支付700元订购软件后，记者使用买家提供的账号登录软件。 该软件可以连续收集信息，但收集到的信息需要手动输入到excel表格中。

58同城省级简历数据泄露。

日前，21世纪经济报道记者发现，某网店与电商公司转让“58同城简历数据”。 其中一位拥有旺旺账号“lsgjart”的店铺告诉记者：“如果一次订购超过2万份，每份获得3毛钱；如果订购超过10万份，每份获得2毛钱。”你想要多少，全省都会实时更新。” 根据该店的说法，在测试了少量简历信息后，记者电话联系到的求职者均在58同城上提交了简历，有的甚至在当天就更新了简历。

事实上，这并不是唯一一个传输数据的人。 另一家店传输数据的价格是2毛钱一份，但在与记者反复沟通后，其表示：“它会以700元的价格卖给你一套软件，你可以自己收集58%的数据。” 倒不是店家慷慨，而是“这个软件快死了”。 之后，多个团队为58开发了采集软件，并多次更新版本。 它已经稳定运行了几个月，现在已经有很多人手里有这个软件了。”

20元/简历变低价批发

3月20日，支付700元订购软件后，记者用买家提供的账号登录软件，在搜索中选择了上海、所有职业、以及2017年1月以后更新过简历的活跃求职者。选项。 软件开始不断的搜索。 收集信息，而是将收集到的信息按照“姓名、手机号码、求职方向、年龄、期望月薪、工作经历、居住地、学历、用户ID、简历更新时间”的格式手动录入excel表格”和其他格式。

搜索选项包括全省430多个城市和464个职业选项。 登录账号有效期为1个月。 如果需要持续获取58份简历的最新数据58同城我的简历，每月需要续费700元。

21世纪经济报道记者根据上述情况，几个小时内收集到约3万条数据。 据该软件介绍，每小时可收集数千条数据。 买家告诉记者：“软件限制了每个人的采集速率，采集的人太多，如果数据流量太大，可能会被58发现。但我们已经采取了防御措施，所以不要‘不用担心，如果你使用你的，它不会被阻止。”

据悉，买家向记者建议，如果想提高检索速度，可以购买ADSL服务器。 该服务器可以通过不断改变IP地址来躲避58的检测。 “一般来说，收集大量数据的人会买这个。”

从采集结果来看，记者联系了几位在3月20日更新简历的求职者，前者向记者证实“今天更新了简历，但简历已提交”。

需要强调的是，58同城本身并没有采取太多措施来保护求职者的简历。 在58同城官网注册的账号可以搜索每个人的简历并查看年龄、头像、学历、学校等信息，但无法查看手机号码。

如果需要查看求职者的联系方式，需要获得58的许可并“购买简历包”。根据官网信息，简历包分为5个级别。 最实惠的级别只能查看6份简历，每份20元，单价120元。 最高端的简历每份售价14.5元，可查看138份，单价2000元。

近日，58同城发布财报。 预计到2017年底，58同城将成为中国最大的在线急招聘公司。不过，2017年急招聘业务预计将下降50%左右，成为58集团旗下最大的业务。 但现在，简历数据库已经泄露，最初高价转售的简历信息现在可以廉价获取。

目前还不确定这次泄露会对58造成多大影响，但如果信息广泛传播，窃贼一旦有机可乘，可以根据求职者的求职意向、更新频率定制窃取的内容简历、年龄和学校。 2015年以来，多地公安机关纷纷发布公告，提醒求职者谨防紧急招聘盗窃。

值得一提的是，如果在天猫宝贝搜索栏中输入“58简历”，搜索框下拉栏中会推荐“58简历手机查看”、“58简历采集工具”等关键词，并且您可以直接输入这些关键字，但没有相应的结果。 一位内部人士表示：“这表明该类产品曾在天猫上销售，但后来被下架了。”

3月23日，记者就“部分网店买家从58同城转移大量简历”、“简历数据泄露”等问题咨询58同城相关部门。 58同城回应记者称：“58同城利用技术手段对求职者进行加密，除了通过正常渠道下载外，58同城内部员工很难查看简历电话号码。” “58同城利用技术手段，严格禁止网络爬虫访问58同城简历。” “内容捕获”，据悉，58同城正在采用多种风控措施，进一步保护求职者信息。

