内鬼潜伏,如何不让信息 裸奔?
2017-11-23陈冰
陈冰
目前在打击非法获取买卖个人信息行为上,企业和行政司法部门一样,面临着主体难以确定、证据难以固定、行为认定标准模糊、同时对违法者的惩戒力度小等这样一些问题。
双十一声势浩大地冲入每个人的生活。在疯狂剁手的同时,个人信息被泄露的话题再次引发人们的关注。我们的个人信息到底都是谁泄露的?各大快递公司纷纷推出的隐私面单能否有效避免信息外泄?
谁在泄露我们的信息?
电信诈骗年年有,天天有。但是去年发生的山东准大学生被骗猝死,清华大学教授被骗巨款1760万元的事件还是深深刺痛人们的神经,也让公民个人信息泄露再次成为舆论焦点。
数据显示,北京近6年,有1.6亿多条公民个人信息被泄露。掌握这些信息资源的快递、网购、物业、教育等机构甚至还有公安机关个别人是信息泄露的源头,而保健品、保险、理财、房地产中介等行业以及职业倒卖人员是这些信息的主要购买者。
2013年至2016年,北京各法院共审理了涉及侵犯公民个人信息的案件67件(案发时间为2010年至2016年)。这些案件中,平均最便宜的一条信息售价不到半分钱,最贵的一条信息卖到了5.7元。其中涉及泄露信息量最多的一起案件达到了惊人的1.3亿多条,这是北京法院公开判例中最多的一起。
那么这些信息都是如何被泄露的呢?
公安机关、快递公司、购物网站有大量机会接触公民的个人信息,一旦制度不严,“内鬼”出现,这些机构会首当其冲成为信息泄露者。
在北京市处理的67起案件中,出售公民个人信息获利最多的一起就是快递公司信息泄露。
李某是某快递公司信息部的员工,有权查询公司客户信息数据库。利用这一权限,自2012年3月至2014年6月,他频繁进入公司客户信息数据库拷贝信息,后通过邮箱、QQ等方式将13.2万余条信息出售给窦某,获利28.8万元。
有网购经历的人都知道,贴在快递盒上的面单含有收件人和寄件人的大量信息,包括姓名、地址、电话以及购买的物品种类。而在网上,这类快递面单出售的信息比比皆是。
通过QQ平台搜索面单群,即有多个群显示出售面单信息,一个名为快递面单选购的群就公告称,每单3.5元,50单起购,一次性购买300单,价格则为每单3元。
这些信息不少是被商家买来推销自有产品,一些商家就较为青睐那些有过购买相关产品的客户信息。相应的,在面单销售中,也有专门针对某一个行业的面单群,如一个群名就为顺丰保健品数据面单群,主要用来销售通过顺丰购买保健品的客户资料。还有的人则专门在网络上求购手机行业的相关面单信息。
在百度上,搜索面单出售信息,同样也可以出现多条有关的消息,甚至还有人求购提取顺丰面单信息的工具。由于顺丰普通员工往往只能查询订单,并没有批量下载订单的权限,因而有一款在顺丰系统内提取、批量下载客户信息的工具,显然将大大提高作案的效率。
2016年7月,深圳市南山区法院审理的一起案件显示,一名顺丰员工伙同他人,于2014年下半年到2015年7月左右,半年时间通过批量下载软件盗取顺丰客户的个人信息10多万条。
被告人陈洋于2008年9月入职顺丰公司,成为该公司东莞市石碣分部仓管员,主要负责快递件的入出仓及问题件的处理等。直到2014年间,陈洋结识了懂得编写计算机程序的杨维保,两人商量由杨维保编写一个批量下载的工具,来从顺丰公司系统内下载个人信息。
这一工具操作简单方便,由陈洋装载在手机之中,通过手机连接公司的电脑,再打开软件,随后进入公司的系统,即可以批量下载相关的客户信息。
由于杨维保发现顺丰的单号有一定的规律性,且市场上对保健品、减肥、丰胸等面单的信息需求旺盛,他开发的这一软件还可以批量下载指定的订单信息,针对性极强。除此之外,一旦软件出现问题,杨维保还可以立即予以修复,重新投入使用。
除了这些普通员工利用多种途径出售个人信息之外,具有较大便利的则是研发工程师。2015年2月,福田区人民法院一审宣判的一宗案件中,显示顺丰公司的研发工程师利用工作之便大量出售个人信息。
