原標題:信息失守,!外賣平臺客戶資料泄露后被倒賣,每條不到1毛錢
“騷擾電話太多了,,讓人心里很不舒服,。”市民許昕反映,,因為在美團訂過一次外賣,,他所住的酒店地址、房間號碼,、聯(lián)系電話等隱私信息被泄露,。而許昕的信息,這只是重案組37號獲取的數(shù)千條外賣訂餐信息中的一條,。
用戶每訂一次外賣,,就意味著要將自己的信息上傳一次。但這些隱私信息是否足夠安全?
近日,,重案組37號探員在多個“電話銷售”群發(fā)現(xiàn),,有賣家專門出售外賣訂餐客戶的信息。包括電話姓名,、訂餐地址在內(nèi),,每條信息的售價不到一毛錢。還有網(wǎng)絡(luò)運營公司借助軟件搜集用戶的訂餐信息,,打包后倒賣給電話銷售公司,,甚至還有一些外賣騎手也做起了客戶信息倒賣的“生意”。
有專家表示,,信息泄露不斷發(fā)生的情況下,,相應(yīng)的技術(shù)安全規(guī)范和要求仍未出臺,公民的個人信息仍處于“危險期”,。
▲4月20日,覃華發(fā)來的2600多條外賣平臺的用戶信息,。文件截圖
萬條信息售價800元
“今天的數(shù)據(jù)已經(jīng)更新,,長期出售各種數(shù)據(jù)”,4月14日下午4點,,陳京宏在QQ上推送了一條消息,。系統(tǒng)顯示這個QQ的好友超過200人。陳京宏稱,,其中大多是向他買過“數(shù)據(jù)”的客戶,。
陳京宏所說的“數(shù)據(jù)”,是包括電話,、地址在內(nèi)的公民隱私信息,。
重案組37號聯(lián)系到陳京宏,是在一個“電話銷售群”中,。當重案組37號探員詢問是否有外賣訂餐用戶的“數(shù)據(jù)”后,立即收到陳京宏的添加申請,。聊天中陳京宏透露,,自己手上有北京、上海,、廣州等一線城市,、來自美團等外賣平臺的客戶數(shù)據(jù),10000條售價800元,,5000條起售,,“平均每條不到一毛錢?!?/p>
陳京宏隨后發(fā)來一份截圖,,顯示大量姓名、聯(lián)系方式和地址等信息,。陳京宏稱數(shù)據(jù)都是“最近三天的”,,但無法提取到具體下單日期。
當重案組37號探員提出想要獲取“數(shù)據(jù)”后,,陳京宏發(fā)來了一個微信群的二維碼,,掃碼進入后是只有探員和他兩個人的微信群。在收到探員兩個200元的紅包后,,陳京宏退群,,并留言:“15分鐘內(nèi)整理好數(shù)據(jù)發(fā)給你”。
還不到15分鐘,,陳京宏就通過QQ發(fā)來一份EXI表格,,內(nèi)有5000條信息。和截圖內(nèi)容一樣,這份表格包括姓名,、電話,、性別和地址,但沒有訂餐日期,。包括朝陽,、密云等區(qū)在內(nèi)北京16個區(qū)的數(shù)據(jù)都有涉及。
重案組37號探員從表格中隨機選取100個電話號碼進行驗證,。其中有效號碼61個,,33名機主確認表格中的信息準確,并確認自己近一,、兩個月內(nèi),,在美團訂過餐,?!皩Γ沁@個地址”,,地址顯示為CBD某公寓的楊女士在聽到探員報出的地址后稱,,她前一天晚上在美團的一家燒烤店訂過餐,。
重案組37號探員粗略統(tǒng)計,在這份5000人名單中,,有一部分來自于賓館,、酒店、商場等公共場所,。
一位地址顯示為房山區(qū)某五星級酒店某號房的周女士回憶,,她在4月13日入住該酒店時,曾使用美團外賣平臺訂過餐,,但記不清訂餐內(nèi)容和具體商家,,“訂得太多了?!?/p>
探員隨后再次聯(lián)系陳京宏,,詢問為何會有無效號碼。陳京宏稱“有些數(shù)據(jù)可能更換過”,。每次問到數(shù)據(jù)的來源,,對方都會有意回避。再三追問下,,陳京宏最后表示“數(shù)據(jù)是由美團系統(tǒng)內(nèi)部人員提取的,,每天更新4萬條左右?!?/p>
