原標(biāo)題:信息失守!外賣(mài)平臺(tái)客戶資料泄露后被倒賣(mài),,每條不到1毛錢(qián)
“騷擾電話太多了,,讓人心里很不舒服,?!笔忻裨S昕反映,因?yàn)樵诿缊F(tuán)訂過(guò)一次外賣(mài),,他所住的酒店地址,、房間號(hào)碼、聯(lián)系電話等隱私信息被泄露,。而許昕的信息,,這只是重案組37號(hào)獲取的數(shù)千條外賣(mài)訂餐信息中的一條。
用戶每訂一次外賣(mài),,就意味著要將自己的信息上傳一次,。但這些隱私信息是否足夠安全?
近日,重案組37號(hào)探員在多個(gè)“電話銷(xiāo)售”群發(fā)現(xiàn),,有賣(mài)家專門(mén)出售外賣(mài)訂餐客戶的信息,。包括電話姓名、訂餐地址在內(nèi),,每條信息的售價(jià)不到一毛錢(qián),。還有網(wǎng)絡(luò)運(yùn)營(yíng)公司借助軟件搜集用戶的訂餐信息,打包后倒賣(mài)給電話銷(xiāo)售公司,,甚至還有一些外賣(mài)騎手也做起了客戶信息倒賣(mài)的“生意”,。
有專家表示,信息泄露不斷發(fā)生的情況下,,相應(yīng)的技術(shù)安全規(guī)范和要求仍未出臺(tái),,公民的個(gè)人信息仍處于“危險(xiǎn)期”。
▲4月20日,覃華發(fā)來(lái)的2600多條外賣(mài)平臺(tái)的用戶信息,。文件截圖
萬(wàn)條信息售價(jià)800元
“今天的數(shù)據(jù)已經(jīng)更新,,長(zhǎng)期出售各種數(shù)據(jù)”,,4月14日下午4點(diǎn),陳京宏在QQ上推送了一條消息,。系統(tǒng)顯示這個(gè)QQ的好友超過(guò)200人,。陳京宏稱,其中大多是向他買(mǎi)過(guò)“數(shù)據(jù)”的客戶,。
陳京宏所說(shuō)的“數(shù)據(jù)”,,是包括電話、地址在內(nèi)的公民隱私信息,。
重案組37號(hào)聯(lián)系到陳京宏,,是在一個(gè)“電話銷(xiāo)售群”中。當(dāng)重案組37號(hào)探員詢問(wèn)是否有外賣(mài)訂餐用戶的“數(shù)據(jù)”后,,立即收到陳京宏的添加申請(qǐng),。聊天中陳京宏透露,自己手上有北京,、上海,、廣州等一線城市、來(lái)自美團(tuán)等外賣(mài)平臺(tái)的客戶數(shù)據(jù),,10000條售價(jià)800元,,5000條起售,“平均每條不到一毛錢(qián),?!?/p>
陳京宏隨后發(fā)來(lái)一份截圖,,顯示大量姓名,、聯(lián)系方式和地址等信息。陳京宏稱數(shù)據(jù)都是“最近三天的”,,但無(wú)法提取到具體下單日期,。
當(dāng)重案組37號(hào)探員提出想要獲取“數(shù)據(jù)”后,陳京宏發(fā)來(lái)了一個(gè)微信群的二維碼,,掃碼進(jìn)入后是只有探員和他兩個(gè)人的微信群,。在收到探員兩個(gè)200元的紅包后,陳京宏退群,,并留言:“15分鐘內(nèi)整理好數(shù)據(jù)發(fā)給你”,。
還不到15分鐘,陳京宏就通過(guò)QQ發(fā)來(lái)一份EXI表格,,內(nèi)有5000條信息,。和截圖內(nèi)容一樣,這份表格包括姓名,、電話,、性別和地址,但沒(méi)有訂餐日期。包括朝陽(yáng),、密云等區(qū)在內(nèi)北京16個(gè)區(qū)的數(shù)據(jù)都有涉及,。
重案組37號(hào)探員從表格中隨機(jī)選取100個(gè)電話號(hào)碼進(jìn)行驗(yàn)證。其中有效號(hào)碼61個(gè),,33名機(jī)主確認(rèn)表格中的信息準(zhǔn)確,,并確認(rèn)自己近一、兩個(gè)月內(nèi),,在美團(tuán)訂過(guò)餐,。“對(duì),,是這個(gè)地址”,,地址顯示為CBD某公寓的楊女士在聽(tīng)到探員報(bào)出的地址后稱,她前一天晚上在美團(tuán)的一家燒烤店訂過(guò)餐,。