法院审理认定的内容显示,2012年8月,被告人严某入职顺丰速运有限公司,任研发工程师。2013年10月份开始,被告人严某利用其任研发工程师的职务便利,从顺丰速运有限公司的数据库里导出客户信息资料(包括个人姓名、住址、联系电话)到互联网上其自己的网盘内,回到住处后将网盘内的客户信息资料数据下载保存到自己的电脑上,再进行出售。
严某出售的个人信息每条价格在0.2元— 0.5元之间,截至2014年6月,不足一年的时间,严某获利达到36万元人民币。依此推算,严某出售的个人信息达到百万条。
其实不止顺丰,其他快递公司也存在类似的信息安全隐患。这些被售出的个人信息除了被用于企业营销之外,还有一部分被用于实施诈骗。
今年3月11日,山东济南的李蒙接到一个自称淘宝客服的来电,问她是不是在某淘宝店买了一身衣服:“一件上衣是衬衣泡泡袖,下装是西装裤”——完全符合李蒙的购物信息。
随后,该人员称这一批衣服甲醛超标,工厂需要召回,需李蒙配合他在系统上操作进行退款。
得知李蒙的支付宝账号后,随即有一个自称支付宝退款中心的经理加李蒙为支付宝好友,并给她发了一个淘宝链接,她在该链接上输入了身份证号、银行卡号、支付密码等信息,随后便发现银行卡中的资金被接连转出,不到10分鐘,李蒙银行卡上的71561元已被转移到某基金网站上。
这样的骗术几乎每天都在上演。我们经常会接到各类骚扰诈骗电话,向你介绍投资理财、房产买卖、儿童早教、旅游产品,他们可以叫出你的姓名,知道你的性别,甚至非常清楚你消费的内容,这已成为我们生活的常态。
物流快递业的网络安全和信息安全问题亟待整治。endprint
隐私面单是否靠谱?
3月31日,菜鸟网络联合上海公安局启动行业安全自律平台——对于贩卖客户信息的人员,平台将联手封杀,永不录用。中国邮政、EMS、圆通、中通、申通、德邦、韵达、宅急送等多家物流快递企业已经加入平台。
所谓的共享平台,即黑名单的共享。菜鸟网络安全负责人王乐表示,黑灰产对物流行业的关注在持续上升,在过去一年,相当大部分的信息泄露案件,与物流快递行业内部从业人员有关,大部分是专职从事于黑灰产的产业人员,这些人流窜于各个行业、各个公司、各个岗位。比如北京一家电商企业的安全人员,因泄露信息被抓获,该案涉及用户信息50亿条。
王乐介绍,目前消费者隐私被窃取的主要方式有面单拍照、内鬼泄密、系统软件漏洞以及外挂等。从趋势上看,通过线下的面单信息泄露隐私的比率逐渐上升。
在配送端,为保护用户隐私,目前圆通、菜鸟和京东都宣布启用更安全的隐私面单,在面单上隐去消费者的姓名电话等信息。
今年1月,圆通速递率先推出“隐形面单”,对快递单上的个人信息进行加密隐藏,提高并加强快递单的信息保密和综合防伪功能,相当于给消费者的个人信息再加上一把“安全锁”。
圆通相关负责人在接受《新民周刊》采访时表示,目前隐形面单主要有三大“隐藏功能”,可实现对用户的手机号、姓名和地址等信息的加密处理。例如,对用户的手机号,会通过技术手段隐藏部分的数字。尽管面单上不显示用户的完整手机号码,但圆通快递员可以通过公司自主研发的行者App,直接拨号至收件人,及时安全高效地联系到收件用户。目前圓通已经开始在大客户进行试点推行自己的隐私面单系统。
除了圆通,其他快递公司也在研发自己的隐私面单系统。3月,菜鸟就推出了类似系统。商家采用菜鸟的隐私面单系统之后,菜鸟提供给快递公司的将是不完整的收件信息。
与此同时,京东推出了“微笑面单”。京东方面在接受《新民周刊》采访时指出,近年来,因“快递单”隐私信息泄露致使个人人身财产安全受到伤害的事件和新闻屡见不鲜,迫使消费者开始关注个人隐私信息安全的保护,很多人在收到快递包裹后会有意识地将快递面单撕掉或将信息进行涂抹,但是此举费时费力,并且快递包裹在递送过程中信息仍然是不被保护。针对此隐患,京东物流推出了“微笑面单”,利用技术手段将包裹面单上用户手机号等个人重要信息以笑脸(^_^)代替,以一种更温情化的方式有效保护用户隐私。
“基于京东自建物流的优势,我们可以实现全供应链的有力管控, 更有利于在全国范围内推广实施‘微笑面单。”京东方面表示,从去年6月试行到今年3月全面推行,截止到目前,京东是唯一一家正式在全国推广应用“微笑面单”的企业。
技术如何防范内鬼?
