雷锋网(公众号:雷锋网)消息,据《21世纪经济报道》记者调查发现,近日,有多个淘宝卖家廉价批发“58同城简历数据”:“一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”甚至有卖家出售700元一套的爬虫软件,可采集全国430多个城市,以及464个职业的简历数据。
《21世纪经济报道》表示,58同城本身就没有对求职者简历做出过多保护,在58同城官网上注册的账号均可搜索所有人简历,并查看年龄、头像、学历、学校等信息,但不能查看手机号,企业如果要或许联系方式则需向58购买简历套餐,每份简历约合14.5元-20元。但是,爬虫软件却可以将“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等简历信息自动录入到excel表格中。
安全公司称,该采集软件为利用漏洞爬取信息的恶意爬虫软件,“白帽汇”创始人赵武表示,58同城存在多个安全技术漏洞组合,一是58同城在移动端的一个接口导致可以批量获取用户的简历ID,以及加密不严谨的用户ID信息;二是另一个接口导致用户包括姓名等真实信息泄漏;三是58的微店程序能够通过用户ID获取用户的电话号码。“其实这几个漏洞任何一个都算不上是高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能被黑产用于电信欺诈等破坏性攻击。”
据悉,白帽汇已经复现了数据泄露的整个过程,并将漏洞整理向监管部门报备。
本文作者:
蒋鸿昌
本文转自雷锋网禁止二次转载,
原文链接
