【事件預警】CNNVD有關58同城簡歷泄露事件的通報

近日，互聯網上出現大量爬蟲軟體，可採集

58

同城網站全國

多個城市的簡曆數據，包括

姓名、手機號、求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶

、更新簡歷時間

」

等，影響十分嚴重。國家信息安全漏洞庫（

）收到北京白帽匯科技有限公司提交的相關事件與漏洞情況的報送，並對此進行了跟蹤分析，情況如下：

一、

事件概述

今晨，多家新聞網站曝出

「58

同城陷數據泄露：

元可採集網站全國簡歷信息

，指出目前淘寶電商大量出售

同城簡曆數據，並出售爬蟲軟體，能夠採集

58

同城全國簡曆數據，以及

本地商戶信息、汽車過戶聯繫人信息、保潔公司信息、租房聯繫人信息等多類信息。

自

年初開始，關於

同城的爬蟲軟體和相關技術討論不斷湧現，如今已成規模。利用這些工具，一天可採集到的數據量達

萬條。

58

同城網站定位於本地社區及免費分類信息服務，據中國電子商務研究中心

監測數據顯示，

同城月獨立用戶近

億，所以此次全國範圍內的簡曆數據泄露事件涉及了大量用戶的個人信息，影響十分嚴重。

二、

相關漏洞

由於

同城網站存在弱加密等設計缺陷，導致攻擊者可通過訪問該網站的某些數據查詢介面，經過簡單的解密還原，獲取並關聯用戶關鍵信息，進而獲取用戶簡歷的全部信息。

簡而言之，攻擊者獲取簡歷全部信息可通過以下三個步驟：

1、

攻擊者通過某移動端介面獲取部分簡歷信息（求職方向、年齡、期望月薪、工作經驗、居住地、學歷、用戶

ID

、更新簡歷時間等內容）和簡歷

ID

；

2、

攻擊者使用簡歷

ID

通過另一個介面獲取用戶的真實姓名；

3、

攻擊者使用用戶

ID

通過另一個網站頁面獲取用戶的電話號碼。

通過用戶

將三部分信息關聯，攻擊者就可以獲得最完整的用戶簡歷信息，最終實現簡歷遍歷的目的。

「其實這幾個漏洞任何一個都算不上是高危漏洞，甚至可以算是正常的介面功能。但是結合在一起就會造成這樣的泄露。」

由此可見系統在設計實現過程中需更加全面地考慮安全性。

三、

安全建議

建議受影響的用戶及時將個人簡歷及相關信息下線，待網站整改完畢後重新上傳。

招聘類網站存儲著海量用戶個人信息，面臨巨大的信息泄露風險。針對此類安全事件，

建議此類信息平台應建立隱私保護機制和危害消減及應急響應機制，從技術和制度兩方面加強對用戶個人信息的保護，強化對服務使用者惡意行為的監督和跟蹤，一旦發現惡意行為，及時進行處置和消控，避免客觀上成為電信詐騙等惡意行為的推手。

本通報由

CNNVD

技術支撐單位

——

北京白帽匯科技有限公司提供支持。

CNNVD

將繼續跟蹤上述事件的相關情況，及時發布相關信息。如有需要，可與

CNNVD

聯繫。

聯繫方式

: cnnvd@itsec.gov.cn

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！