安全動(dòng)態(tài)

【事件預(yù)警】CNNVD有關(guān)58同城簡(jiǎn)歷泄露事件的通報(bào)
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-03-25    瀏覽次數(shù):
 

信息來(lái)源:CNNVD

        近日,互聯(lián)網(wǎng)上出現(xiàn)大量爬蟲(chóng)軟件,可采集58同城網(wǎng)站全國(guó)430多個(gè)城市的簡(jiǎn)歷數(shù)據(jù),包括“姓名、手機(jī)號(hào)、求職方向、年齡、期望月薪、工作經(jīng)驗(yàn)、居住地、學(xué)歷、用戶(hù)ID、更新簡(jiǎn)歷時(shí)間”等,影響十分嚴(yán)重。國(guó)家信息安全漏洞庫(kù)(CNNVD)收到北京白帽匯科技有限公司提交的相關(guān)事件與漏洞情況的報(bào)送,并對(duì)此進(jìn)行了跟蹤分析,情況如下:
        一、事件概述
        今晨,多家新聞網(wǎng)站曝出“58同城陷數(shù)據(jù)泄露:700元可采集網(wǎng)站全國(guó)簡(jiǎn)歷信息”,指出目前淘寶電商大量出售58同城簡(jiǎn)歷數(shù)據(jù),并出售爬蟲(chóng)軟件,能夠采集58同城全國(guó)簡(jiǎn)歷數(shù)據(jù),以及58本地商戶(hù)信息、汽車(chē)過(guò)戶(hù)聯(lián)系人信息、保潔公司信息、租房聯(lián)系人信息等多類(lèi)信息。
        自2016年初開(kāi)始,關(guān)于58同城的爬蟲(chóng)軟件不斷涌現(xiàn),如今已成規(guī)模。利用這些工具,一天可采集到的數(shù)據(jù)量達(dá)10萬(wàn)條。
58同城網(wǎng)站定位于本地社區(qū)及免費(fèi)分類(lèi)信息服務(wù),據(jù)中國(guó)電子商務(wù)研究中心(100EC.CN)監(jiān)測(cè)數(shù)據(jù)顯示,58同城月獨(dú)立用戶(hù)近3億,所以此次全國(guó)范圍內(nèi)的簡(jiǎn)歷數(shù)據(jù)泄露事件涉及了大量用戶(hù)的個(gè)人信息,影響十分嚴(yán)重。
        二、相關(guān)漏洞
        由于58同城網(wǎng)站存在弱加密等設(shè)計(jì)缺陷,導(dǎo)致攻擊者可通過(guò)訪問(wèn)該網(wǎng)站的某些數(shù)據(jù)查詢(xún)接口,經(jīng)過(guò)簡(jiǎn)單的解密還原,獲取并關(guān)聯(lián)用戶(hù)關(guān)鍵信息,進(jìn)而獲取用戶(hù)簡(jiǎn)歷的全部信息。
        簡(jiǎn)而言之,攻擊者獲取簡(jiǎn)歷全部信息可通過(guò)以下三個(gè)步驟:
        攻擊者通過(guò)某移動(dòng)端接口獲取部分簡(jiǎn)歷信息(求職方向、年齡、期望月薪、工作經(jīng)驗(yàn)、居住地、學(xué)歷、用戶(hù)ID、更新簡(jiǎn)歷時(shí)間等內(nèi)容)和用戶(hù)ID;
       攻擊者使用用戶(hù)ID通過(guò)另一個(gè)接口獲取用戶(hù)的真實(shí)姓名;
       攻擊者使用用戶(hù)ID通過(guò)另一個(gè)程序獲取用戶(hù)的電話(huà)號(hào)碼。
       通過(guò)用戶(hù)ID將三部分信息關(guān)聯(lián),攻擊者就可以獲得最完整的用戶(hù)簡(jiǎn)歷信息,最終實(shí)現(xiàn)簡(jiǎn)歷遍歷的目的。
       “其實(shí)這幾個(gè)漏洞任何一個(gè)都算不上是高危漏洞,甚至可以算是正常的接口功能。但是結(jié)合在一起就會(huì)造成這樣的泄露?!庇纱丝梢?jiàn)系統(tǒng)在設(shè)計(jì)實(shí)現(xiàn)過(guò)程中需更加全面地考慮安全性。
        三、安全建議
        建議受影響的用戶(hù)及時(shí)將個(gè)人簡(jiǎn)歷及相關(guān)信息下線(xiàn),待網(wǎng)站整改完畢后重新上傳。
        招聘類(lèi)網(wǎng)站存儲(chǔ)著海量用戶(hù)個(gè)人信息,面臨巨大的信息泄露風(fēng)險(xiǎn)。針對(duì)此類(lèi)安全事件,CNNVD建議此類(lèi)信息平臺(tái)應(yīng)建立隱私保護(hù)機(jī)制和危害消減及應(yīng)急響應(yīng)機(jī)制,從技術(shù)和制度兩方面加強(qiáng)對(duì)用戶(hù)個(gè)人信息的保護(hù),強(qiáng)化對(duì)服務(wù)使用者惡意行為的監(jiān)督和跟蹤,一旦發(fā)現(xiàn)惡意行為,及時(shí)進(jìn)行處置和消控,避免客觀上成為電信詐騙等惡意行為的推手。

本通報(bào)由CNNVD技術(shù)支撐單位——北京白帽匯科技有限公司提供支持。
        CNNVD將繼續(xù)跟蹤上述事件的相關(guān)情況,及時(shí)發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。
        聯(lián)系方式: cnnvd@itsec.gov.cn 

 
 

上一篇:2017年03月24日 聚銘安全速遞

下一篇:大數(shù)據(jù)國(guó)家工程實(shí)驗(yàn)室揭牌 360積極助力中國(guó)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展