包括用户姓名、地址、身份证号、户口等在内的私密信息。

媒体与智联招聘取得联系,对方表示从乌云提供的IP地址的确可以查到标有智联招聘字段的简历,但源头来自另一家网站,具体细节不便透露。对方还称,经过智联招聘技术部门排查确认,这些简历绝非来自智联招聘。


不过后期智联招聘的公开信表示,其平台很安全,未发生过个人信息泄露。


谁为泄露负责?

除前面提到的简历资料泄露外,12306网站也出现过用户数据泄露漏洞,包括用户账号、明文密码、身份证、邮箱等,而各大论坛、电商用户个人资料的泄露也在近几年频繁发生。

每每出现这样的问题时,技术缺陷、黑客太坏等等都会成为攻击的重点,但似乎很少有平台为这样的泄露负责,当然,这些数据泄露后,会出现怎样的危机、付怎样的责任的确很不好坚定,但我们将个人信息当做商品寄存在某个平台时,商品被人盗走或者说复制了内容,平台真的一点责任都没有吗?


恐怕很多时候并非技术做不到,而是不愿意花这个资源成本去做这些事情,毕竟资料是用户上传的,很多时候并没有一个明确的“寄存”概念,这或许才是问题的关键。


想要解决个人信息泄露问题,恐怕最终还得回到法律法规上面,只有形成一个严苛的外部环境,才能将风险降到最低。


▼ 点击阅读原文,查看更多精彩文章。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存