原標(biāo)題：外賣平臺客戶資料泄露并被倒賣：軟件自動扒信息

“騷擾電話太多了,，讓人心里很不舒服,。”市民許昕反映,，因?yàn)樵诿缊F(tuán)訂過一次外賣,，他所住的酒店地址、房間號碼,、聯(lián)系電話等隱私信息被泄露,。而許昕的信息，這只是重案組37號獲取的數(shù)千條外賣訂餐信息中的一條,。

用戶每訂一次外賣,，就意味著要將自己的信息上傳一次。但這些隱私信息是否足夠安全,？近日,，重案組37號探員在多個(gè)“電話銷售”群發(fā)現(xiàn)，有賣家專門出售外賣訂餐客戶的信息。包括電話姓名,、訂餐地址在內(nèi),，每條信息的售價(jià)不到一毛錢。還有網(wǎng)絡(luò)運(yùn)營公司借助軟件搜集用戶的訂餐信息,，打包后倒賣給電話銷售公司,，甚至還有一些外賣騎手也做起了客戶信息倒賣的“生意”。

有專家表示,，信息泄露不斷發(fā)生的情況下,，相應(yīng)的技術(shù)安全規(guī)范和要求仍未出臺，公民的個(gè)人信息仍處于“危險(xiǎn)期”,。

▲4月20日,，覃華發(fā)來的2600多條外賣平臺的用戶信息,。文件截圖

萬條信息售價(jià)800元

“今天的數(shù)據(jù)已經(jīng)更新，長期出售各種數(shù)據(jù)”,，4月14日下午4點(diǎn),，陳京宏在QQ上推送了一條消息。系統(tǒng)顯示這個(gè)QQ的好友超過200人,。陳京宏稱,，其中大多是向他買過“數(shù)據(jù)”的客戶。

陳京宏所說的“數(shù)據(jù)”,，是包括電話,、地址在內(nèi)的公民隱私信息。

重案組37號聯(lián)系到陳京宏,，是在一個(gè)“電話銷售群”中,。當(dāng)重案組37號探員詢問是否有外賣訂餐用戶的“數(shù)據(jù)”后，立即收到陳京宏的添加申請,。聊天中陳京宏透露,，自己手上有北京、上海,、廣州等一線城市,、來自美團(tuán)等外賣平臺的客戶數(shù)據(jù)，10000條售價(jià)800元,，5000條起售,，“平均每條不到一毛錢?！?/p>

陳京宏隨后發(fā)來一份截圖,，顯示大量姓名,、聯(lián)系方式和地址等信息。陳京宏稱數(shù)據(jù)都是“最近三天的”,，但無法提取到具體下單日期,。

當(dāng)重案組37號探員提出想要獲取“數(shù)據(jù)”后，陳京宏發(fā)來了一個(gè)微信群的二維碼,，掃碼進(jìn)入后是只有探員和他兩個(gè)人的微信群,。在收到探員兩個(gè)200元的紅包后，陳京宏退群,，并留言：“15分鐘內(nèi)整理好數(shù)據(jù)發(fā)給你”,。

還不到15分鐘，陳京宏就通過QQ發(fā)來一份EXI表格,，內(nèi)有5000條信息,。和截圖內(nèi)容一樣，這份表格包括姓名,、電話,、性別和地址，但沒有訂餐日期,。包括朝陽,、密云等區(qū)在內(nèi)北京16個(gè)區(qū)的數(shù)據(jù)都有涉及。

重案組37號探員從表格中隨機(jī)選取100個(gè)電話號碼進(jìn)行驗(yàn)證,。其中有效號碼61個(gè),，33名機(jī)主確認(rèn)表格中的信息準(zhǔn)確，并確認(rèn)自己近一,、兩個(gè)月內(nèi),，在美團(tuán)訂過餐?！皩Γ沁@個(gè)地址”,，地址顯示為CBD某公寓的楊女士在聽到探員報(bào)出的地址后稱,，她前一天晚上在美團(tuán)的一家燒烤店訂過餐。

重案組37號探員粗略統(tǒng)計(jì),，在這份5000人名單中,，有一部分來自于賓館、酒店,、商場等公共場所,。

一位地址顯示為房山區(qū)某五星級酒店某號房的周女士回憶，她在4月13日入住該酒店時(shí),，曾使用美團(tuán)外賣平臺訂過餐,，但記不清訂餐內(nèi)容和具體商家,，“訂得太多了?！?/p>

探員隨后再次聯(lián)系陳京宏,，詢問為何會有無效號碼。陳京宏稱“有些數(shù)據(jù)可能更換過”,。每次問到數(shù)據(jù)的來源,，對方都會有意回避。再三追問下,，陳京宏最后表示“數(shù)據(jù)是由美團(tuán)系統(tǒng)內(nèi)部人員提取的,，每天更新4萬條左右?！?/p>