陳京宏透露,,這些數(shù)據(jù)每天中午會更新一次,,“到晚上肯定能銷完”。
實際上,,售賣美團外賣客戶信息的不止陳京宏一個,。重案組37號探員在多個電話銷售群發(fā)現(xiàn),至少有三名賣家均稱自己有美團外賣的客戶數(shù)據(jù),。QQ昵稱為“彩虹”的賣家稱可以自己有全國范圍的數(shù)據(jù),,每萬條價格為600元,除了用戶姓名和電話地址外,,還包括訂餐信息,。
重案組37號探員發(fā)現(xiàn),也有一些賣家稱也有餓了么,、百度外賣的客戶信息,,每萬條價格從700元到2000元不等。
▲陳京宏稱向記者發(fā)來5000條用戶信息,。手機截圖
軟件自動“扒”客戶信息
除了這些直接以賣家的身份售賣信息外,一條更為隱秘的外賣顧客信息獲取渠道浮出水面,。重案組37號調(diào)查發(fā)現(xiàn),,一些代理運營外賣店的網(wǎng)絡(luò)公司也在售賣信息。
“平時總是接到一些推銷電話,、廣告短信,我覺得我的信息泄露的夠嚴重了,,沒辦法,,電話也不好再換?!笔忻裨S昕告訴重案組37號探員,,因為在美團定過一次外賣,他所住的酒店地址,、房間號碼,、聯(lián)系電話等隱私信息成了“公開的秘密”。而這只是探員獲取的數(shù)千條外賣訂餐信息中的一條,。
某網(wǎng)絡(luò)運營公司的工作人員覃華平時的業(yè)務(wù)是負責幫忙代開(運營)美團店鋪,。他同時稱,可以想辦法搞到成都的美團訂餐客戶信息,。
為什么只有成都的,?覃華表示,自己在其他城市沒有代運營的美團店鋪,,而這些數(shù)據(jù)都是從自己代運營的店鋪里用軟件爬取的,。
“姓名,、性別、電話,、地址,,訂餐次數(shù)都有,但具體能有多少條我要查一下才知道,?!瘪A說。他給出的報價比之前的賣家貴了幾倍,,每條5毛錢,。覃華隨后解釋稱,可以保證準確率,,而且就是這兩天的,。
4月20日,覃華發(fā)來一份顯示總計有2605條信息的電腦截圖,。之后又發(fā)來另一份截圖:2609,。“剛剛又有四個客人訂餐,,數(shù)字隨時會漲”,,覃華說,“尾數(shù)算是送的,,你轉(zhuǎn)1300元給我就好,。”
約半個小時后,,重案組37號探員看到了這份總共2609條的信息清單,,其范圍更加廣泛。通過查篩關(guān)鍵詞結(jié)果顯示,,地址顯示為酒店的共有83條,,網(wǎng)吧共有47條,醫(yī)院29條,,會所1條,。
探員從酒店中隨機抽取54條撥打發(fā)現(xiàn),除了30條關(guān)機或無人接聽等無法聯(lián)系,,3條信息不符外,,有21位機主確認自己近期用該地址在美團上訂過餐。
其中在和酒店住戶王先生的信息確認中,,探員故意給出一個不完整的地址,,但隨即被對方糾正并補充。而王先生給出的地址正是信息清單中的地址,。
在這份信息清單中還有16個來自網(wǎng)吧的地址,,不少地址甚至精確到某家網(wǎng)吧的機位號,。重案組37號探員逐一核實發(fā)現(xiàn),除了其中4位機主電話無法接通外,,其余12位機主均表示自己確實使用該地址訂過餐,。
“一般做店鋪運營會買這些信息,轉(zhuǎn)化率很高,?!瘪A說,他獲取這些信息是通過將自己的軟件掛在一些美團商家后臺,,從中爬取,,“系統(tǒng)不可能發(fā)現(xiàn)”。
“如果是商家的信息就更好弄了,,全國隨便哪個地方,,一晚上我能給你搞定一個城市的所有商家信息,包括店主姓名,、店名,、地址、手機號碼,?!瘪A說。
重案組37號探員提出是否會被平臺系統(tǒng)監(jiān)控到,,覃華表示監(jiān)控不到,,“這個東西你不用讓商家知道,只要有電腦,,在家就可以操作,。”
