招聘网站陷简历数据泄露风波：700元，即可采集58同城全国简历信息

来源丨21世纪经济报道（jjbd21）

作者丨陈宝亮 甘星星 北京报道

支付700元购买软件之后，记者用卖家提供的账号登陆软件，该软件可以不断采集信息，并且将所采集信息自动录入到excel表格中。

58同城的全国简历数据泄露了。

近日，21世纪经济报道记者调查发现，有淘宝电商出售“58同城简历数据”。其中一位旺旺号为“lsgjart”的店铺告诉记者：“一次购买2万份以上，3毛一条；10万以上，2毛一条。要多少有多少，全国同步实时更新。”根据该店主发来的少量简历信息测试，记者电话联系的求职者均在58同城上投递了简历，有人还在当天更新过自己的简历。

当然，出售数据者并非独此一家。另一家店铺按照2毛一条出售数据，并且在记者多次沟通下表示：“700块卖你一套软件，你可以自己采集58数据。”并非店主慷慨，而是“这个软件已经快烂大街了，有几个团队开发过针对58的采集软件，更新过几次版本，已经稳定运行了几个月了，现在手里有软件的人不在少数。”

3月20日，支付700元购买软件之后，记者用卖家提供的账号登录软件，在检索选项中选择北京市、所有职业、2017年1月后更新过简历的活跃求职者，该软件开始不断采集信息，并且将所采集信息按照“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等格式自动录入到excel表格中。

在检索选项中，包括全国430多个城市，以及464个职业选项。该登录账号有效期为1个月，如果需要不断获取58简历最新数据，每个月都需要续费700元。

21世纪经济报道记者在几个小时内按照上述条件采集到约3万条数据，根据该软件每小时可以采集数千份数据，卖家告诉记者：“软件对每个人的采集速度做出限制，采集的人太多，如果数据流太大，有可能会被58发现。但已经做好防御措施，放心用你的，不会被封。”

此外，卖家建议记者，如果想提高检索速度，可以购买ADSL服务器，该服务器可以通过不断更换IP的方式躲避58的监测，“一般采集量大的都会买这个。”

从采集结果中，记者联系了数位在3月20日更新简历的求职者，后者向记者确认“今天更新了简历，并且投递过简历”。

需要指出，58同城官网本身并未对求职者简历做出太多保护措施。在58同城官网上注册的账号均可搜索所有人简历，并查看年龄、头像、学历、学校等信息，但不能查看手机号。

如果需要查看求职者联系方式，则需要获取权限，向58“购买简历套餐”。根据官网信息，简历套餐分为5档，最便宜的一档仅可以查看6份简历，每份20元，总价120元。最高档每份简历售价14.5元，可以查看138份，总价2000元。

日前，58同城发布财报，预计58同城将在2017年底成为中国最大的网络招聘公司，并且预计招聘业务将在2017年增长50%左右，成为58集团旗下最大的业务。但如今，简历数据库出现泄密情况，原本高价出售的简历信息现在均可廉价获取。

目前，并不确定此类泄密事件对58影响几何，但如果信息广泛流通，一旦被诈骗分子利用，就可以根据求职者的求职意向、更新简历频率、年龄、学校定制诈骗内容。2015年至今，多地公安机关发布公告，提醒求职者警惕招聘诈骗。

值得一提的是，在淘宝宝贝搜索栏中输入“58简历”，搜索框下拉栏中会推荐“58简历电话查看”、“58简历采集工具”等关键词，但是直接键入此类关键词却没有对应结果。知情人士介绍：“说明淘宝上热卖过这类产品，但后来被清理掉了。”

3月23日，记者就“有淘宝卖家大量出售58同城简历”、“简历数据泄露”等问题咨询58同城相关部门人士。58同城回应记者称：“58同城通过技术手段将求职者进行加密，除正常渠道下载外，58内部员工也无法查看简历电话号码”，“58同城通过技术手段禁止了网络爬虫对58同城简历内容的抓取”，此外，58同城正在通过多种风控措施进一步保护求职者信息。

不过，事实与58同城的回应略有出入。

3月23日，记者将该软件以及信息泄露情况提供给多家安全机构，包括猎豹移动、安华金和等安全公司均告诉21世纪经济报道记者：“这个采集软件，是一个恶意爬虫工具。”爬虫软件是一种收集大量信息时的常用软件，而利用漏洞爬取信息则被称为恶意爬虫。

招聘网站允许企业、个人账号搜索简历，是爬虫软件可以采集简历信息的入口。包括58同城、智联招聘、前程无忧等大型招聘网站均提供简历搜索权限，搜索结果呈现大部分个人信息，但查看联系方式则需要向网站付费。

安华金和安全攻防实验室专家告诉记者，“涉及个人隐私的信息，应当防范爬虫软件。”该人士告诉记者，名为集搜客（GooSeeKer）的平台提供了大量爬取58信息的爬虫软件。记者在GooSeeKer发现，多个爬取58本地商户信息、汽车过户联系人信息、保洁公司信息、租房联系人信息的爬虫软件在售。

目前，开始考虑隐私保护的平台已经不再提供简历搜索服务。面向数百万学生实习群体的“实习僧”CTO王承明告诉21世纪经济报道记者：“给企业或者合作商开放权限过大，容易导致信息爬取。‘实习僧’杜绝企业直接搜索简历，企业下载简历的路径也都是动态随机生成，这样避免过度传播。”

理论上，爬虫软件只能爬取到部分简历信息。在招聘网站设置了联系方式的阅读权限之后，爬虫软件并不能爬取其联系方式信息。但遗憾的是，“58同城存在多个安全技术漏洞的组合”，“白帽汇”创始人赵武告诉记者，一是58同城在移动端的一个接口导致可以批量获取用户的简历ID，以及加密不严谨的用户ID信息，二是另一个接口导致用户包括姓名等真实信息泄漏；三是58的微店程序能够通过用户ID获取用户的电话号码，“其实这几个漏洞任何一个都算不上是高危漏洞，但是在多个漏洞的组合情况下，就会造成大范围的数据泄漏，可能被黑产用于电信欺诈等破坏性攻击。”

记者截稿时，白帽汇已经复现了数据泄露的整个过程，并将漏洞整理向监管部门报备。

需要指出，该漏洞或许已经存在很长时间。在精易论坛、52破解等汇集了软件开发者的论坛中，58同城简历采集工具、漏洞分析等相关文章从2016年初就开始不断出现，还有不少开发者推广自己开发的58简历采集工具。

目前，招聘行业普遍存在信息泄露风险。一位曾在智联工作人士告诉记者：“内部对于信息保护并不严格，新来的实习生也可以跟主管要个账号，登录数据库把求职者简历下载到个人电脑上，想下多少都可以，没有限制。”

除此之外，有多个卖家在淘宝出售智联招聘企业账号，其中一个店主告诉记者：“一个账号900元，可以下载200份简历。”该价格远低于官方价格，根据一企业提供的智联招聘合同显示，“一个可以下载200份简历的账号，一年3200元。”此外，前程无忧、猎聘网企业账号也均有出售，均可下载简历。

（编辑 林虹）

• 这个故宫"看门人"火了！敢恶搞皇帝，让鳌拜卖萌…几年间，让故宫形象焕然一新！

• 潘石屹暂不“卖楼”了：资产荒下，在中国拥有房子比拥有人民币要好
  

• 拐点已至？站在新周期起点的中国经济将往何处去？（深度好文！）

本期编辑 陈思颖