重案組37號(hào)探員粗略統(tǒng)計(jì),,在這份5000人名單中,有一部分來(lái)自于賓館,、酒店,、商場(chǎng)等公共場(chǎng)所。
一位地址顯示為房山區(qū)某五星級(jí)酒店某號(hào)房的周女士回憶,,她在4月13日入住該酒店時(shí),,曾使用美團(tuán)外賣(mài)平臺(tái)訂過(guò)餐,但記不清訂餐內(nèi)容和具體商家,,“訂得太多了,。”
探員隨后再次聯(lián)系陳京宏,,詢問(wèn)為何會(huì)有無(wú)效號(hào)碼,。陳京宏稱“有些數(shù)據(jù)可能更換過(guò)”。每次問(wèn)到數(shù)據(jù)的來(lái)源,,對(duì)方都會(huì)有意回避,。再三追問(wèn)下,陳京宏最后表示“數(shù)據(jù)是由美團(tuán)系統(tǒng)內(nèi)部人員提取的,,每天更新4萬(wàn)條左右,。”
陳京宏透露,,這些數(shù)據(jù)每天中午會(huì)更新一次,,“到晚上肯定能銷(xiāo)完”。
實(shí)際上,,售賣(mài)美團(tuán)外賣(mài)客戶信息的不止陳京宏一個(gè),。重案組37號(hào)探員在多個(gè)電話銷(xiāo)售群發(fā)現(xiàn),,至少有三名賣(mài)家均稱自己有美團(tuán)外賣(mài)的客戶數(shù)據(jù)。QQ昵稱為“彩虹”的賣(mài)家稱可以自己有全國(guó)范圍的數(shù)據(jù),,每萬(wàn)條價(jià)格為600元,,除了用戶姓名和電話地址外,還包括訂餐信息,。
重案組37號(hào)探員發(fā)現(xiàn),,也有一些賣(mài)家稱也有餓了么、百度外賣(mài)的客戶信息,,每萬(wàn)條價(jià)格從700元到2000元不等,。
▲陳京宏稱向記者發(fā)來(lái)5000條用戶信息,。手機(jī)截圖
軟件自動(dòng)“扒”客戶信息
除了這些直接以賣(mài)家的身份售賣(mài)信息外,,一條更為隱秘的外賣(mài)顧客信息獲取渠道浮出水面。重案組37號(hào)調(diào)查發(fā)現(xiàn),,一些代理運(yùn)營(yíng)外賣(mài)店的網(wǎng)絡(luò)公司也在售賣(mài)信息,。
“平時(shí)總是接到一些推銷(xiāo)電話、廣告短信,,我覺(jué)得我的信息泄露的夠嚴(yán)重了,,沒(méi)辦法,電話也不好再換,?!笔忻裨S昕告訴重案組37號(hào)探員,因?yàn)樵诿缊F(tuán)定過(guò)一次外賣(mài),,他所住的酒店地址,、房間號(hào)碼、聯(lián)系電話等隱私信息成了“公開(kāi)的秘密”,。而這只是探員獲取的數(shù)千條外賣(mài)訂餐信息中的一條,。
某網(wǎng)絡(luò)運(yùn)營(yíng)公司的工作人員覃華平時(shí)的業(yè)務(wù)是負(fù)責(zé)幫忙代開(kāi)(運(yùn)營(yíng))美團(tuán)店鋪,。他同時(shí)稱,,可以想辦法搞到成都的美團(tuán)訂餐客戶信息。
為什么只有成都的,?覃華表示,,自己在其他城市沒(méi)有代運(yùn)營(yíng)的美團(tuán)店鋪,而這些數(shù)據(jù)都是從自己代運(yùn)營(yíng)的店鋪里用軟件爬取的,。
“姓名,、性別、電話,、地址,,訂餐次數(shù)都有,,但具體能有多少條我要查一下才知道?!瘪A說(shuō),。他給出的報(bào)價(jià)比之前的賣(mài)家貴了幾倍,每條5毛錢(qián),。覃華隨后解釋稱,,可以保證準(zhǔn)確率,而且就是這兩天的,。