覃華隨后發(fā)來一份該軟件的監(jiān)控截圖,,從截圖列表中可以看到用戶姓名、電話,、注冊日期,、最近消費、儲值余額等信息,?!?800元可使用一年?!瘪A說,,但他拒絕透露該軟件的名稱。
▲4月20日,,陳京宏稱用戶信息由美團系統(tǒng)內(nèi)部人員提取。手機截圖
外賣騎手“出賣”訂單
重案組37號調(diào)查中發(fā)現(xiàn),,還有“數(shù)據(jù)”賣家發(fā)來兩份武漢和北京地區(qū)的送餐員的信息截圖,,詢問是否需要。重案組37號探員在隨后的調(diào)查中發(fā)現(xiàn),,作為外賣用戶信息的終端接觸者,,包括部分美團騎手在內(nèi)的一些送餐員,也在利用用戶信息牟利,。
4月18日,,重案組37號探員通過電話找到美團外賣騎手李德,詢問對方是否可以售賣用戶的訂餐信息,。對方表示可以,,但價格稍高,一元一條,。
“這些信息可以確保是當天的,,而且訂單上的所有信息都可以給你,包括從哪家訂的餐,,訂了哪些餐,。”李德說,。
談好價格后,,李德隨即發(fā)來了4月18日35位顧客的訂餐信息。這些信息分為兩種,,一種是美團騎手APP的截圖,,還有一種是打印的紙質(zhì)小票。
第二天,,李德主動詢問探員是否還需要訂單信息,,并又發(fā)來34份外賣的訂餐單。其中一份訂單顯示,,朝陽區(qū)某小區(qū)3期的張女士曾在美團某沙拉店商家訂過餐,,訂餐內(nèi)容包括三文魚卷在內(nèi)一共四種。經(jīng)張女士確認,,該訂單確實是她點的,。
重案組37號探員先后核實20個訂單信息,除了3位機主無法確認外,,其他機主均表示訂單信息真實,。
外賣信息泄露糾紛不斷
重案組37號梳理發(fā)現(xiàn),不少外賣平臺用戶都有過信息被泄露的經(jīng)歷,,甚至因此引發(fā)糾紛,。
據(jù)媒體報道,,去年12月份,柴先生通過“餓了么”點餐平臺訂了一份外賣,,共計31.8元,。約10分鐘后,一名自稱商家的人聯(lián)系柴先生稱,,他訂的黑椒豬排賣完了,,換菜需要補兩塊錢的差價?!靶畔⒑軠蚀_,,我訂單的信息,商家賣的什么餐,,一模一樣,。”柴先生說,。隨后對方讓柴先生報一下支付寶數(shù)字以便收取兩塊錢的差價,。在報過數(shù)字后,柴先生發(fā)現(xiàn)對方已經(jīng)轉(zhuǎn)走了自己近2000元,。商家表示柴先生的餐并沒有賣完,,給他打電話的也不是店里的工作人員。柴先生懷疑自己的訂餐信息被泄露,。
此外,,今年3月份,哈爾濱李先生在訂過一次外賣后,,頻繁接到陌生人電話詢問如何找“小姐”,。不勝其擾的李先生最后發(fā)現(xiàn),自己的電話是被一名外賣騎手泄露的,,并將其備注為“小姐上門”,。
網(wǎng)站網(wǎng)友“時光漫步支旅”也曾發(fā)帖稱,自己給男朋友點了一份美團外賣后,,隨后被一位陌生人加了微信,。對方知道自己的姓名和詳細地址,但自己并不認識他,。幾經(jīng)追問之下,,對方承認信息是送外賣的朋友給的,,目的是想幫他脫單,。
重案組37號探員以信息被泄露用戶的身份撥打美團客服電話,一位客服人員表示,,美團內(nèi)部對于信息的管理非常嚴格,,不會泄露用戶的隱私,。但用戶訂單信息涉及多個環(huán)節(jié),商家和騎手會有用戶信息,,且不包括送錯餐以及訂餐小票弄丟等干擾因素,。
此外重案組37號探員注意到,發(fā)生于2011年底的“互聯(lián)網(wǎng)泄密門”也波及美團,,當時美團曾發(fā)短信致用戶:“近日多個網(wǎng)站用戶數(shù)據(jù)泄露,,經(jīng)核實,您的賬戶信息已泄露,,請盡快修改美團網(wǎng)密碼,,以防賬戶被盜?!?/p>
美團網(wǎng)方面負責人接受媒體采訪時表示,,由于此次用戶信息泄露事件波及了多個用戶量較大的平臺,如CSDN,、網(wǎng)易郵箱等,,有部分使用相關(guān)賬戶注冊美團網(wǎng)的用戶賬戶面臨安全威脅。
