11月17日,圆通速递公司回应“‘内鬼’致40万条个人信息泄露”一事称,疑似有加盟网点个别员工与外部不法分子勾结窃取运单信息,导致信息外泄。公司向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。
此事引发的关于个人信息泄露的讨论仍在继续。记者梳理公开资料发现,“圆通”此次“内鬼”事件并非先例:此前,包括圆通、顺丰等在内的多家快递公司都曾被曝光有类似的个人信息泄露事件,也有“内鬼”受到了惩处。
“内鬼”之外,消费者隐私被窃取的方式还包括面单拍照、系统软件漏洞等。记者调查发现,目前,快递信息买卖生意在网络盛行。其中,快递单号可自助购买,而个人信息齐全的快递面单信息公然在网络售卖,1元可买到1条。个人信息买卖已形成黑色产业链。
事件:
“圆通”被曝有“内鬼”泄露40万条个人信息,嫌疑人已落网
近日,有媒体曝光,不法分子与圆通速递公司多名“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员,40万条公民个人信息被泄露。针对此事,11月17日,圆通速递公司官方微博做出回应。
圆通速递公司在回应中表示,今年7月底,公司总部实时运行的风控系统监测到圆通速递公司河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。
调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。
圆通速递公司称,公司核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全。他们还称,将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。
劣迹:
多家快递公司曾被曝有“内鬼”,上千万条个人信息被泄露
随着快递物流行业的发展,信息安全泄露问题愈发严峻。
记者梳理公开资料发现,“圆通”此次“内鬼”事件并非先例:此前,包括圆通、顺丰等在内的多家快递公司都曾被曝光有类似的个人信息泄露事件,也有“内鬼”受到了惩处。
早在2012年,就有媒体报道称,包括申通、圆通、中通等多家快递公司的快递单号的信息被大量泄露,单号被放到网上公开售卖,价格从0.4元到2元不等。
2013年,圆通速递公司被曝出快件信息泄露,引发关注。据媒体2013年12月报道,“www.17s.cm”这个网址除了帮助电子商务卖家互刷信誉冲击“皇冠”,还自称与上海圆通公司合作,长期出售快递面单信息。圆通公司向上海警方报案后,警方成立专案组展开调查。经分析,该网站所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收货地址等。
警方进一步调查发现,网站注册人陈某伙同张某开办网站,设立了“快递单出售”功能模块出售公民个人信息,每条信息售价0.9元,每天出售约900条。这些信息都是在圆通公司工作的“内鬼”林某提供,张某以每月500元的价格大量购买。截至案发,网站已经出售公民个人信息20余万条。
此外,2018年5月,湖北荆州中级人民法院宣判一起与快递公司有关的涉嫌公民信息泄露案件。该案以顺丰员工为信息泄露主体,形成了以快递代理商、文化公司、无业游民、诈骗犯罪分子等多方参与的黑色产业链。判决书显示,2016年11月,荆州市沙市区解放路派出所在对辖区企业进行安全检查过程中发现,顺丰荆州某网点仓管汪某频繁登录公司内部系统查询,有较大嫌疑。法庭判决书称,事件起因是顺丰荆州公司主动报案。
判决书显示,河北顺丰快递员杜某从2015年10月起,与顺丰荆州某网点仓管汪某夫妇联系,以每条两元的价格购买客户信息。夫妻俩出售个人信息4000余条,获利8497元。截至2016年年底被抓,杜某共出售用户隐私1.9万余组,获利16万余元。
据悉,此案查获涉嫌被泄露的公民个人信息上千万条,涉及交易金额达200余万元。嫌疑人涉案金额在数十万元,以杜某最高为16万元,其余人从几千元到两三万元不等。
个人信息买卖已形成黑色产业链。上海市公安局有关负责人曾向记者介绍,黑客或“内鬼”盗取信息,中间商从他们手中获取大量信息并建立数据库,信息使用者从他们手中购买信息用于精准推销,甚至用于诈骗、敲诈勒索等下游犯罪。除黑客攻击外,包括物流行业在内的多个行业是信息泄露的“重灾区”,部分从业者将个人信息当作商业信息非法买卖,非法获取及出售公民个人信息呈现职业化趋势。
乱象:
快递单号可自助购买,快递面单信息1元1条
记者了解到,除“内鬼”泄密之外,目前消费者隐私被窃取的方式还有面单拍照、系统软件漏洞以及外挂等。记者调查发现,目前,快递单买卖生意在网络盛行,个人信息齐全的快递面单1元就可买到。