4月20日,,覃華發(fā)來(lái)一份顯示總計(jì)有2605條信息的電腦截圖。之后又發(fā)來(lái)另一份截圖:2609,?!皠倓傆钟兴膫€(gè)客人訂餐,數(shù)字隨時(shí)會(huì)漲”,,覃華說(shuō),,“尾數(shù)算是送的,你轉(zhuǎn)1300元給我就好,?!?/p>
約半個(gè)小時(shí)后,重案組37號(hào)探員看到了這份總共2609條的信息清單,,其范圍更加廣泛,。通過(guò)查篩關(guān)鍵詞結(jié)果顯示,地址顯示為酒店的共有83條,,網(wǎng)吧共有47條,,醫(yī)院29條,會(huì)所1條,。
探員從酒店中隨機(jī)抽取54條撥打發(fā)現(xiàn),,除了30條關(guān)機(jī)或無(wú)人接聽(tīng)等無(wú)法聯(lián)系,3條信息不符外,,有21位機(jī)主確認(rèn)自己近期用該地址在美團(tuán)上訂過(guò)餐,。
其中在和酒店住戶王先生的信息確認(rèn)中,探員故意給出一個(gè)不完整的地址,,但隨即被對(duì)方糾正并補(bǔ)充,。而王先生給出的地址正是信息清單中的地址。
在這份信息清單中還有16個(gè)來(lái)自網(wǎng)吧的地址,,不少地址甚至精確到某家網(wǎng)吧的機(jī)位號(hào),。重案組37號(hào)探員逐一核實(shí)發(fā)現(xiàn),除了其中4位機(jī)主電話無(wú)法接通外,,其余12位機(jī)主均表示自己確實(shí)使用該地址訂過(guò)餐,。
“一般做店鋪運(yùn)營(yíng)會(huì)買(mǎi)這些信息,,轉(zhuǎn)化率很高?!瘪A說(shuō),,他獲取這些信息是通過(guò)將自己的軟件掛在一些美團(tuán)商家后臺(tái),從中爬取,,“系統(tǒng)不可能發(fā)現(xiàn)”,。
“如果是商家的信息就更好弄了,全國(guó)隨便哪個(gè)地方,,一晚上我能給你搞定一個(gè)城市的所有商家信息,,包括店主姓名、店名,、地址,、手機(jī)號(hào)碼?!瘪A說(shuō),。
重案組37號(hào)探員提出是否會(huì)被平臺(tái)系統(tǒng)監(jiān)控到,覃華表示監(jiān)控不到,,“這個(gè)東西你不用讓商家知道,,只要有電腦,在家就可以操作,?!?/p>
覃華隨后發(fā)來(lái)一份該軟件的監(jiān)控截圖,從截圖列表中可以看到用戶姓名,、電話,、注冊(cè)日期、最近消費(fèi),、儲(chǔ)值余額等信息,。“2800元可使用一年,?!瘪A說(shuō),但他拒絕透露該軟件的名稱,。
▲4月20日,,陳京宏稱用戶信息由美團(tuán)系統(tǒng)內(nèi)部人員提取。手機(jī)截圖
外賣(mài)騎手“出賣(mài)”訂單
重案組37號(hào)調(diào)查中發(fā)現(xiàn),,還有“數(shù)據(jù)”賣(mài)家發(fā)來(lái)兩份武漢和北京地區(qū)的送餐員的信息截圖,,詢問(wèn)是否需要,。重案組37號(hào)探員在隨后的調(diào)查中發(fā)現(xiàn),作為外賣(mài)用戶信息的終端接觸者,,包括部分美團(tuán)騎手在內(nèi)的一些送餐員,,也在利用用戶信息牟利。
4月18日,,重案組37號(hào)探員通過(guò)電話找到美團(tuán)外賣(mài)騎手李德,,詢問(wèn)對(duì)方是否可以售賣(mài)用戶的訂餐信息。對(duì)方表示可以,,但價(jià)格稍高,,一元一條。
“這些信息可以確保是當(dāng)天的,,而且訂單上的所有信息都可以給你,,包括從哪家訂的餐,訂了哪些餐,?!崩畹抡f(shuō)。
談好價(jià)格后,,李德隨即發(fā)來(lái)了4月18日35位顧客的訂餐信息,。這些信息分為兩種,一種是美團(tuán)騎手APP的截圖,,還有一種是打印的紙質(zhì)小票,。
