_
*网站简历泄露:采集城全国简历*
近日,纪经济报道记者调查发现,有*电商出售城简历数据。其中一位旺旺号为lsgjart的店铺告诉记者:一次购买份以上,一条;以上,一条。要多少有多少,全国同步实时更新。根据该店主发来的少量简历*测试,记者电话联系的求职者均在城上投递了简历,有人还在当天更新过自己的简历。
当然,出售数据者并非独此一家。另一家店铺按照一条出售数据,并且在记者多次沟通下表示:卖你一套软件,你可以自己采集据。并非店主慷慨,而是这个软件已经快烂大街了,有几个团队*过针对采集软件,更新过几次版本,已经稳定运行了几个月了,现在手里有软件的人不在少数。
/份简历变廉价批发
,支付购买软件之后,记者用卖家提供的*登录软件,在检索选项中选择北京市、所有职业、后更新过简历的活跃求职者,该软件开始不断采集*,并且将所采集*按照姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户id、更新简历时间等格式自动录入到excel表格中。
在检索选项中,包括全国个城市,以及职业选项。该登录*有效期为月,如果需要不断获取历*新数据,每个月都需要续费。
纪经济报道记者在几个小时内按照上述条件采集到约条数据,根据该软件每小时可以采集数千份数据,卖家告诉记者:软件对每个人的采集速度做出*,采集的人太多,如果数据流太大,有可能会被现。但已经做好防御措施,放心用你的,不会被封。
此外,卖家建议记者,如果想提高检索速度,可以购买adsl*,该*可以通过不断更换ip的方式躲避监测,一般采集量大的都会买这个。
从采集结果中,记者联系了数位在更新简历的求职者,后者向记者确认今天更新了简历,并且投递过简历。
需要指出,城官网本身并未对求职者简历做出太多保护措施。在城官网上注册的*均可搜索所有人简历,并查看年龄、头像、学历、学校等*,但不能查看手机号。
如果需要查看求职者联系方式,则需要获取权限,向买简历套餐。根据官网*,简历套餐分为,*便宜的一档仅可以查看简历,每份,总价。*高档每份简历售价,可以查看,总价。
日前,城发布财报,预计城将在底成为中国*大的**公司,并且预计*业务将在增长左右,成为团旗下*大的业务。但如今,简历数据库出现*情况,原本高价出售的简历*现在均可廉价获取。
目前,并不确定此类*事件对响几何,但如果*广泛流通,一旦被*分子利用,就可以根据求职者的求职意向、更新简历频率、年龄、学校定制*内容。至今,多地*机关发布*,提醒求职者警惕**。
值得一提的是,在*宝贝搜索栏中输入历,搜索框下拉栏中会推荐历电话查看、历采集工具等*,但是直接键入此类*却没有对应结果。知情人士介绍:说明*上热卖过这类产品,但后来被清理掉了。
,记者就有*卖家大量出售城简历、简历数据泄露等问题咨询城相关部门人士。城回应记者称:城通过技术手段将求职者进行加密,除正常渠道下载外,部员工也无法查看简历电话号码,城通过技术手段禁止了*爬虫对城简历内容的抓取,此外,城正在通过多种风控措施进一步保护求职者*。
恶意爬虫 移动端漏洞
不过,事实与城的回应略有出入。
,记者将该软件以及*泄露情况提供给多家安全机构,包括猎豹移动、安华金和等安全公司均告诉纪经济报道记者:这个采集软件,是一个恶意爬虫工具。爬虫软件是一种收集大量*时的常用软件,而利用漏洞爬取*则被称为恶意爬虫。
*网站允许企业、个人*搜索简历,是爬虫软件可以采集简历*的入口。包括城、智联*、前程无忧等大型*网站均提供简历搜索权限,搜索结果呈现大部分个人*,但查看联系方式则需要向网站付费。
安华金和安全攻防实验室专家告诉记者,涉及个人隐私的*,应当防范爬虫软件。该人士告诉记者,名为集*(gooseeker)的平台提供了大量爬取息的爬虫软件。记者在gooseeker发现,多个爬取地商户*、汽车过户联系人*、保洁公司*、租房联系人*的爬虫软件在售。
目前,开始考虑隐私保护的平台已经不再提供简历搜索服务。面向数百万学生实习群体的实习僧cto王承明告诉纪经济报道记者:给企业或者合作商开放权限过大,容易导致*爬取。 实习僧 杜绝企业直接搜索简历,企业下载简历的路径也都是动态随机生成,这样避免过度传播。
理论上,爬虫软件只能爬取到部分简历*。在*网站设置了联系方式的阅读权限之后,爬虫软件并不能爬取其联系方式*。但遗憾的是,城存在多个安全技术漏洞的组合,白帽汇创始人赵武告诉记者,一是城在移动端的一个接口导致可以批量获取用户的简历id,以及加密不严谨的用户id*,二是另一个接口导致用户包括姓名等真实*泄漏;三是*程序能够通过用户id获取用户的电话号码,其实这几个漏洞任何一个都算不上是高危漏洞,但是在多个漏洞的组合情况下,就会造成大范围的数据泄漏,可能被黑产用于电信欺诈等*性攻击。
记者截稿时,白帽汇已经复现了数据泄露的整个过程,并将漏洞整理向*部门报备。
需要指出,该漏洞或许已经存在很长时间。在精易论坛、解等汇集了软件*者的论坛中,城简历采集工具、漏洞分析等