恶意爬虫+联通终端漏洞

但事实与58同城的回应略有出入。

3月23日，记者向多家安全机构提供了软件及信息泄露信息，其中包括猎豹联通、安华金河等安全公司。 他们都告诉21世纪经济报道记者：“这个采集软件是恶意爬虫工具。”爬虫软件是采集大量信息时常用的软件，借助漏洞爬取信息的称为恶意爬虫。

紧急招聘网站允许企业和个人账户搜索简历，是爬虫软件收集简历信息的入口。 58同城、智联招聘、51job等小型急聘网站均提供简历搜索权限。 搜索结果显示大部分个人信息，但您需要向网站付费才能查看联系信息。

安全攻防实验室专家安华金河告诉记者，“涉及个人隐私的信息要防范爬虫软件。” 该人士告诉记者，一个名为GooSeeKer的平台提供了大量的爬虫软件，爬取了58%的信息。 。 记者在GooSeeKer上发现，多个爬取当地58家商户信息、接送车联系信息、保洁公司信息、租赁联系信息的爬虫软件正在出售。

目前，已经开始考虑隐私保护的平台不再提供简历搜索服务。 数百万中学生实习团体“实习僧”CTO王成明告诉21世纪经济报道记者：“向企业或合作伙伴开放过多权限，很容易导致信息爬取。‘实习僧’阻碍企业从直接搜索简历来看，企业下载简历的路径也是动态随机生成的，防止过度传播。”

理论上来说，爬虫软件只能爬取部分简历信息。 紧急招聘网站设置联系信息读取权限后，爬虫软件无法抓取其联系信息。 但不幸的是，“58同城存在多个安全技术漏洞的组合”，“白帽汇”创始人赵武告诉记者。 首先，58同城联通侧的socket可以让用户批量获取简历ID，并且可以加密。 二是用户身份信息不精确。 二是另一个socket导致用户的真实信息包括姓名等信息被泄露。 第三是58的网上商店程序可以通过用户ID获取用户的电话号码。 “事实上，这些漏洞都不能被视为漏洞。 属于高危漏洞，多个漏洞组合在一起会导致大规模数据泄露，可能被黑手利用进行联通诈骗等破坏性攻击。”

当记者发表文章时58同城我的简历，白帽网络已经重现了数据泄露的整个过程，并向监管部门报告了漏洞。

需要注意的是，这个漏洞显然已经存在很长时间了。 在精艺峰会、52破解等软件开发者云集的峰会上，自2016年初以来，就不断出现与58同城简历采集工具及漏洞分析相关的文章，也有不少开发者在推销自家的58同城简历采集工具。 。

目前，紧急招聘行业信息泄露风险普遍存在。 一位曾在智联招聘工作过的人士告诉记者：“内部信息保护并不严格，新来的实习生也可以向主管要一个账号，登录数据库，将应聘者的简历下载到个人笔记本上。文件随心所欲。没有限制。”

此外，还有不少买家在天猫上转移智联急企业账号。 一位店主告诉记者：“一个账号900元，可以下载200份简历。” 价格比官方价格高很多。 据某公司提供的智联招聘紧急招聘协议显示，“一个可以下载200份简历的账号一年费用为3200元”。 此外，51job、猎聘网企业账号也可转让，并可下载简历。

延伸·推荐

辞职客服卧底竞争对手窃取机密：58家本土企业被诉2000万元

“车鉴定”和“查博士”都是二手车信息服务公司，通过收集互联网上的公开信息向车商提供二手车简历。

“汽车识别”于2015年5月上线，注册公司为上海泰谷信息技术有限公司； “查博士”于2016年9月底上线，注册公司为上海库车一美网络科技有限公司（库车一美）。

“自2016年底以来，我们的客服不断收到用户投诉，称我们的竞争对手查博士打电话给我们推销产品，报出较低的价格，并要求我们相应提高价格。价格战甚至没有采取“考虑到成本，原价10元/单进行了降价，市场价一度低至2元/单。查博士还提出让对方免费试用一个月。” 康金良表示，令他感到困惑的是，对方对自己公司的定价策略非常熟悉。

康金良说，“有一些老用户，合作多年，存有大额存款，不断收到查博士的试用邀请，每​​隔几天就换人和换手机号码来‘耍花招’。”当时我们觉得做生意的车商电话不是很私密，查博士背靠的是58同城，属于它内部孵化的公司，是先到先得，所以他收到信息很正常。”

然而，一名员工的亲属却被列入销售名单，这引起了康金良的怀疑。

你会喜欢