第二天,李德主動(dòng)詢問(wèn)探員是否還需要訂單信息,,并又發(fā)來(lái)34份外賣(mài)的訂餐單,。其中一份訂單顯示,朝陽(yáng)區(qū)某小區(qū)3期的張女士曾在美團(tuán)某沙拉店商家訂過(guò)餐,,訂餐內(nèi)容包括三文魚(yú)卷在內(nèi)一共四種,。經(jīng)張女士確認(rèn),該訂單確實(shí)是她點(diǎn)的,。
重案組37號(hào)探員先后核實(shí)20個(gè)訂單信息,,除了3位機(jī)主無(wú)法確認(rèn)外,其他機(jī)主均表示訂單信息真實(shí),。
外賣(mài)信息泄露糾紛不斷
重案組37號(hào)梳理發(fā)現(xiàn),,不少外賣(mài)平臺(tái)用戶都有過(guò)信息被泄露的經(jīng)歷,甚至因此引發(fā)糾紛,。
據(jù)媒體報(bào)道,,去年12月份,柴先生通過(guò)“餓了么”點(diǎn)餐平臺(tái)訂了一份外賣(mài),,共計(jì)31.8元,。約10分鐘后,,一名自稱商家的人聯(lián)系柴先生稱,他訂的黑椒豬排賣(mài)完了,,換菜需要補(bǔ)兩塊錢(qián)的差價(jià),。“信息很準(zhǔn)確,,我訂單的信息,,商家賣(mài)的什么餐,一模一樣,?!辈裣壬f(shuō)。隨后對(duì)方讓柴先生報(bào)一下支付寶數(shù)字以便收取兩塊錢(qián)的差價(jià),。在報(bào)過(guò)數(shù)字后,,柴先生發(fā)現(xiàn)對(duì)方已經(jīng)轉(zhuǎn)走了自己近2000元。商家表示柴先生的餐并沒(méi)有賣(mài)完,,給他打電話的也不是店里的工作人員,。柴先生懷疑自己的訂餐信息被泄露。
此外,,今年3月份,,哈爾濱李先生在訂過(guò)一次外賣(mài)后,頻繁接到陌生人電話詢問(wèn)如何找“小姐”,。不勝其擾的李先生最后發(fā)現(xiàn),,自己的電話是被一名外賣(mài)騎手泄露的,并將其備注為“小姐上門(mén)”,。
網(wǎng)站網(wǎng)友“時(shí)光漫步支旅”也曾發(fā)帖稱,,自己給男朋友點(diǎn)了一份美團(tuán)外賣(mài)后,隨后被一位陌生人加了微信,。對(duì)方知道自己的姓名和詳細(xì)地址,,但自己并不認(rèn)識(shí)他。幾經(jīng)追問(wèn)之下,,對(duì)方承認(rèn)信息是送外賣(mài)的朋友給的,,目的是想幫他脫單。
重案組37號(hào)探員以信息被泄露用戶的身份撥打美團(tuán)客服電話,,一位客服人員表示,,美團(tuán)內(nèi)部對(duì)于信息的管理非常嚴(yán)格,不會(huì)泄露用戶的隱私,。但用戶訂單信息涉及多個(gè)環(huán)節(jié),,商家和騎手會(huì)有用戶信息,且不包括送錯(cuò)餐以及訂餐小票弄丟等干擾因素。
此外重案組37號(hào)探員注意到,,發(fā)生于2011年底的“互聯(lián)網(wǎng)泄密門(mén)”也波及美團(tuán),,當(dāng)時(shí)美團(tuán)曾發(fā)短信致用戶:“近日多個(gè)網(wǎng)站用戶數(shù)據(jù)泄露,,經(jīng)核實(shí),,您的賬戶信息已泄露,請(qǐng)盡快修改美團(tuán)網(wǎng)密碼,,以防賬戶被盜,。”
美團(tuán)網(wǎng)方面負(fù)責(zé)人接受媒體采訪時(shí)表示,,由于此次用戶信息泄露事件波及了多個(gè)用戶量較大的平臺(tái),,如CSDN、網(wǎng)易郵箱等,,有部分使用相關(guān)賬戶注冊(cè)美團(tuán)網(wǎng)的用戶賬戶面臨安全威脅,。
個(gè)人信息仍處“危險(xiǎn)期”
