你上一秒在招聘网站上投的简历,下一秒就有可能出现在简历黑市上。近日,深圳市公安局龙华分局网警大队破获的一起贩卖公民个人信息案件,数千条包含有个人姓名、照片、家庭住址、电话、QQ号、微信号、邮箱、教育背景、工作履历的个人简历被不法分子层层倒卖,而信息泄露的源头竟然是招聘公司内鬼。
南都记者进一步调查发现,大量招聘网站的个人简历在“黑市”上被标价出售,最低3毛一条,还有商家公然出售所谓简历信息采集器,声称可自动爬取知名招聘网站上的用户个人简历信息,购买软件“无限量”导数据。简历“黑市”活跃的背后,存在一条简历买卖产业链,而公司“内鬼”、大数据公司非法窃取成信息泄露源头。
北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心秘书长吴沈括认为,作为网络招聘平台,其有义务保证平台数据的完整性、真实性和可用性,通过技术、管理以及其他综合性措施来保证平台的数据安全、不泄露。
“黑市”上叫卖最低3毛一条,700元一套简历采集器可“无限量”导出
网络上经常看到这样的吐槽,刚在招聘网站投的简历,马上就收到不少自称是用人单位打来的电话询问是否正在找工作,明明不是自己投递的岗位,自己的个人信息却被对方知道的一清二楚,更有不少人还频繁接到各种房产推销、保险经营的骚扰电话。
南都记者调查发现,在QQ群、贴吧、二手交易平台上,有不少公开出售智联招聘、58同城、BOSS直聘等招聘网站上个人简历的帖子。以“简历售卖”、“简历下载”为关键词在QQ群中搜索,有多个出售58同城、智联招聘等知名招聘网站的简历信息的QQ群,最大的群人数有上千人。
以简历售卖”、“简历下载”为关键词在QQ群中搜索,有大量出售知名招聘网站简历信息的QQ群。
“智联招聘简历,全国各地区都有”、“长期售卖58赶集全国简历价格优惠”、“北京全国简历下载,也可群内交换简历”,不少卖家都公开备注了详细的售卖信息。有卖家在QQ群里称,可以指定求职者年龄、性别、地区,售价2.2元/条,而二手的则更便宜,仅售0.3元/条。
而在一些二手购物平台上,售卖个人简历的现象同样普遍。一位售卖简历的卖家,称他手上有上万份简历,“58同城、智联招聘、赶集网的都有”,每份简历售价1.5元,“全国随机,不指定地区”,购买量大价格还可以再优惠。
南都记者了解到,这些公开售卖、明码标价的个人信息,根据地域、行业类别的不同,简历的价格标准也不一样。二手平台上一位出售智联招聘简历的卖家告诉南都记者,“北上广都比较贵”、“北京地区每份简历要卖六七元”。
而除出售简历信息外,企业账号也可以被当成商品出售或转卖,有卖家告诉记者,购买企业账号可以直接下载招聘网站求职者投递的简历信息,“地区行业你说了算”。
除公然出售个人简历外,南都记者发现,二手平台上还有商家出售所谓简历信息采集器,这类软件可自动爬取知名招聘网站上的用户个人简历信息,购买软件“无限量”导数据,还可以帮忙介绍“客户”。
QQ上一位出售58简历信息采集器的商家向南都记者表示,他的软件可实时导出58同城、赶集网简历数据,采用的是“双接口”和爬虫技术,软件安装在PC端后,设置好条件便可进行实时数据导出,“上手快好操作”,一套软件售价700元,使用期限为一个月,之后想再用需要再续费。
网售简历采集器700元一套,卖家称简历数据“无限量”导出。
根据卖家发来的视频截图,这种简历采集器设有城市、兼职岗位、性别、年龄和发布时间等筛选条件,采集到的数据包括姓名、手机号码、学历信息、工作年限、期待月薪等个人信息。
卖家向记者发来的简历采集器操作页面,称可导出包括个人姓名、手机号码、学历信息、工作年限、期待月薪等个人简历信息。
采访过程中,有商家还提醒南都记者,网售简历信息采集器也有优劣之分,有商家的软件是用搭建好的数据库,可供提取的数据一共才几千条,并不能实时导出网站有效数据。
行业“内鬼”、大数据公司非法窃取成信息泄露源头
那么,这些简历信息是如何被泄露的?泄露出去的个人信息又被用作什么目的?南都记者调查发现,行业“内鬼”是个人信息泄露的重要源头,一些员工受利益引诱,铤而走险倒卖用户个人信息。
今年7月,深圳网警接网民举报,有人在网上公然贩卖公民个人信息,被贩卖的个人信息详尽到个人姓名、照片、家庭住址、电话、QQ号、微信号、邮箱、教育背景、工作履历等。根据举报线索,警方在深圳龙华区某出租屋内将涉案嫌疑人刘某抓获。