相关数据表明,很多信息泄露都出在“内鬼”身上。“微笑面单”又是如何防止“内鬼”泄密的呢?京东方面表示,在快递员实际操作层面,快递员只能通过京牛App扫描“微笑面单”上的条码才能“拨打电话”联系用户。而在公司管理层面则建立了严格的权限管理制度,有较为完备的系统审计、预警功能,一旦出现违规操作,系统能立刻捕获信息,达到有效的监控及迅速止损。
“饿了么”公共事务总监张奕说,目前在打击非法获取买卖个人信息行为上,企业和行政司法部门一样,面临着主体难以确定、证据难以固定、行为认定标准模糊、同时对违法者的惩戒力度小等这样一些问题。这一定程度上造成了实践中违法者违法成本过低、违法行为频发,打击难以起到震慑作用。
饿了么为此特别设置了匿名购买和匿名评价的功能以减少消费者信息在整个交易链条当中的泄露。“如果您用过我们的App,下单时有个选项是匿名购买,如果勾选,出现在商户或者快递小哥订单上的就是一个简化代码,不是真实姓名,电话号码也是一个虚拟号码,个人真实电话号码是不显示的,这是技术上加强保护的手段。”
张奕说,公司内部规定了非常严格的制度,我们所看到的外漏的消费者信息包括姓名、电话、地址在互联网企业数据库当中只是一系列代码,只有非常高权限的管理人员才有权限把这些代码翻译成看得懂的信息,这些不是一般人员可以做得到的。对于互联网企业来说,并不担心员工通过比如手抄或者电脑里面下载一些excel表格获得消费者信息,只有通过非常高的技术手段从服务器上窃取这个数据,有比较高的权限读懂破译它才可以获得有效的消费者信息。“这个权限管理上我们设定了非常严格的制度,什么岗位的,什么级别的你才能够读到什么内容的信息,都是有非常严格的规定的。”
“我们设置了预警机制,如果内部员工或外部黑客通过技术手段获取消费者信息,一旦发现,我们会配合相关司法部门介入,进行严厉打击。” 张奕说。
菜鸟网络的王乐则认为,除了隐私面单,更安全的解决方案是启用物流云,通过对数据全程加密,将从源头上保护消费者隐私。
作为一个物流平台,菜鸟可以定期为物流合作伙伴提供安全检测,随时预警、提醒。一旦发现问题,会第一时间定位泄露点,并紧急跟进修复。
2016年10月,菜鸟网络监测到某家物流公司系统出现严重安全漏洞,如果被黑客利用,可能导致400余台服务器被控制,可能波及大量消费者信息。菜鸟紧急对该企业发出预警,并协助其完成了漏洞修补。
据菜鸟网络介绍,其联合业内企业,2016年成功阻止了数亿条消费者信息泄露。“我们已经开始建立安全的评估模型和量化标准指标。”王乐告诉记者,未来,是否能保障消费者的隐私安全,将成为商家和消费者选择快递公司的重要参考之一。endprint