10月17日,记者以“快递单号购买”作为关键字在网络搜索,发现数家公开售卖快递单号的网站。记者进入网站,注册登录之后,“单号中心”一栏中有“选购快递单号”“批量购买单号”“电商自动配单系统”等选择,买家可根据快递的发货地址、收货地址和快递类型自助购买。
记者注意到,每条快递单号的售价为0.5元,购买快递单号需要先充值,每次充值至少充10元。一次性充值20元能送永久VIP,而一次性充值500元则送100元,单条快递信息售价降至0.3元,并且还能成为代理,推广能享受20%的提成。
在客服的指导下,记者以0.5元购买了一条11月13日发货地为广州市番禺区,收货地为北京市朝阳区的快递信息,获取了该快递单号以及相关的物流信息,但该网站售卖的快递单的信息并不完整,未提供收货人姓名、手机号码以及具体的收货地址等详细信息。
据了解,出售的快递单号主要供电商平台的卖家刷单使用,卖家通过制造虚假交易来提高自身的销量和信誉度。有些卖家还会购买快递空包,填写地址后发送空包裹,或者在里面放纸巾、石头等价值不高的东西,保留底单以防电商平台抽查。
与快递单号不同,快递面单则包括更多信息。除了单号外,还包括寄件人姓名以及收件人姓名、联系方式、准确地址等。
“本工作室长期大量诚心出售实时面单(照片1元 文档2元 拉群50元)”,记者在某平台发现了一条出售快递面单的帖子,并与对方取得了联系。“照片的不做了,现在都是做文档形式的。”这位卖家表示。随后,其发来一个内含2000多条快递信息的文档给记者“做测试使用”。
记者在该文档中看到,每条信息都包含快递单号、收件人的姓名、手机号码、收货地址以及寄件人姓名。其中,从名称来看,寄件人多为商家,收件人遍布全国各地。
记者随机选取了几个快递单号进行查询,发现确为有效单号。查询网站显示,这些单号均来自韵达快递,相关快件均已在此前不久的11月8日左右被签收。
据该卖家介绍,这些快递信息来自各个快递公司,历史信息每条1元,实时信息每条2元。问及这些信息通过何种方式得到,对方则表示“渠道你别管,肯定安全”。他还表示,“客户”每天都需要从他这里获得几百条、几千条到几万条不等的信息。
专家:
“圆通”回应好像“自我表扬”,应追究其管理责任
内部员工与外部不法分子勾结,导致40多万条公民个人信息泄露,圆通速递公司17日发布声明并道歉,称系主动发现报案,并表态要坚决打击违法行为。
为何“圆通”的回应给人一种“我发现的、我报案的、我配合参与全过程”的自我表扬感?个人信息泄露频发,究竟有没有办法?对此,中国社科院法学研究所副所长周汉华接受采访时进行了解读。
周汉华表示,“圆通”的回应确实给人“自我表扬”的印象。类似的案子如果发生在发达国家,对于平台公司会有很大冲击。用户是在和平台、“圆通”打交道,而“圆通”内部管理上出现了严重问题,所以“圆通”不应该只是道歉,现在该怎样进行整改、后续有哪些措施,都应该给用户一个说法。
周汉华认为,圆通公司几名员工外租自己的员工账号,造成了40多万条公民个人信息泄露,“圆通”的内部管理已经存在非常严重的问题。
周汉华表示,现有的相关法律法规,包括刑法修正之后,“拒不履行信息网络安全管理义务罪”中有一项具体行为是“致使用户信息泄露,造成严重后果的”,因此行政执法部门,包括刑事执法部门都应该跟进追究相关人员、公司的责任。“拒不履行信息网络安全管理义务罪”这个武器要用,否则这样的事情就会层出不穷。
周汉华表示,国际上现在对于个人信息保护面临一个问题,到底是打“苍蝇”还是打“老虎”?“苍蝇”往往是中下游的,“圆通”这个案子中的5个员工就属于“苍蝇”,平台、大公司就是“老虎”。
他认为,如果真正要解决个人信息滥用问题,不打“老虎”是没有用的,国际上都是打“老虎”。“苍蝇”当然也要打,但打“苍蝇”更多是通过治安管理处罚,包括追究刑事责任等。侵犯公民个人信息罪当中的50条、500条、5000条的标准,对于自然人来说是构成刑事责任了,但这对于“大老虎”来说,是远远不够的。
关于侵犯公民个人信息的行为,相关法律法规很多,而且刑法修正案还专门确立了侵犯公民个人信息罪。周汉华认为,现在面临的问题是“牙齿不够锋利”,规定往往处于“沉睡状态”。“民事维权成本非常大,收益非常低。大家每天都遇到这样的问题,都觉得没办法,这是民事维权的困境。”
与此同时,行政执法层面基本处于休眠状态。周汉华指出,这有非常复杂的原因:首先是取证难,固定证据也难,最后,找到相关的违法链条也很不容易,所以大部分行政执法现在处于休眠状态。现在主要起作用的是公安部门每年通过专项打击行动来进行制裁。
因此,周汉华表示,要加大力度打击泄露公民信息的违法行为,对于防范人脸、声音等生物信息泄露,应成为立法、执法的重中之重。
综合《南方都市报》、央视报道