廣東中安律師事務(wù)所合伙人、深圳仲裁委員會(huì)仲裁員潘翔介紹,,刑法修正案(七)對(duì)侵犯公民個(gè)人信息罪進(jìn)行了立法,,規(guī)定國(guó)家機(jī)關(guān)或者金融、電信,、交通,、教育、醫(yī)療等單位的工作人員,,違反國(guó)家規(guī)定,,將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息,出售或非法提供給他人,,情節(jié)嚴(yán)重的,,處三年以下有期徒刑或者拘役,并處或者單處罰金,。竊取或者以其他方法非法獲取上述信息,,情節(jié)嚴(yán)重的,依照前款的規(guī)定處罰,。
此外《網(wǎng)絡(luò)安全法》也明確,,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全,,防止信息泄露,、毀損、丟失,。在發(fā)生或者可能發(fā)生個(gè)人信息泄露,、毀損、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告,。
網(wǎng)絡(luò)安全專家、白帽匯創(chuàng)始人趙武表示,,目前信息泄露不斷發(fā)生,,但相應(yīng)的技術(shù)安全規(guī)范和要求仍未出臺(tái),公民的個(gè)人信息仍處于“危險(xiǎn)期”,。
對(duì)于外賣(mài)平臺(tái)涉嫌泄露客戶隱私的問(wèn)題,,趙武分析稱,有可能是外賣(mài)平臺(tái)程序存在漏洞,,比如API(應(yīng)用程序編程接口)沒(méi)有做認(rèn)證,,網(wǎng)絡(luò)入侵者可以根據(jù)訂單序列號(hào)爬取用戶信息。歷史上出現(xiàn)過(guò)很多起類(lèi)似案例,,例如一些招聘網(wǎng)站的簡(jiǎn)歷大規(guī)模泄露等,。
第二種可能是跟商家合作的第三方泄露信息。比如有的商家會(huì)搞一些積分,、返利,、贈(zèng)券等活動(dòng),這些活動(dòng)一般是第三方公司承做,。他們?cè)诨顒?dòng)中會(huì)搜集用戶的信息,,而本身對(duì)數(shù)據(jù)的保護(hù)不如平臺(tái)嚴(yán)密,因此很容易被入侵,?!按饲?2306網(wǎng)站信息泄露就是這種情況?!壁w武說(shuō),。
趙武介紹,去年6月份我國(guó)的《網(wǎng)絡(luò)安全法》已經(jīng)正式實(shí)施,,總的指導(dǎo)要求已經(jīng)明確,,但相應(yīng)的具體技術(shù)安全規(guī)范仍未出臺(tái),尤其是對(duì)商業(yè)公司的信息監(jiān)管沒(méi)有很具體的要求,。
如何防范信息泄露,,趙武表示,一方面國(guó)家應(yīng)該盡快出臺(tái)網(wǎng)絡(luò)安全保護(hù)具體細(xì)則,,嚴(yán)格立法要求企業(yè)對(duì)安全事故負(fù)責(zé),,尤其是跟隱私相關(guān)的數(shù)據(jù)泄露必須有懲罰和賠償機(jī)制,不允許企業(yè)增加“黑客攻擊導(dǎo)致的數(shù)據(jù)泄露不承擔(dān)責(zé)任”類(lèi)似的霸王免責(zé)條款,。同時(shí),,嚴(yán)格管束企業(yè)方對(duì)數(shù)據(jù)的利用情況,,出一次事,處罰一次,。
另一方面,,商業(yè)公司要及時(shí)更新信息保護(hù)手段,建立深層防護(hù)機(jī)制,,在做數(shù)據(jù)分析和使用時(shí),,可以先將客戶的敏感信息隱去,用虛擬ID代替,;再將其隱私信息通過(guò)加密的手段做二次防護(hù),。
此外趙武表示,,商業(yè)公司還應(yīng)完善信息管理機(jī)制,,“比如技術(shù)加密的算法是什么,什么樣的人才能接觸到用戶數(shù)據(jù),,建立詳細(xì)的技術(shù)標(biāo)準(zhǔn)規(guī)范”,。
(文中許昕、陳京宏,、覃華,、李德為化名)
關(guān)于中華網(wǎng) |
廣告服務(wù) |
聯(lián)系我們 |
招聘信息 |
版權(quán)聲明 |
豁免條款 |
友情鏈接 |
中華網(wǎng)動(dòng)態(tài)