陳京宏透露,，這些數(shù)據(jù)每天中午會更新一次，“到晚上肯定能銷完”,。

實(shí)際上,，售賣美團(tuán)外賣客戶信息的不止陳京宏一個(gè)。重案組37號探員在多個(gè)電話銷售群發(fā)現(xiàn),，至少有三名賣家均稱自己有美團(tuán)外賣的客戶數(shù)據(jù),。QQ昵稱為“彩虹”的賣家稱可以自己有全國范圍的數(shù)據(jù)，每萬條價(jià)格為600元,，除了用戶姓名和電話地址外,，還包括訂餐信息。

重案組37號探員發(fā)現(xiàn),，也有一些賣家稱也有餓了么,、百度外賣的客戶信息，每萬條價(jià)格從700元到2000元不等,。

▲陳京宏稱向記者發(fā)來5000條用戶信息。手機(jī)截圖

軟件自動“扒”客戶信息

除了這些直接以賣家的身份售賣信息外,，一條更為隱秘的外賣顧客信息獲取渠道浮出水面,。重案組37號調(diào)查發(fā)現(xiàn)，一些代理運(yùn)營外賣店的網(wǎng)絡(luò)公司也在售賣信息,。

“平時(shí)總是接到一些推銷電話,、廣告短信，我覺得我的信息泄露的夠嚴(yán)重了,，沒辦法,，電話也不好再換?！笔忻裨S昕告訴重案組37號探員,，因?yàn)樵诿缊F(tuán)定過一次外賣,，他所住的酒店地址、房間號碼,、聯(lián)系電話等隱私信息成了“公開的秘密”,。而這只是探員獲取的數(shù)千條外賣訂餐信息中的一條。

某網(wǎng)絡(luò)運(yùn)營公司的工作人員覃華平時(shí)的業(yè)務(wù)是負(fù)責(zé)幫忙代開（運(yùn)營）美團(tuán)店鋪,。他同時(shí)稱,，可以想辦法搞到成都的美團(tuán)訂餐客戶信息。

為什么只有成都的,？覃華表示,，自己在其他城市沒有代運(yùn)營的美團(tuán)店鋪，而這些數(shù)據(jù)都是從自己代運(yùn)營的店鋪里用軟件爬取的,。

“姓名,、性別、電話,、地址,，訂餐次數(shù)都有，但具體能有多少條我要查一下才知道,?！瘪A說。他給出的報(bào)價(jià)比之前的賣家貴了幾倍,，每條5毛錢,。覃華隨后解釋稱，可以保證準(zhǔn)確率,，而且就是這兩天的,。

4月20日，覃華發(fā)來一份顯示總計(jì)有2605條信息的電腦截圖,。之后又發(fā)來另一份截圖：2609,。“剛剛又有四個(gè)客人訂餐,，數(shù)字隨時(shí)會漲”,，覃華說，“尾數(shù)算是送的,，你轉(zhuǎn)1300元給我就好?！?/p>

約半個(gè)小時(shí)后,，重案組37號探員看到了這份總共2609條的信息清單，其范圍更加廣泛,。通過查篩關(guān)鍵詞結(jié)果顯示,，地址顯示為酒店的共有83條,，網(wǎng)吧共有47條，醫(yī)院29條,，會所1條,。

探員從酒店中隨機(jī)抽取54條撥打發(fā)現(xiàn)，除了30條關(guān)機(jī)或無人接聽等無法聯(lián)系,，3條信息不符外,，有21位機(jī)主確認(rèn)自己近期用該地址在美團(tuán)上訂過餐。

其中在和酒店住戶王先生的信息確認(rèn)中,，探員故意給出一個(gè)不完整的地址,，但隨即被對方糾正并補(bǔ)充。而王先生給出的地址正是信息清單中的地址,。

在這份信息清單中還有16個(gè)來自網(wǎng)吧的地址,，不少地址甚至精確到某家網(wǎng)吧的機(jī)位號。重案組37號探員逐一核實(shí)發(fā)現(xiàn),，除了其中4位機(jī)主電話無法接通外,，其余12位機(jī)主均表示自己確實(shí)使用該地址訂過餐。

“一般做店鋪運(yùn)營會買這些信息,，轉(zhuǎn)化率很高,。”覃華說,，他獲取這些信息是通過將自己的軟件掛在一些美團(tuán)商家后臺,，從中爬取，“系統(tǒng)不可能發(fā)現(xiàn)”,。