据警方介绍,刘某到案后供述称,其了解到招聘网站上一些企业账号可以批量下载个人简历,通过倒卖个人简历可以获取利益,于是就在网上寻找招聘公司的员工,来帮助其获得一些有下载权限的企业账号。据刘某供述,一直给他提供公民个人信息的人是南山某公司的员工王某,二人在社交网站上相识。
警方调查发现,王某利用工作机会,在公司寻找一些不再使用或者即将过期的公司账号卖给刘某,这些企业账号每个可以下载300到400份个人简历,刘某通过这种手段获取了数千份个人简历,通过在各类社交平台群组里发售卖个人简历的信息,再以每份1到4元的价格倒卖出去,短短几个月内,就获利超过1万元。目前,涉案的犯罪嫌疑人刘某和王某2人已被警方抓获,案件正在进一步调查中。
除上述深圳警方破获的贩卖个人简历一案,南都此前报道的智联招聘员工参与倒卖个人信息一案中,2名智联招聘销售人员,不但协助外部人员伪造虚假的企业营业执照,还通过公司内部获取了超过60个企业名称,将企业账号低价非法出售给第三方。据了解,该案涉及的个人简历超过16万份。
据智联招聘官方数据显示,智联招聘上的知名企业覆盖超过456万家,平台拥有1.8亿注册用户。同样是智联招聘,此前也曾被爆出两名内部员工私自将公司15余万条个人简历信息非法低价出售给他人,从中谋取利益。
除行业“内鬼”泄露个人信息外,南都记者发现,有所谓大数据公司打非法窃取招聘网站上的简历。今年5月,北京警方破获的巧达科技非法获取计算机信息系统数据案备受关注。据新华社报道,这家企业非法爬取用户数据,数量之大、牟利之巨,令人咋舌,公司法人王某某等36人被检察机关依法批准逮捕。这些简历信息等数据被用在教育培训、保险、招聘等行业,为巧达科技带来了大量收入。
警方查明,巧达科技的简历数据库全部是通过非法手段爬取而来,嫌疑人通过利用大量代理IP地址、伪造设备标识等技术手段,绕过招聘网站服务器防护策略,窃取存放在服务器上的用户数据。
专家:网络招聘公司有义务保证平台数据的安全、不泄露
根据艾媒咨询今年3月发布的《2019中国互联网招聘行业市场研究报告》数据显示,在网络招聘平台各种不良体验中,求职者认为个人信息遭泄露让人不胜其烦,这项占比为31.8%,仅次于企业信息不真实选项。
报告显示,网络招聘平台各种不良体验中,个人信息遭泄露占比为31.8%。
招聘公司“内鬼”泄露简历一案引起社会关注的同时,关于网络招聘平台管理运营规范、用户简历等隐私数据是否安全的讨论也不断。
中国社会科学院研究生院周汉华教授在接受南都记者采访时表示,很多网络黑灰产犯罪团伙建有专门的团队,团队有专业分工,线下也有所谓大数据公司。线上线下一体化经营,以大数据交易的名义,公然进行个人信息的交易和买卖。侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等违法犯罪行为,互联网黑灰产业链面临着严峻的形势。
北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心秘书长吴沈括告诉南都记者,出于非法的目的、通过侵入的方式、破坏的方式、绕开安全措施的方式进行的数据爬取,本身就是违法行为,其行为可能构成刑法第286条“破坏计算机信息系统罪”。
从数据流转的过程来看,吴沈括认为,网络招聘平台应当保证数据的搜集、使用和向第三方提供数据的整个链条的合法性,平台有法定义务对整个数据的流向进行跟踪、检测。如果违反上述法定义务的相关规定,造成严重的后果,平台可能会构成违反刑法第253条之一关于“侵犯公民个人信息罪”的相关规定。
吴沈括告诉南都记者,根据网络安全法的相关规定,作为网络招聘平台,其有义务保证平台数据的完整性、真实性和可用性,通过技术、管理以及其他综合性措施来保证平台的数据安全、不泄露。另外,根据法律相关规定,如果出现数据外泄的情况,平台有及时向公安机关进行数据泄露报告的义务。
个人信息泄露对个人安全造成了严重威胁,近年来,相关部门虽严厉打击,这条黑灰产业链仍未得到全面遏制。招聘网站的个人简历,详细到姓名、电话、邮箱、住址、教育背景、工作经历、社会活动、薪酬概况等,这些资料一旦被不法分子掌握,隐藏的社会风险可想而知。
吴沈括告诉南都记者,招聘网站个人简历信息泄露可能造成非常严重的后果,一方面会对被泄露简历的求职者的人格尊严造成侵害,另一方面,如果求职者个人简历遭到泄露后,再被黑产犯罪团伙用于诈骗,会威胁公民的人身、财产安全。
采写:南都记者 王琦