圆通“内鬼”500元/天租账号 超40万条个人信息被1元倒卖
又又又是个人信息泄露。这次的主角是圆通。11 月 17 日消息,据新京报报道,河北省邯郸市公安在近期侦办的一起案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员,涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息超过 40 万条。
万万没想到,现在连快递员都在觊觎我的“个人信息”。
对此,圆通今日回应称:
信息安全无小事。已报案,相关嫌疑人于 9 月落网,坚决配合打击非法售卖和使用快递用户信息的行为。
公司将持续完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。同时,着力提升加盟网点的依法经营意识和信息安全意识。
一天500 ,每条信息 1 元,超40万人信息被倒卖
信息泄露在今天这个时代已经司空见惯了。
只是当它发生在几个快递员之间时就让我们感到诧异了。
所以究竟怎么回事呢?
事情还要从今年 7 月底说起。
如圆通在声明中所说,圆通是有自己的风控系统的。
7月底,圆通的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作。
圆通调查后发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。
随后圆通也向警察报了案。
此时,作案细节才逐渐公布出来。
据警方介绍,他们已经初步构成了一个黑产链条,各司其职。
其中,嫌疑人马某杰雇佣张某行、高某桥(被租账号)以每日 500 元的费用租用某物流公司内部员工系统账号。
团伙成员郭某、杜某龙通过登录租用赵某星(被租账号)等人的系统账号进入该物流系统,导出快递信息。
团伙成员朱某钊把窃取的快递信息进行整理后交给同伙吕某硕。
吕某硕又通过微信、QQ 等方式卖到全国及东南亚等电信诈骗高发区,每条信息单价 1 元。
整个链条真是配合默契呢。
此外,上述工作人员分别处于邯郸地区的永年、鸡泽、武安以及邢台地区的隆尧、沙河,每个地区各有一位涉案人员,被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。
如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过 40 万条,涉案金额 120 余万。
这生意确实比做快递员容易多了。
但纸终究保不住火。今年 9 月,张某行、高某桥、马某杰落网。
圆通出现内鬼不是第一次
不过,值得注意的是,这不是圆通快递第一次出现内鬼事件了。
2013 年 11 月,《法治周末》曾报道,圆通被曝泄露快递信息。
一个为淘宝网店提供“刷钻”服务的网站曾在首页上公开声明与圆通公司合作,长期出售快递面单信息。经调查,所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收获地址等。
警方调查发现,这些信息都是在圆通公司工作的林某提供,网站以每月 500 元的价格大量购买。截至案发,已经出售公民个人信息 20 余万条。
无独有偶,顺丰快递也出现过内鬼泄露信息的事件。
2016 年 8 月 26 日,一名在湖南顺丰速递公司工作的员工在深圳南山区人民法院受审,被指控侵犯公民个人信息罪,将公司系统的账号密码出售他人,导致大量个人信息泄露。
2014 年下半年到 2015 年 7 月,顺丰东莞市石碣分部仓管员陈某,利用"合伙人"杨某开发的软件从顺丰公司系统内批量下载相关的客户信息,造成信息泄露。
如果说数据泄露大部分是因为黑客攻击或漏洞被攻击,那么内鬼倒卖公司数据,几乎是制度的原罪。
恐怕,留给上述快递公司的问题不仅仅是建立更为安全的信息安全保护制度,还要从内部管理入手。
同时,也要给予快递员更多关注。
据 21 世纪商业评论报道,今年以来,快递价格持续下滑,通达系单票收入(单票收入不等同于快递单价,而是单价的均值)集体下滑 25% 以上,逼近 2 元,申通降幅最大,7 个月内下降三分之一,由 1 月的 3.3 元下降至 2.12 元。
而快递公司业务主要集中在揽收、中转、派送和信息服务四个环节,收入来源于面单收入、中转费和派费收入,每个环节采取不同收费标准。
价格战降低了源头的收件价,面单收入、中转费、运输费用基本固定,最终会使剩余的派件费相应减少。减少的两部分,正是末端加盟网点和快递员的利润来源。
快递员的工资受到影响,心理自然也不平衡。
圆通此次出现内鬼事件,恐怕也与此有关,快递公司们是该好好考虑一下这个问题了。
倒卖个人信息背后
这个案件背后暴露的严重的事实是,个人信息的倒卖,俨然已经成为一道成熟的灰色产业链。上游负责抓取,中游负责搬运,到了下游,才开始对这些个人信息加以利用。
被利用的后果,往往是我们不能承受之重。
据《中国网民权益保护调查报告(2019)》显示,近一年来,因个人信息泄露、垃圾信息、诈骗信息等原因,导致网民总体损失约 805 亿元。82.3% 的网民亲身感受到了因个人信息泄露对日常生活造成的影响。
相比之下,网民的应对则显得很无力。在一项超过 20 万人填写的网络安全感满意度调查活动中,遭遇网络安全问题后被选择最多的两项应对措施,分别是“不再使用该服务”(47.7%)以及“上网搜索解决办法”(33.02%)。
很少有人会较真到报警、起诉的地步。毕竟,如今接几个推销电话、收几条骚扰短信已成当代人的生活日常。
更为讽刺的是,我们的信息已经越来越不值钱了。
2014 年交警队职员李某利用其工作特性,向他人出售个人车辆档案信息,3 元一条;2016 年警方发现荆州某快递点经营者倒卖客户个人信息,2 元一条;2018 年一名黑客在暗网上售卖某酒店开房数据,不到 1 分钱一条......
有网友也借此调侃称:
我一介草民的信息不值一提。
但事实上,造成这种现状的原因并不难理解。
一方面,互联网迅速崛起、蓬勃发展,另一方面平台保护手段缺失,个人隐私意识淡薄。两者合围之下,普通消费者就成了瓮中之鳖。
听起来像个无解的问题,但它本不该是这样。
所以如果要解决这样的事情,还是要让更多人明白:隐私是很重要的。无论是我们自己的隐私还是别人的隐私,都是很重要的。
其次,要先从内部人员入手,希望对于类似的事情,可以追责到底。
最后,对于企业而言,自律更为重要。
正如新京报评论所言:
对于内鬼,依靠警方“严惩不贷”自然是法理情理之中,但如果企业在内部风险把控时能够防患于未然,让“内鬼”在进行违法犯罪行为之前就能够意识到其中的违法违规成本,从而杜绝行为的发生,才是企业更需要努力的方向。
