【事件预警】CNNVD有关58同城简历泄露事件的通报
发布日期: 2017-03-24

近日,互联网上出现大量爬虫软件,可采集58同城网站全国430多个城市的简历数据,包括“姓名、手机号、求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间”等,影响十分严重。国家信息安全漏洞库(CNNVD)收到北京白帽汇科技有限公司提交的相关事件与漏洞情况的报送,并对此进行了跟踪分析,情况如下:
        一、事件概述
        今晨,多家新闻网站曝出“58同城陷数据泄露:700元可采集网站全国简历信息”,指出目前淘宝电商大量出售58同城简历数据,并出售爬虫软件,能够采集58同城全国简历数据,以及58本地商户信息、汽车过户联系人信息、保洁公司信息、租房联系人信息等多类信息。
        自2016年初开始,关于58同城的爬虫软件不断涌现,如今已成规模。利用这些工具,一天可采集到的数据量达10万条。
58同城网站定位于本地社区及免费分类信息服务,据中国电子商务研究中心(100EC.CN)监测数据显示,58同城月独立用户近3亿,所以此次全国范围内的简历数据泄露事件涉及了大量用户的个人信息,影响十分严重。
        二、相关漏洞
        由于58同城网站存在弱加密等设计缺陷,导致攻击者可通过访问该网站的某些数据查询接口,经过简单的解密还原,获取并关联用户关键信息,进而获取用户简历的全部信息。
        简而言之,攻击者获取简历全部信息可通过以下三个步骤:
        攻击者通过某移动端接口获取部分简历信息(求职方向、年龄、期望月薪、工作经验、居住地、学历、用户ID、更新简历时间等内容)和用户ID;
       攻击者使用用户ID通过另一个接口获取用户的真实姓名;
       攻击者使用用户ID通过另一个程序获取用户的电话号码。
       通过用户ID将三部分信息关联,攻击者就可以获得最完整的用户简历信息,最终实现简历遍历的目的。
       “其实这几个漏洞任何一个都算不上是高危漏洞,甚至可以算是正常的接口功能。但是结合在一起就会造成这样的泄露。”由此可见系统在设计实现过程中需更加全面地考虑安全性。
        三、安全建议
        建议受影响的用户及时将个人简历及相关信息下线,待网站整改完毕后重新上传。
        招聘类网站存储着海量用户个人信息,面临巨大的信息泄露风险。针对此类安全事件,CNNVD建议此类信息平台应建立隐私保护机制和危害消减及应急响应机制,从技术和制度两方面加强对用户个人信息的保护,强化对服务使用者恶意行为的监督和跟踪,一旦发现恶意行为,及时进行处置和消控,避免客观上成为电信诈骗等恶意行为的推手。

本通报由CNNVD技术支撑单位——北京白帽汇科技有限公司提供支持。
        CNNVD将继续跟踪上述事件的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
        联系方式: cnnvd@itsec.gov.cn