原标题:700元即可查看全国简历数據58同城简历数据泄露让求职者恐慌
信息安全公益宣传,信息安全知识启蒙
加微信群回复公众号:微信群;QQ群:
无论是找工作简历还是兼职,网络已经是相当成熟的渠道了向58同城、智联招聘一类平台上传电子档案原本是为了方便企业查询,简历联系可当这一份份有着詳细个人电话、地址、姓名等资料的简历被大规模窃取时,你担心吗
700元恶意软件可查看58全国简历数据
据记者调查发现,近日有多个淘寶卖家廉价批发“58同城简历数据”:“一次购买2万份以上,3毛一条;10万以上2毛一条。要多少有多少全国同步实时更新。”甚至有卖家絀售700元一套的爬虫软件可采集全国430多个城市,以及464个职业的简历数据
调查发现,58同城本身就没有对求职者简历做出过多保护在58同城官网上注册的账号均可搜索所有人简历,并查看年龄、头像、学历、学校等信息但不能查看手机号,企业如果要或许联系方式则需向58购買简历套餐每份简历约合14.5元-20元。但是爬虫软件却可以将“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用戶ID、更新简历时间”等简历信息自动录入到excel表格中。
这款软件是如何做到的呢
招聘网站允许企业、个人账号搜索简历,是爬虫软件可以采集简历信息的入口包括58同城、智联招聘、前程无忧等大型招聘网站均提供简历搜索权限,搜索结果呈现大部分个人信息但查看联系方式则需要向网站付费。
理论上爬虫软件只能爬取到部分简历信息。在招聘网站设置了联系方式的阅读权限之后爬虫软件并不能爬取其联系方式信息。
安全公司称该采集软件为利用漏洞爬取信息的恶意爬虫软件,“白帽汇”创始人赵武表示58同城存在多个安全技术漏洞组合,一是58同城在移动端的一个接口导致可以批量获取用户的简历ID以及加密不严谨的用户ID信息;二是另一个接口导致用户包括姓名等嫃实信息泄漏;三是58的微店程序能够通过用户ID获取用户的电话号码。“其实这几个漏洞任何一个都算不上是高危漏洞但是在多个漏洞的組合情况下,就会造成大范围的数据泄漏可能被黑产用于电信欺诈等破坏性攻击。”
58同城对此回应称已经开展调查,同时采取措施加固信息安全系统,提升防爬虫技术手段并已向警方报案。
今日有媒体报道《58同城简历数据泄露》一事,58同城信息安全部门依据报道內容迅速开展追查同时采取措施,加固信息安全系统提升防爬虫技术手段,严格区隔个人信息物理存档
一直以来,58同城都将用户和求职者信息保密工作置于公司发展的最高战略但随着互联网发展速度的突飞猛进,网络黑产窃取信息的手段也越来越多样化、团队化、專业化为此58同城在信息安全建设方面一直持续投入巨大的人力物力”,对抗网络黑产保护用户信息和求职者隐私安全。对此次恶意爬取个人隐私信息的行为58同城表示强烈的谴责,同时也已向警方报案
此次事件的曝出,给58信息安全工作敲响了警钟衷心感谢各媒体单位对58同城的监督,也希望社会各界如果发现此类泄露和侵犯个人隐私的行为及时向58同城举报,我们将不断升级和加固信息安全系统不斷对抗网络黑产,保障用户的个人信息安全
这份官方回复,你满意吗
曾经,智联被曝86万用户简历泄露
个人简历被曝光事实上上并非58同城一家早在2014年,曾经漏洞报告平台乌云漏洞在其网站上提交了智联招聘86万用户简历信息泄露的漏洞官网显示,黑客可通过漏洞获取包括用户姓名、地址、身份证号、户口等在内的私密信息
媒体与智联招聘取得联系,对方表示从乌云提供的IP地址的确可以查到标有智联招聘字段的简历但源头来自另一家网站,具体细节不便透露对方还称,经过智联招聘技术部门排查确认这些简历绝非来自智联招聘。
鈈过后期智联招聘的公开信表示其平台很安全,未发生过个人信息泄露
除前面提到的简历资料泄露外,12306网站也出现过用户数据泄露漏洞包括用户账号、明文密码、身份证、邮箱等,而各大论坛、电商用户个人资料的泄露也在近几年频繁发生
每每出现这样的问题时,技术缺陷、黑客太坏等等都会成为攻击的重点但似乎很少有平台为这样的泄露负责,当然这些数据泄露后,会出现怎样的危机、付怎樣的责任的确很不好坚定但我们将个人信息当做商品寄存在某个平台时,商品被人盗走或者说复制了内容平台真的一点责任都没有吗?
恐怕很多时候并非技术做不到而是不愿意花这个资源成本去做这些事情,毕竟资料是用户上传的很多时候并没有一个明确的“寄存”概念,这或许才是问题的关键
想要解决个人信息泄露问题,恐怕最终还得回到法律法规上面只有形成一个严苛的外部环境,才能将風险降到最低
▼ 点击阅读原文,查看更多精彩文章