支付700元購買軟件之后，記者用賣家提供的賬號登陸軟件，該軟件可以不斷采集信息，并且將所采集信息自動錄入到excel表格中。

　　58同城的全國簡歷數(shù)據(jù)泄露了。

　　近日，21世紀經(jīng)濟報道記者調(diào)查發(fā)現(xiàn)，有淘寶電商出售“58同城簡歷數(shù)據(jù)”。其中一位旺旺號為“l(fā)sgjart”的店鋪告訴記者：“一次購買2萬份以上，3毛一條；10萬以上，2毛一條。要多少有多少，全國同步實時更新。”根據(jù)該店主發(fā)來的少量簡歷信息測試，記者電話聯(lián)系的求職者均在58同城上投遞了簡歷，有人還在當天更新過自己的簡歷。

　　當然，出售數(shù)據(jù)者并非獨此一家。另一家店鋪按照2毛一條出售數(shù)據(jù)，并且在記者多次溝通下表示：“700塊賣你一套軟件，你可以自己采集58數(shù)據(jù)?！辈⒎堑曛骺犊恰斑@個軟件已經(jīng)快爛大街了，有幾個團隊開發(fā)過針對58的采集軟件，更新過幾次版本，已經(jīng)穩(wěn)定運行了幾個月了，現(xiàn)在手里有軟件的人不在少數(shù)?！?/p>

　　20元/份簡歷變廉價批發(fā)

　　3月20日，支付700元購買軟件之后，記者用賣家提供的賬號登錄軟件，在檢索選項中選擇北京市、所有職業(yè)、2017年1月后更新過簡歷的活躍求職者，該軟件開始不斷采集信息，并且將所采集信息按照“姓名、手機號、求職方向、年齡、期望月薪、工作經(jīng)驗、居住地、學歷、用戶ID、更新簡歷時間”等格式自動錄入到excel表格中。

　　在檢索選項中，包括全國430多個城市，以及464個職業(yè)選項。該登錄賬號有效期為1個月，如果需要不斷獲取58簡歷最新數(shù)據(jù)，每個月都需要續(xù)費700元。

　　21世紀經(jīng)濟報道記者在幾個小時內(nèi)按照上述條件采集到約3萬條數(shù)據(jù)，根據(jù)該軟件每小時可以采集數(shù)千份數(shù)據(jù)，賣家告訴記者：“軟件對每個人的采集速度做出限制，采集的人太多，如果數(shù)據(jù)流太大，有可能會被58發(fā)現(xiàn)。但已經(jīng)做好防御措施，放心用你的，不會被封?！?/p>

　　此外，賣家建議記者，如果想提高檢索速度，可以購買ADSL服務器，該服務器可以通過不斷更換IP的方式躲避58的監(jiān)測，“一般采集量大的都會買這個?！?/p>

　　從采集結果中，記者聯(lián)系了數(shù)位在3月20日更新簡歷的求職者，后者向記者確認“今天更新了簡歷，并且投遞過簡歷”。

　　需要指出，58同城官網(wǎng)本身并未對求職者簡歷做出太多保護措施。在58同城官網(wǎng)上注冊的賬號均可搜索所有人簡歷，并查看年齡、頭像、學歷、學校等信息，但不能查看手機號。

　　如果需要查看求職者聯(lián)系方式，則需要獲取權限，向58“購買簡歷套餐”。根據(jù)官網(wǎng)信息，簡歷套餐分為5檔，最便宜的一檔僅可以查看6份簡歷，每份20元，總價120元。最高檔每份簡歷售價14.5元，可以查看138份，總價2000元。

　　日前，58同城發(fā)布財報，預計58同城將在2017年底成為中國最大的網(wǎng)絡招聘公司，并且預計招聘業(yè)務將在2017年增長50%左右，成為58集團旗下最大的業(yè)務。但如今，簡歷數(shù)據(jù)庫出現(xiàn)泄密情況，原本高價出售的簡歷信息現(xiàn)在均可廉價獲取。

　　目前，并不確定此類泄密事件對58影響幾何，但如果信息廣泛流通，一旦被詐騙分子利用，就可以根據(jù)求職者的求職意向、更新簡歷頻率、年齡、學校定制詐騙內(nèi)容。2015年至今，多地公安機關發(fā)布公告，提醒求職者警惕招聘詐騙。

　　值得一提的是，在淘寶寶貝搜索欄中輸入“58簡歷”，搜索框下拉欄中會推薦“58簡歷電話查看”、“58簡歷采集工具”等關鍵詞，但是直接鍵入此類關鍵詞卻沒有對應結果。知情人士介紹：“說明淘寶上熱賣過這類產(chǎn)品，但后來被清理掉了。”