“如果是商家的信息就更好弄了,，全國隨便哪個(gè)地方，一晚上我能給你搞定一個(gè)城市的所有商家信息,，包括店主姓名,、店名、地址,、手機(jī)號碼,。”覃華說,。

重案組37號探員提出是否會被平臺系統(tǒng)監(jiān)控到,，覃華表示監(jiān)控不到，“這個(gè)東西你不用讓商家知道,，只要有電腦,，在家就可以操作?！?/p>

覃華隨后發(fā)來一份該軟件的監(jiān)控截圖,，從截圖列表中可以看到用戶姓名,、電話、注冊日期,、最近消費(fèi),、儲值余額等信息?！?800元可使用一年,。”覃華說,，但他拒絕透露該軟件的名稱,。

▲4月20日,，陳京宏稱用戶信息由美團(tuán)系統(tǒng)內(nèi)部人員提取。手機(jī)截圖

外賣騎手“出賣”訂單

重案組37號調(diào)查中發(fā)現(xiàn),，還有“數(shù)據(jù)”賣家發(fā)來兩份武漢和北京地區(qū)的送餐員的信息截圖,，詢問是否需要。重案組37號探員在隨后的調(diào)查中發(fā)現(xiàn),，作為外賣用戶信息的終端接觸者,，包括部分美團(tuán)騎手在內(nèi)的一些送餐員，也在利用用戶信息牟利,。

4月18日,，重案組37號探員通過電話找到美團(tuán)外賣騎手李德，詢問對方是否可以售賣用戶的訂餐信息,。對方表示可以,，但價(jià)格稍高，一元一條,。

“這些信息可以確保是當(dāng)天的,，而且訂單上的所有信息都可以給你，包括從哪家訂的餐,，訂了哪些餐,。”李德說,。

談好價(jià)格后,，李德隨即發(fā)來了4月18日35位顧客的訂餐信息。這些信息分為兩種,，一種是美團(tuán)騎手APP的截圖,，還有一種是打印的紙質(zhì)小票。

第二天,，李德主動詢問探員是否還需要訂單信息,，并又發(fā)來34份外賣的訂餐單。其中一份訂單顯示,，朝陽區(qū)某小區(qū)3期的張女士曾在美團(tuán)某沙拉店商家訂過餐,，訂餐內(nèi)容包括三文魚卷在內(nèi)一共四種。經(jīng)張女士確認(rèn),，該訂單確實(shí)是她點(diǎn)的,。

重案組37號探員先后核實(shí)20個(gè)訂單信息，除了3位機(jī)主無法確認(rèn)外,，其他機(jī)主均表示訂單信息真實(shí),。

外賣信息泄露糾紛不斷

重案組37號梳理發(fā)現(xiàn)，不少外賣平臺用戶都有過信息被泄露的經(jīng)歷,，甚至因此引發(fā)糾紛,。

據(jù)媒體報(bào)道，去年12月份,，柴先生通過“餓了么”點(diǎn)餐平臺訂了一份外賣,，共計(jì)31.8元。約10分鐘后,，一名自稱商家的人聯(lián)系柴先生稱,，他訂的黑椒豬排賣完了，換菜需要補(bǔ)兩塊錢的差價(jià),?！靶畔⒑軠?zhǔn)確，我訂單的信息,，商家賣的什么餐,，一模一樣?！辈裣壬f,。隨后對方讓柴先生報(bào)一下支付寶數(shù)字以便收取兩塊錢的差價(jià)。在報(bào)過數(shù)字后,，柴先生發(fā)現(xiàn)對方已經(jīng)轉(zhuǎn)走了自己近2000元,。商家表示柴先生的餐并沒有賣完，給他打電話的也不是店里的工作人員,。柴先生懷疑自己的訂餐信息被泄露,。

此外，今年3月份,，哈爾濱李先生在訂過一次外賣后,，頻繁接到陌生人電話詢問如何找“小姐”。不勝其擾的李先生最后發(fā)現(xiàn)，自己的電話是被一名外賣騎手泄露的,，并將其備注為“小姐上門”,。

網(wǎng)站網(wǎng)友“時(shí)光漫步支旅”也曾發(fā)帖稱，自己給男朋友點(diǎn)了一份美團(tuán)外賣后,，隨后被一位陌生人加了微信,。對方知道自己的姓名和詳細(xì)地址，但自己并不認(rèn)識他,。幾經(jīng)追問之下,，對方承認(rèn)信息是送外賣的朋友給的，目的是想幫他脫單,。

重案組37號探員以信息被泄露用戶的身份撥打美團(tuán)客服電話,，一位客服人員表示，美團(tuán)內(nèi)部對于信息的管理非常嚴(yán)格,，不會泄露用戶的隱私,。但用戶訂單信息涉及多個(gè)環(huán)節(jié)，商家和騎手會有用戶信息,，且不包括送錯餐以及訂餐小票弄丟等干擾因素,。

