信息來源：CNNVD

        近日，互聯(lián)網(wǎng)上出現(xiàn)大量爬蟲軟件，可采集58同城網(wǎng)站全國430多個城市的簡歷數(shù)據(jù)，包括“姓名、手機號、求職方向、年齡、期望月薪、工作經(jīng)驗、居住地、學歷、用戶ID、更新簡歷時間”等，影響十分嚴重。國家信息安全漏洞庫（CNNVD）收到北京白帽匯科技有限公司提交的相關(guān)事件與漏洞情況的報送，并對此進行了跟蹤分析，情況如下：
        一、事件概述
        今晨，多家新聞網(wǎng)站曝出“58同城陷數(shù)據(jù)泄露：700元可采集網(wǎng)站全國簡歷信息”，指出目前淘寶電商大量出售58同城簡歷數(shù)據(jù)，并出售爬蟲軟件，能夠采集58同城全國簡歷數(shù)據(jù)，以及58本地商戶信息、汽車過戶聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息等多類信息。
        自2016年初開始，關(guān)于58同城的爬蟲軟件不斷涌現(xiàn)，如今已成規(guī)模。利用這些工具，一天可采集到的數(shù)據(jù)量達10萬條。
58同城網(wǎng)站定位于本地社區(qū)及免費分類信息服務，據(jù)中國電子商務研究中心(100EC.CN)監(jiān)測數(shù)據(jù)顯示，58同城月獨立用戶近3億，所以此次全國范圍內(nèi)的簡歷數(shù)據(jù)泄露事件涉及了大量用戶的個人信息，影響十分嚴重。
        二、相關(guān)漏洞
        由于58同城網(wǎng)站存在弱加密等設計缺陷，導致攻擊者可通過訪問該網(wǎng)站的某些數(shù)據(jù)查詢接口，經(jīng)過簡單的解密還原，獲取并關(guān)聯(lián)用戶關(guān)鍵信息，進而獲取用戶簡歷的全部信息。
        簡而言之，攻擊者獲取簡歷全部信息可通過以下三個步驟：
        攻擊者通過某移動端接口獲取部分簡歷信息（求職方向、年齡、期望月薪、工作經(jīng)驗、居住地、學歷、用戶ID、更新簡歷時間等內(nèi)容）和用戶ID；
       攻擊者使用用戶ID通過另一個接口獲取用戶的真實姓名；
       攻擊者使用用戶ID通過另一個程序獲取用戶的電話號碼。
       通過用戶ID將三部分信息關(guān)聯(lián)，攻擊者就可以獲得最完整的用戶簡歷信息，最終實現(xiàn)簡歷遍歷的目的。
       “其實這幾個漏洞任何一個都算不上是高危漏洞，甚至可以算是正常的接口功能。但是結(jié)合在一起就會造成這樣的泄露。”由此可見系統(tǒng)在設計實現(xiàn)過程中需更加全面地考慮安全性。
        三、安全建議
        建議受影響的用戶及時將個人簡歷及相關(guān)信息下線，待網(wǎng)站整改完畢后重新上傳。
        招聘類網(wǎng)站存儲著海量用戶個人信息，面臨巨大的信息泄露風險。針對此類安全事件，CNNVD建議此類信息平臺應建立隱私保護機制和危害消減及應急響應機制，從技術(shù)和制度兩方面加強對用戶個人信息的保護，強化對服務使用者惡意行為的監(jiān)督和跟蹤，一旦發(fā)現(xiàn)惡意行為，及時進行處置和消控，避免客觀上成為電信詐騙等惡意行為的推手。

本通報由CNNVD技術(shù)支撐單位——北京白帽匯科技有限公司提供支持。
        CNNVD將繼續(xù)跟蹤上述事件的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。
        聯(lián)系方式: cnnvd@itsec.gov.cn