個人信息仍處“危險期”
廣東中安律師事務(wù)所合伙人,、深圳仲裁委員會仲裁員潘翔介紹,,刑法修正案(七)對侵犯公民個人信息罪進行了立法,規(guī)定國家機關(guān)或者金融,、電信,、交通、教育,、醫(yī)療等單位的工作人員,,違反國家規(guī)定,將本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息,,出售或非法提供給他人,,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,,并處或者單處罰金,。竊取或者以其他方法非法獲取上述信息,情節(jié)嚴重的,,依照前款的規(guī)定處罰,。
此外《網(wǎng)絡(luò)安全法》也明確,網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施,,確保其收集的個人信息安全,,防止信息泄露、毀損、丟失,。在發(fā)生或者可能發(fā)生個人信息泄露,、毀損、丟失的情況時,,應(yīng)當立即采取補救措施,,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
網(wǎng)絡(luò)安全專家,、白帽匯創(chuàng)始人趙武表示,,目前信息泄露不斷發(fā)生,但相應(yīng)的技術(shù)安全規(guī)范和要求仍未出臺,,公民的個人信息仍處于“危險期”,。
對于外賣平臺涉嫌泄露客戶隱私的問題,趙武分析稱,,有可能是外賣平臺程序存在漏洞,比如API(應(yīng)用程序編程接口)沒有做認證,,網(wǎng)絡(luò)入侵者可以根據(jù)訂單序列號爬取用戶信息,。歷史上出現(xiàn)過很多起類似案例,例如一些招聘網(wǎng)站的簡歷大規(guī)模泄露等,。
第二種可能是跟商家合作的第三方泄露信息,。比如有的商家會搞一些積分、返利,、贈券等活動,,這些活動一般是第三方公司承做。他們在活動中會搜集用戶的信息,,而本身對數(shù)據(jù)的保護不如平臺嚴密,,因此很容易被入侵?!按饲?2306網(wǎng)站信息泄露就是這種情況,。”趙武說,。
趙武介紹,,去年6月份我國的《網(wǎng)絡(luò)安全法》已經(jīng)正式實施,總的指導(dǎo)要求已經(jīng)明確,,但相應(yīng)的具體技術(shù)安全規(guī)范仍未出臺,,尤其是對商業(yè)公司的信息監(jiān)管沒有很具體的要求。
如何防范信息泄露,,趙武表示,,一方面國家應(yīng)該盡快出臺網(wǎng)絡(luò)安全保護具體細則,,嚴格立法要求企業(yè)對安全事故負責,尤其是跟隱私相關(guān)的數(shù)據(jù)泄露必須有懲罰和賠償機制,,不允許企業(yè)增加“黑客攻擊導(dǎo)致的數(shù)據(jù)泄露不承擔責任”類似的霸王免責條款。同時,,嚴格管束企業(yè)方對數(shù)據(jù)的利用情況,,出一次事,處罰一次,。
另一方面,,商業(yè)公司要及時更新信息保護手段,建立深層防護機制,,在做數(shù)據(jù)分析和使用時,,可以先將客戶的敏感信息隱去,用虛擬ID代替,;再將其隱私信息通過加密的手段做二次防護,。
此外趙武表示,商業(yè)公司還應(yīng)完善信息管理機制,,“比如技術(shù)加密的算法是什么,,什么樣的人才能接觸到用戶數(shù)據(jù),建立詳細的技術(shù)標準規(guī)范”,。
(文中許昕,、陳京宏、覃華,、李德為化名)
關(guān)于中華網(wǎng) |
廣告服務(wù) |
聯(lián)系我們 |
招聘信息 |
版權(quán)聲明 |
豁免條款 |
友情鏈接 |
中華網(wǎng)動態(tài)
