发表自话题:快递业信息泄露再调查
11月17日,圆通速递回应“‘内鬼’致40万条个人信息泄露”一事称,疑似有加盟网点个别员工与外部不法分子勾结窃取运单信息,导致信息外泄。公司向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。
此事引发的关于个人信息泄露的讨论仍在继续。南都记者梳理公开资料发现,“圆通”此次“内鬼”事件并非先例:此前,包括圆通、顺丰等在内的多家快递公司都曾被曝光有类似的个人信息泄露事件,也有“内鬼”受到了惩处。
“内鬼”之外,消费者隐私被窃取的方式还包括面单拍照、系统软件漏洞等。南都记者调查发现,目前,快递信息买卖生意在网络盛行。其中,快递单号可自助购买,而个人信息齐全的“快递面单”公然在网络售卖,1元可买到1条。个人信息买卖已形成黑色产业链。
事件:圆通被曝“内鬼”泄露40万条个人信息,嫌疑人已落网
近日,有媒体曝光,不法分子与圆通快递多名“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员,40万条公民个人信息被泄露。针对此事,11月17日,圆通速递官方微博做出回应。
圆通速递在回应中表示,今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。
调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。
圆通速递称,公司核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。并称将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。
类案:多家快递公司曾被曝有“内鬼”,上千万条个人信息被泄露
随着快递物流行业的发展,信息安全泄露问题愈发严峻。
南都记者梳理公开资料梳理发现,“圆通”此次“内鬼”事件并非先例:此前,包括圆通、顺丰等在内的多家快递公司都曾被曝光有类似的个人信息泄露事件,也有“内鬼”受到了惩处。
早在2012年,就有媒体报道称,包括申通、圆通、中通等多家快递公司的快递单号的信息被大面积泄露,单号被放到网上公开售卖,价格从0.4到2元不等。
2013年,圆通速递被曝出快件信息泄露,引发关注。据媒体2013年12月报道,“www.17s.cm”这个网址除了帮助电子商务卖家互刷信誉冲击“皇冠”,还自称与上海圆通公司合作,长期出售快递面单信息。圆通公司向上海青浦警方报案后,警方成立专案组展开调查。经分析,该网站所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收获地址等。
警方进一步调查发现,网站注册人陈某伙同张某开办网站,设立了“快递单出售”功能模块出售公民个人信息,每条信息售价0.9元,每天出售约900条。这些信息都是在圆通公司工作的“内鬼”林某提供,张某以每月500元的价格大量购买。截至案发,已经出售公民个人信息20余万条。
此外,2018年5月,湖北荆州中级人民法院宣判一起与快递公司有关的涉公民信息泄露案件。该案以顺丰员工为信息泄露主体,形成了以快递代理商、文化公司、无业游民、诈骗犯罪分子等多方参与的黑产链条。判决书显示,2016年11月,荆州市沙市区解放路派出所在对辖区企业进行安全检查过程中发现,顺丰荆州某网点仓管汪某频繁登录公司内部系统查询,有较大嫌疑。法庭判决书称,事件起因是顺丰荆州公司主动报案。
判决书显示,河北顺丰快递员杜某从2015年10月起,与顺丰荆州某网点仓管汪某夫妇联系,以每条两元购买客户信息。夫妻俩出售个人信息4000余条,获利8497元。杜某截至2016年底被抓的一年多时间里,共出售用户隐私1.9万余组,获利16万余元。
据悉,此案查获涉嫌被泄露的公民个人信息千万余条,涉及交易金额达200余万元。嫌疑人涉案金额在数十万元,以杜某最高为16万元,其余人从几千到两三万不等。
个人信息买卖已形成黑色产业链。上海市公安局有关负责人曾向南都记者介绍,黑客或内鬼盗取信息,中间商从他们手中获取大量信息并建立数据库,信息使用者从他们手中购买信息用于精准推销,甚至用于诈骗、敲诈勒索等下游犯罪。除黑客攻击外,包括物流行业在内的多个行业是信息泄露的“重灾区”,部分从业者将个人信息当作商业信息非法买卖,非法获取及出售公民个人信息呈现职业化趋势。
