信息來源：CNNVD

        近日，互聯(lián)網(wǎng)上出現(xiàn)大量爬蟲軟件，可采集58同城網(wǎng)站全國430多個(gè)城市的簡歷數(shù)據(jù)，包括“姓名、手機(jī)號(hào)、求職方向、年齡、期望月薪、工作經(jīng)驗(yàn)、居住地、學(xué)歷、用戶ID、更新簡歷時(shí)間”等，影響十分嚴(yán)重。國家信息安全漏洞庫（CNNVD）收到北京白帽匯科技有限公司提交的相關(guān)事件與漏洞情況的報(bào)送，并對(duì)此進(jìn)行了跟蹤分析，情況如下：
        一、事件概述
        今晨，多家新聞網(wǎng)站曝出“58同城陷數(shù)據(jù)泄露：700元可采集網(wǎng)站全國簡歷信息”，指出目前淘寶電商大量出售58同城簡歷數(shù)據(jù)，并出售爬蟲軟件，能夠采集58同城全國簡歷數(shù)據(jù)，以及58本地商戶信息、汽車過戶聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息等多類信息。
        自2016年初開始，關(guān)于58同城的爬蟲軟件不斷涌現(xiàn)，如今已成規(guī)模。利用這些工具，一天可采集到的數(shù)據(jù)量達(dá)10萬條。
58同城網(wǎng)站定位于本地社區(qū)及免費(fèi)分類信息服務(wù)，據(jù)中國電子商務(wù)研究中心(100EC.CN)監(jiān)測(cè)數(shù)據(jù)顯示，58同城月獨(dú)立用戶近3億，所以此次全國范圍內(nèi)的簡歷數(shù)據(jù)泄露事件涉及了大量用戶的個(gè)人信息，影響十分嚴(yán)重。
        二、相關(guān)漏洞
        由于58同城網(wǎng)站存在弱加密等設(shè)計(jì)缺陷，導(dǎo)致攻擊者可通過訪問該網(wǎng)站的某些數(shù)據(jù)查詢接口，經(jīng)過簡單的解密還原，獲取并關(guān)聯(lián)用戶關(guān)鍵信息，進(jìn)而獲取用戶簡歷的全部信息。
        簡而言之，攻擊者獲取簡歷全部信息可通過以下三個(gè)步驟：
        攻擊者通過某移動(dòng)端接口獲取部分簡歷信息（求職方向、年齡、期望月薪、工作經(jīng)驗(yàn)、居住地、學(xué)歷、用戶ID、更新簡歷時(shí)間等內(nèi)容）和用戶ID；
       攻擊者使用用戶ID通過另一個(gè)接口獲取用戶的真實(shí)姓名；
       攻擊者使用用戶ID通過另一個(gè)程序獲取用戶的電話號(hào)碼。
       通過用戶ID將三部分信息關(guān)聯(lián)，攻擊者就可以獲得最完整的用戶簡歷信息，最終實(shí)現(xiàn)簡歷遍歷的目的。
       “其實(shí)這幾個(gè)漏洞任何一個(gè)都算不上是高危漏洞，甚至可以算是正常的接口功能。但是結(jié)合在一起就會(huì)造成這樣的泄露。”由此可見系統(tǒng)在設(shè)計(jì)實(shí)現(xiàn)過程中需更加全面地考慮安全性。
        三、安全建議
        建議受影響的用戶及時(shí)將個(gè)人簡歷及相關(guān)信息下線，待網(wǎng)站整改完畢后重新上傳。
        招聘類網(wǎng)站存儲(chǔ)著海量用戶個(gè)人信息，面臨巨大的信息泄露風(fēng)險(xiǎn)。針對(duì)此類安全事件，CNNVD建議此類信息平臺(tái)應(yīng)建立隱私保護(hù)機(jī)制和危害消減及應(yīng)急響應(yīng)機(jī)制，從技術(shù)和制度兩方面加強(qiáng)對(duì)用戶個(gè)人信息的保護(hù)，強(qiáng)化對(duì)服務(wù)使用者惡意行為的監(jiān)督和跟蹤，一旦發(fā)現(xiàn)惡意行為，及時(shí)進(jìn)行處置和消控，避免客觀上成為電信詐騙等惡意行為的推手。

本通報(bào)由CNNVD技術(shù)支撐單位——北京白帽匯科技有限公司提供支持。
        CNNVD將繼續(xù)跟蹤上述事件的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。
        聯(lián)系方式: cnnvd@itsec.gov.cn