圆通内鬼泄露40万条个人信息


0#事件
据新京报贝壳财经消息,在近期的一起案件中,发现不法分子与圆通快递多名“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。
事件东窗事发始于今年8月,据邯郸永年区公安局反诈中心中队长王求东梳理,几名犯罪嫌疑人通过雇佣“内鬼”以每日500元的费用租用某物流公司内部员工系统账号,之后再导出快递信息、整理后通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区,以此获利。
知情人士称,上述的“某物流公司”为圆通,涉案的“某物流公司内部员工”为五名圆通员工。被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。据嫌疑人供述,打包卖出的信息单价约为1元。

1#详细情况
事实上,40万条公民个人信息只是信息贩卖黑市的冰山一角。
新京报贝壳财经记者调查发现,国内的信息贩卖在监管重拳整治下已得到遏制,但信息贩子在一些更为隐秘的境外空间内仍然猖獗。贝壳财经记者发现,不少信息贩子正在兜售快递数据,有信息贩子称可查询实时快递数据。相比于快递数据,被泄露的更为全面、敏感的简历数据也正在被兜售。信息贩子称,40元可买超过4G的简历数据。
大量快递信息正在被贩卖,包括收货人姓名、地址、手机号和所购物品等数据。
圆通多位“内鬼”有偿租借员工账号,导致40万条公民个人信息被泄露一事。记者从知情人士获悉,涉案的为五位圆通员工。被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。
据知情人士透露,如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。该人士透露,经过警方和检察院确认,被泄露信息中,存在某个维度以“*”来匿去的“不完全信息”,例如发件人为“张三”,但发件电话却为“*”。经过统计,六个维度完整的信息约为4万5000条。据其中一名嫌疑人供述,他将收集到的信息打包卖出,每条信息单价约为1元。
事实上,在隐秘的网络上,宣称有快递数据兜售的卖家不在少数。
某聊天软件上(大家都懂,TG嘛),记者在“出实时快递”、“快递网购行业数据交流”等多个群中发现了信息贩子发布的广告信息。这些信息贩子通常以一些字母来逃避平台的监管。例如,以“wg”来代表“网购”,“wd”代表“网贷”,以“sfz”来代表“身份证”。
通常情况下,为防止黑吃黑,信息买家会要求信息贩子提供小部分数据来测试。在记者要求测试之下,对方发送过来1305条快递数据。这些快递信息包括日期、收件人姓名、收件人电话、所购物品规格、价格、数量等多个维度,日期在2020年8月16日~24日不等,涉及金华中通、百世汇通、中通广东、金华申通等多家快递。

(该图片来自T00ls的文章)
根据上述测试数据中的手机号,新京报贝壳财经记者向多位个人信息被泄露者进行了求证,结果测试数据信息均属实。得知自己的信息被泄露后,南京的一位信息被泄露者尤为焦躁,表示不知道谁泄露的,并反复询问记者该怎么办。北京的一位信息被泄露者则较为淡定,她表示“现在个人信息被泄露很正常。”
新京报贝壳财经记者注意到,这些被泄露的信息中均含有“希望宝宝旗舰店”的字眼。记者在天猫及京东上均搜索到该店铺,网店经营者营业执照信息均显示,该网店的运营主体为杭州豪悦护理用品股份有限公司。
官网显示,杭州豪悦护理用品股份有限公司是国内个人卫生护理用品领域的制造商,专注于妇、幼、成人个人卫生健康护理用品的研发、制造与销售业务。
贝壳财经记者找到另一名信息贩子李末(化名),在支付了350元的费用后,李末发来175条一手信息。折合下来,约2元一条。李末的测试数据也包括日期、快递种类、收件人姓名、收件人电话、所购物品规格、价格、数量等多个维度。其中的物流种类一栏中,除了申通E物流、顺丰速运、韵达快运、百世汇通外,还包括此次身陷隐私泄露风波的圆通。
3#相关

圆通为泄露事件道歉,此前有快递人员曾查看寄件人信件内容
11月17日,针对此次的泄露风波,圆通速递发布了一份声明。圆通方面表示,此次案件,再次敲响了信息安全风险的警钟。我们感谢社会和媒体的监督,并对此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。同时,着力提升加盟网点的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为。
这并非圆通快递首次因为侵犯隐私致歉。
据裁判文书网,2017年6月20日,辽宁省西丰县曾在第三审判庭公开审理了原告陈某与被告西丰县圆通快递站点的诉讼。法院经审理查明,2017年5月10日原告到被告处邮寄信件。被告单位工作人员询问原告邮寄物品。原告告知被告工作人员邮寄物品是信件。被告单位人员验视原告信件后,查看原告信件的内容。
法院认为,隐私权是自然人享有的对自己的个人秘密和个人私生活进行支配并排除他人干涉的一种人格权。原告邮寄信件内容不愿意让他人知道。而被告的工作人员查看原告信件内容是一种侵权行为。侵害了原告的隐私权。被告侵权事实成立。被告应停止侵权。原告的诉讼请求应予以支持。法院判决,被告西丰县圆通快递向原告陈某当面赔礼道歉。

裁判文书网截图,来自T00ls
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec安全团队博客
原文地址《圆通内鬼泄露40万条个人信息
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)