揭秘58同城信息采集器700塊錢的軟件讓騙子拿到58上所有求職者的姓名、電話、簡歷

　　你剛剛在 58 同城上提交了一份求職信息，兩分鐘后你就接到了面試電話，正是你最想從事的工作，而且條件十分優(yōu)厚，工資高，保險(xiǎn)好，今天簽合同，明天就上班。你興高采烈地答應(yīng)去應(yīng)聘，卻沒想到你踏出家門的瞬間，就可能走向了騙子精心編制的求職陷阱。

　　騙子在面試時(shí)會(huì)向你各種展示公司的實(shí)力，讓你感覺今生如果不在此地工作，人生就充滿了遺憾。然后話鋒一轉(zhuǎn)，需要你提交工作押金、高額體檢費(fèi)用等等。

　　當(dāng)你被升職加薪出任總經(jīng)理迎娶白富美的美好幻覺豬油蒙心的時(shí)候，很可能就會(huì)乖乖掏腰包，把今天中午的飯錢都掏給騙子。

　　你還對(duì)他說：謝謝啊！

　　你的求職信息，在發(fā)出后的一瞬間就到了騙子手上，這不是危言聳聽，這是事實(shí)。這就是黑產(chǎn)中盛行的一類“58同城信息采集器”的神奇作用。

　　【某“58同城信息采集器”截圖/圖片由白帽匯提供】

　　這個(gè)神器可以做到什么呢？

　　為了搞清這類“58信息采集器”究竟是何方神圣，雷鋒網(wǎng)宅客頻道找到了安全公司白帽匯一鍵文章采集，他們對(duì)其中一款進(jìn)行了測試，白帽匯 CEO 趙武告訴宅客頻道：

　　這個(gè)軟件利用了58系統(tǒng)的一些不算高危的漏洞組合，可以把求職者的全部信息爬下來，這其中包括用戶的姓名、手機(jī)號(hào)、求職方向、年齡、期望月薪、工作經(jīng)驗(yàn)、居住地、學(xué)歷、用戶ID、更新簡歷時(shí)間等等。根據(jù)我們的測試，這類軟件可以一直不停地爬網(wǎng)站數(shù)據(jù)，直到把網(wǎng)站的所有求職者數(shù)據(jù)都爬下來。

　　實(shí)際上，你在58同城上提交的求職信息，當(dāng)然是可以被用人單位查看的，但是58同城的標(biāo)準(zhǔn)做法是向58購買簡歷套餐，每份簡歷約合14.5元-20元。但是在黑市中購買“58信息采集器”，卻只需要700塊左右。

　　也就是說，如果騙子買到了這個(gè)“58同城信息采集器”，就可以用非常低的成本獲得他想要的信息，從而有針對(duì)性地?fù)艹鲈p騙電話。

　　根據(jù)趙武的介紹，從技術(shù)上來說，這類工具可以按照用戶的“解密ID”來排列用戶信息，也就是說，越是最新發(fā)布的求職消息，越會(huì)最先被這類軟件獲得。

　　【泄露的信息截圖】

　　這種對(duì)58的盜竊已經(jīng)泛濫到什么程度了呢？

　　對(duì)于這種“信息采集器”，各個(gè)灰色產(chǎn)業(yè)有幾種利用方法：

　　根據(jù)另一位知情人士提供的信息，在地下產(chǎn)業(yè)中，有專門的組織利用這類“58信息采集器”大批量地拖58同城的數(shù)據(jù)，然后形成自己的“信息庫”，轉(zhuǎn)手賣給有招工需求的公司或者“有招工需求”的騙子。

　　宅客頻道看到，根據(jù)《21世紀(jì)經(jīng)濟(jì)報(bào)道》的調(diào)查，在淘寶上批發(fā)“58同城簡歷數(shù)據(jù)”，“一次購買2萬份以上，3毛一條；10萬以上，2毛一條。要多少有多少，全國同步實(shí)時(shí)更新。”這類軟件可采集全國430多個(gè)城市，464個(gè)職業(yè)的簡歷數(shù)據(jù)。

　　【通過采集器可以獲取的信息】

　　實(shí)際上，如果你能找到渠道都買一個(gè)這類采集器，它可以根據(jù)你的限定條件來實(shí)時(shí)搜索你要的求職者信息。例如：你可以選定北京，再選定想找編程工作的求職者，那么所有的信息都會(huì)按照時(shí)間順序由新到舊排列下去，任君選擇。

　　根據(jù)上述知情人士的透露，這類軟件的泛濫程度令人發(fā)指，很多正規(guī)公司都購買這樣的軟件，直接繞過58的付費(fèi)系統(tǒng)來進(jìn)行招聘。這其中甚至有超出你想象的大企業(yè)和公司。

　　白帽匯 CEO 趙武告訴雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))宅客頻道，

　　我們調(diào)查了其中一個(gè)軟件，發(fā)現(xiàn)它已經(jīng)相當(dāng)成熟，例如軟件可以做到和機(jī)器綁定，每天只允許最多切換十臺(tái)機(jī)器登陸。一旦我換機(jī)器登陸，還會(huì)提示我扣除一定時(shí)間的使用時(shí)長。

　　我們還查看了它的更新文檔，發(fā)現(xiàn)它有相當(dāng)長的更新歷史，從1.0到2.0到3.0，在文檔中我們還發(fā)現(xiàn)，招聘信息盜取有可能只是他們的一個(gè)小業(yè)務(wù)，因?yàn)槠渲羞€涉及到車管所、游戲賬戶等等服務(wù)。這很可能是一個(gè)大的產(chǎn)業(yè)鏈的一部分。

　　【破解論壇上流傳的各種58同城數(shù)據(jù)采集器】

　　這種信息盜取究竟如何實(shí)現(xiàn)的？

　　趙武為雷鋒網(wǎng)宅客頻道簡單分析了一下這種盜取的技術(shù)：

　　1、利用58同城在移動(dòng)端的一個(gè)接口，通過這個(gè)借口可以批量獲取用戶的簡歷ID以及加密不嚴(yán)謹(jǐn)?shù)挠脩鬒D信息

　　2、利用另一個(gè)接口導(dǎo)致用戶包括姓名等真實(shí)信息泄漏。

　　3、通過58的微店程序能夠通過用戶ID最終獲取用戶的電話號(hào)碼。

　　其實(shí)這幾個(gè)漏洞任何一個(gè)都算不上是高危漏洞，甚至可以算是正常的接口功能。但是結(jié)合在一起就會(huì)造成這樣的泄露。

　　趙武同時(shí)告訴宅客頻道，根據(jù)他們的調(diào)查，目前58同城的求職信息沒有發(fā)生大規(guī)模地公開泄露，但是根據(jù)這類軟件的成熟程度來推測，很可能這類軟件已經(jīng)被大規(guī)模傳播，用戶信息被一些組織非法盜取進(jìn)行“私用”。

　　目測隨著更多媒體關(guān)注這個(gè)事件，也會(huì)有更多的騙子和黑產(chǎn)集團(tuán)盯上這種方法。如果你剛剛投遞了簡歷，一定要小心，仔細(xì)甄別電話那頭的“老板”是不是騙子。也請你趕快把這類騙術(shù)告訴你的朋友，避免他們上當(dāng)。

　　相信58同城也會(huì)在第一時(shí)間進(jìn)行技術(shù)上的升級(jí)。