此外重案組37號探員注意到，發(fā)生于2011年底的“互聯(lián)網(wǎng)泄密門”也波及美團(tuán),，當(dāng)時(shí)美團(tuán)曾發(fā)短信致用戶：“近日多個(gè)網(wǎng)站用戶數(shù)據(jù)泄露,，經(jīng)核實(shí)，您的賬戶信息已泄露,，請盡快修改美團(tuán)網(wǎng)密碼,，以防賬戶被盜?！?/p>

美團(tuán)網(wǎng)方面負(fù)責(zé)人接受媒體采訪時(shí)表示,，由于此次用戶信息泄露事件波及了多個(gè)用戶量較大的平臺，如CSDN,、網(wǎng)易郵箱等,，有部分使用相關(guān)賬戶注冊美團(tuán)網(wǎng)的用戶賬戶面臨安全威脅。

個(gè)人信息仍處“危險(xiǎn)期”

廣東中安律師事務(wù)所合伙人,、深圳仲裁委員會仲裁員潘翔介紹,，刑法修正案（七）對侵犯公民個(gè)人信息罪進(jìn)行了立法，規(guī)定國家機(jī)關(guān)或者金融,、電信,、交通、教育,、醫(yī)療等單位的工作人員,，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或非法提供給他人,，情節(jié)嚴(yán)重的,，處三年以下有期徒刑或者拘役，并處或者單處罰金,。竊取或者以其他方法非法獲取上述信息,，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰,。

此外《網(wǎng)絡(luò)安全法》也明確，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,，確保其收集的個(gè)人信息安全,，防止信息泄露、毀損,、丟失,。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損,、丟失的情況時(shí),，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告,。

網(wǎng)絡(luò)安全專家,、白帽匯創(chuàng)始人趙武表示，目前信息泄露不斷發(fā)生,，但相應(yīng)的技術(shù)安全規(guī)范和要求仍未出臺,，公民的個(gè)人信息仍處于“危險(xiǎn)期”。

對于外賣平臺涉嫌泄露客戶隱私的問題,，趙武分析稱,，有可能是外賣平臺程序存在漏洞，比如API（應(yīng)用程序編程接口）沒有做認(rèn)證,，網(wǎng)絡(luò)入侵者可以根據(jù)訂單序列號爬取用戶信息,。歷史上出現(xiàn)過很多起類似案例，例如一些招聘網(wǎng)站的簡歷大規(guī)模泄露等,。

第二種可能是跟商家合作的第三方泄露信息,。比如有的商家會搞一些積分、返利,、贈券等活動,，這些活動一般是第三方公司承做。他們在活動中會搜集用戶的信息,，而本身對數(shù)據(jù)的保護(hù)不如平臺嚴(yán)密,，因此很容易被入侵。“此前12306網(wǎng)站信息泄露就是這種情況,?！壁w武說。

趙武介紹,，去年6月份我國的《網(wǎng)絡(luò)安全法》已經(jīng)正式實(shí)施,，總的指導(dǎo)要求已經(jīng)明確，但相應(yīng)的具體技術(shù)安全規(guī)范仍未出臺,，尤其是對商業(yè)公司的信息監(jiān)管沒有很具體的要求,。

如何防范信息泄露，趙武表示,，一方面國家應(yīng)該盡快出臺網(wǎng)絡(luò)安全保護(hù)具體細(xì)則,，嚴(yán)格立法要求企業(yè)對安全事故負(fù)責(zé)，尤其是跟隱私相關(guān)的數(shù)據(jù)泄露必須有懲罰和賠償機(jī)制,，不允許企業(yè)增加“黑客攻擊導(dǎo)致的數(shù)據(jù)泄露不承擔(dān)責(zé)任”類似的霸王免責(zé)條款,。同時(shí)，嚴(yán)格管束企業(yè)方對數(shù)據(jù)的利用情況,，出一次事,，處罰一次。

另一方面,，商業(yè)公司要及時(shí)更新信息保護(hù)手段,，建立深層防護(hù)機(jī)制，在做數(shù)據(jù)分析和使用時(shí),，可以先將客戶的敏感信息隱去,，用虛擬ID代替；再將其隱私信息通過加密的手段做二次防護(hù),。

此外趙武表示,，商業(yè)公司還應(yīng)完善信息管理機(jī)制，“比如技術(shù)加密的算法是什么,，什么樣的人才能接觸到用戶數(shù)據(jù),，建立詳細(xì)的技術(shù)標(biāo)準(zhǔn)規(guī)范”。