　　3月23日，記者就“有淘寶賣家大量出售58同城簡歷”、“簡歷數(shù)據(jù)泄露”等問題咨詢58同城相關部門人士。58同城回應記者稱：“58同城通過技術手段將求職者進行加密，除正常渠道下載外，58內(nèi)部員工也無法查看簡歷電話號碼”，“58同城通過技術手段禁止了網(wǎng)絡爬蟲對58同城簡歷內(nèi)容的抓取”，此外，58同城正在通過多種風控措施進一步保護求職者信息。

　　惡意爬蟲+移動端漏洞

　　不過，事實與58同城的回應略有出入。

　　3月23日，記者將該軟件以及信息泄露情況提供給多家安全機構，包括獵豹移動、安華金和等安全公司均告訴21世紀經(jīng)濟報道記者：“這個采集軟件，是一個惡意爬蟲工具?！迸老x軟件是一種收集大量信息時的常用軟件，而利用漏洞爬取信息則被稱為惡意爬蟲。

　　招聘網(wǎng)站允許企業(yè)、個人賬號搜索簡歷，是爬蟲軟件可以采集簡歷信息的入口。包括58同城、智聯(lián)招聘、前程無憂等大型招聘網(wǎng)站均提供簡歷搜索權限，搜索結果呈現(xiàn)大部分個人信息，但查看聯(lián)系方式則需要向網(wǎng)站付費。

　　安華金和安全攻防實驗室專家告訴記者，“涉及個人隱私的信息，應當防范爬蟲軟件?！痹撊耸扛嬖V記者，名為集搜客（GooSeeKer）的平臺提供了大量爬取58信息的爬蟲軟件。記者在GooSeeKer發(fā)現(xiàn)，多個爬取58本地商戶信息、汽車過戶聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息的爬蟲軟件在售。

　　目前，開始考慮隱私保護的平臺已經(jīng)不再提供簡歷搜索服務。面向數(shù)百萬學生實習群體的“實習僧”CTO王承明告訴21世紀經(jīng)濟報道記者：“給企業(yè)或者合作商開放權限過大，容易導致信息爬取。‘實習僧’杜絕企業(yè)直接搜索簡歷，企業(yè)下載簡歷的路徑也都是動態(tài)隨機生成，這樣避免過度傳播?！?/p>

　　理論上，爬蟲軟件只能爬取到部分簡歷信息。在招聘網(wǎng)站設置了聯(lián)系方式的閱讀權限之后，爬蟲軟件并不能爬取其聯(lián)系方式信息。但遺憾的是，“58同城存在多個安全技術漏洞的組合”，“白帽匯”創(chuàng)始人趙武告訴記者，一是58同城在移動端的一個接口導致可以批量獲取用戶的簡歷ID，以及加密不嚴謹?shù)挠脩鬒D信息，二是另一個接口導致用戶包括姓名等真實信息泄漏；三是58的微店程序能夠通過用戶ID獲取用戶的電話號碼，“其實這幾個漏洞任何一個都算不上是高危漏洞，但是在多個漏洞的組合情況下，就會造成大范圍的數(shù)據(jù)泄漏，可能被黑產(chǎn)用于電信欺詐等破壞性攻擊?！?/p>

　　記者截稿時，白帽匯已經(jīng)復現(xiàn)了數(shù)據(jù)泄露的整個過程，并將漏洞整理向監(jiān)管部門報備。

　　需要指出，該漏洞或許已經(jīng)存在很長時間。在精易論壇、52破解等匯集了軟件開發(fā)者的論壇中，58同城簡歷采集工具、漏洞分析等相關文章從2016年初就開始不斷出現(xiàn)，還有不少開發(fā)者推廣自己開發(fā)的58簡歷采集工具。

　　目前，招聘行業(yè)普遍存在信息泄露風險。一位曾在智聯(lián)工作人士告訴記者：“內(nèi)部對于信息保護并不嚴格，新來的實習生也可以跟主管要個賬號，登錄數(shù)據(jù)庫把求職者簡歷下載到個人電腦上，想下多少都可以，沒有限制?！?/p>

　　除此之外，有多個賣家在淘寶出售智聯(lián)招聘企業(yè)賬號，其中一個店主告訴記者：“一個賬號900元，可以下載200份簡歷?！痹搩r格遠低于官方價格，根據(jù)一企業(yè)提供的智聯(lián)招聘合同顯示，“一個可以下載200份簡歷的賬號，一年3200元?！贝送?，前程無憂、獵聘網(wǎng)企業(yè)賬號也均有出售，均可下載簡歷。