乱象:快递单号可自助购买,个人信息齐全的“快递面单”1元1条
南都记者了解到,除“内鬼”泄密之外,目前消费者隐私被窃取的方式有还有面单拍照、系统软件漏洞以及外挂等。南都记者调查发现,目前,快递单买卖生意在网络盛行,个人信息齐全的快递面单1元就可买到。
10月17日,南都记者以“快递单号购买”作为关键字在网络搜索,发现数家公开售卖快递单号的网站。南都记者进入“xx单”网,注册登录之后,“单号中心”一栏中有“选购快递单号”“批量购买单号”“电商自动配单系统”等选择,买家可根据快递的发货地址、收货地址和快递类型自助购买。
快递单号自助购买页面。
南都记者注意到,每条快递单号的售价为0.5元,购买快递单号需要先充值,每次充值至少需要充10元。一次性充值20元能送永久VIP,而一次性充值500元则送100元,单条快递信息售价降至0.3元,并且还能成为代理,推广能享受20%的提成。
在客服的指导下,南都记者以0.5元购买了一条11月13日发货地为广州市番禺区,收货地为北京市朝阳区的快递信息,获取了该快递单号以及相关的物流信息,但该网站售卖的快递单的信息并不完整,未提供收货人姓名、手机号码以及具体的收货地址等详细信息。
据了解,出售的快递单号主要供电商平台的卖家刷单使用,卖家通过制造虚假交易来提高自身的销量和信誉度。有些卖家还会购买快递空包,填写地址后发送空包裹,或者在里面纸巾、石头等价值不高的东西,保留底单以防电商平台抽查。
与快递单号不同,快递面单则包括更多信息。除了单号外,还包括寄件人姓名以及收件人姓名、联系方式、准确地址等。
卖家提供的快递信息Excel文档。内含单号、收件人地址、姓名等个人信息。
“本工作室长期大量诚心出售实时面单(照片1元 文档2元 拉群50元)”,南都记者在某社群平台发现了一条出售快递面单的帖子,并与对方取得了联系。“照片的不做了,现在都是做文档形式的。”这位卖家表示。随后,其发来一个内含2000多条快递信息的Excel文档给南都记者“作测试使用”。
南都记者在该文档中看到,每条信息都包含快递单号、收件人的姓名、手机号码、收货地址以及寄件人姓名。其中,从名称来看,寄件人多为商家,收件人位于全国各地。
南都记者随机选取了几个快递单号进行查询,发现确为有效单号。查询网站显示,这些单号均来自韵达快递,相关快件均已在此前不久的11月8日左右被签收。
据该卖家介绍,这些快递信息来自各个快递公司,历史信息每条1元,实时信息每条2元。问及这些信息通过何种方式得到,对方则表示“渠道你别管,肯定安全”。其还表示,“客户”每天都需要从其这里获得几百、几千到几万条不等的信息。
惩处:出售、非法提供公民个人信息属犯罪行为
快递用户个人信息保护问题一直受到高度关注。
2018年5月起实施的《快递暂行条例》明确,经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。
出售或泄露个人用户信息的快递企业或将面临重罚。《条例》明确,若违背上述规定、情节严重,最高可处以10万元罚款,并可责令停业整顿直至吊销快递业务经营许可证。
此外,南都记者了解到,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围;“两高”发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,规定“公民个人信息”包括身份识别信息和活动情况信息,即以电子或者其他方式记录的能够单独或者与其他信息结合特定自然人身份或者反映自然人活动情况的各种信息,包括姓名、身份证件号码、信息通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
《刑法》规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
南都记者注意到,在裁判文书网公布的案件中,窃取、销售快递信息的人员大多被处以非法获取公民个人信息罪判处有期徒刑,并处以罚金。例如,上述湖北荆州中级人民法院宣判的涉及公民信息泄露案件中,19名嫌疑人被判1年至3年不等的有期徒刑,并处罚金。其中,快递员杜某被判处有期徒刑三年,并处罚金人民币20万元。
标签组:[圆通速递] [快递加盟] [隐私泄露] [信息安全] [信息泄露] [快递面单] [快递单号购买]