“58同城”数据外泄 700元可窃取全国简历

精神力量

国内网络诈骗案频发，居民隐私非常容易遭泄漏，近日媒体报导，只需要支付700元，就可以采集58同城网站内全国的简历信息，有很大安全隐患。

淘宝店简历2毛一条  采集软件“烂大街”
据《21世纪经济报导》记者调查发现，淘宝网上有商家出售“58同城简历数据”。有的店铺表示量大优惠：“一次购买2万份以上，3毛一条；10万以上，2毛一条。要多少有多少，全国同步实时更新。”也有的店铺一律2毛钱一条。

在调查记者多次沟通后，一家店铺表示可以以700块钱价格卖给记者一套软件，自己采集58数据。因为“这个软件已经快烂大街了”。

3月20日，记者支付700元购买了该软件，并用卖家提供的账号登录进行了测验。记者发现，在检索选项中，包括全国430多个城市，以及464个职业选项。于是在检索选项中选择了北京市、所有职业、2017年1月后更新过简历的活跃求职者。

在确定了检索选项后，该软件开始不断采集信息，短短几个小时，记者就采集到了约3万条符合检索条件的数据。更为“周到”的是，该软件还将所采集的信息按照“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等格式自动录入到excel表格中。

为了测试软件准性，记者从采集结果中，联系了多位在3月20日更新简历的求职者，求职者向记者确认“今天更新了简历，并且投递过简历”。

报导指出，如果这些信息广泛流通，一旦被诈骗分子利用，就可以根据求职者的求职意向、更新简历频率、年龄、学校订制诈骗内容。

安全专家：58同城存在安全漏洞
那么，这种采集软件，为何能够如此“高效”的盗取58简历信息呢？

3月23日，调查记者将该软件提供给多家安全机构。这些安全公司均表示：“这个采集软件，是一个恶意爬虫工具。”爬虫软件是一种收集大量信息时的常用软件，而利用漏洞爬取信息则被称为恶意爬虫。

而对于招聘网站而言，允许企业和个人账号搜索简历，就是爬虫软件可以采集简历信息的入口。包括58同城、智联招聘、前程无忧等大型招聘网站，均提供简历搜索权限，搜索结果会呈现大部分个人信息，但若要查看联系方式，则需要向网站付费。

理论上，爬虫软件只能爬取到部分简历信息。如果招聘网站设置了联系方式的阅读权限之后，爬虫软件并不能爬取其联系方式信息。但遗憾的是，“58同城存在多个安全技术漏洞的组合”，一位安全专家表示。而且该漏洞或许已经存在很长时间。

报导引述一位曾在智联工作人士的警告说，目前，招聘行业普遍存在信息泄露风险。“内部对于信息保护并不严格，新来的实习生也可以跟主管要个账号，登录数据库把求职者简历下载到个人电脑上，想下多少都可以，没有限制。”

精神力量

延伸阅读

盗卖50亿条信息 京东安全部员工涉案被抓

近日，媒体曝光一起特大盗卖公民信息案，被窃取和盗卖的公民信息多达50亿条，而嫌犯竟是京东网络安全部员工，属于监守自盗。

据媒体报导，案件涉及安徽、北京、辽宁、河南等14个省、直辖市，韩某亮、翁某、郑某鹏等主要犯罪嫌疑人悉数落网。

报导称，犯罪团伙的核心韩某亮将盗取的公民个人信息以多种形式变现，先后获得利润数百万元人民币。该犯罪团伙有人专门负责窃取公民个人信息，有人将这些信息进行整理建库，还有人将其出售、交换，已形成一个黑色产业链。

有知情人士称，犯罪嫌疑人郑某鹏在加入京东之前曾在多家知名互联网公司工作，其泄露的50亿条公民信息中，可能包含多家互联网公司的用户信息。

而这50亿条信息包括用户账号、密码、身份证、电话号码、物流地址等重要信息。

推卸责任 京东称内鬼是“试用员工”
事件发生后，京东于3月10日回应表示：“经了解，郑某鹏在加入京东之前曾在国内多家知名互联网公司工作，其长期与盗卖个人信息的犯罪团队合作，将从所供职公司盗取的个人信息数据进行交换，并通过各种方式在互联网上贩卖。”

另外京东还强调：“由于该员工入职时间不长且权限不高，因此这批泄露的信息是否包含京东相关信息还有待查证”，同时京东还称，此事被不少媒体恶意歪曲误读，将“追究其法律责任”。

多个媒体对京东的回应进行评论，质疑其推卸责任。因为京东已不是第一次出现泄露用户信息事故：

1. 2016年12月，有消息称京东超12G数据疑似外泄，其中包括用户名、密码、邮箱、QQ号、手机号以及身份证等，涉及数千万用户。

京东方面回应表示，经京东信息安全部门依据报导内容初步判断，该数据源于2013年Struts 2的安全漏洞问题，当时国内几乎所有互联网公司都受到了影响，导致大量数据泄露。

2. 2015年底，京东商城3名员工因越权登录公司数据库系统，非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子，导致大量京东客户遭遇诈骗，3人后被逮捕判刑。

京东开始回应称，部分用户使用相同的注册信息（用户名和密码），在其它网站泄漏后被不法分子使用“撞库”的方法进行诈骗。随后称，3名员工没有登录权限。结果事实并非“撞库”，而是“低权限内鬼”。

3. “国民老公”王思聪个人信息遭泄漏时，京东官方发声明表示是京东第三方店铺的员工违规私自泄露了王思聪购买该店铺商品的信息。

科技四少网站发表评论文章《50亿条公民信息泄露 京东内鬼被抓：网络信息安全应是平台第一重责》称：针对每一次信息泄露，京东的回应总是“低权限员工”、“不法分子撞库”、“第三方商家泄露”、“试用期员工”等，也总是刻意回避责任，而根据之前京东发生的多个信息被盗案例，大部分信息泄露均涉嫌“内鬼”所为，这些所谓的“内鬼”在职位和权限上都是比较低的，我们也不难发现，京东在管理和技术上存在漏洞。

另外一篇《“监守自盗”还是“引狼入室” 京东员工贩卖信息》则认为，京东网络安全部门的一名尚处于试用期的员工，就能接触到大量的公民信息并进行盗取，任何京东的用户都有权利向京东讨要合理的说法。这件盗卖事件不仅反映出了京东集团对用户信息安全的不重视，更折射出了京东不良的用人观念、存在漏洞的技术和管理模式以及京东社会责任感的淡薄。