泄露40萬條用戶信息，圓通主動(dòng)揪出“內(nèi)鬼”

　　中國物流與采購雜志 昨天近日，《新京報(bào)》報(bào)道，在邯鄲市警方的一起部督案件中，不法分子與圓通快遞多位“內(nèi)鬼”勾結(jié)，通過有償租用圓通員工系統(tǒng)賬號(hào)盜取公民個(gè)人信息，再層層倒賣公民個(gè)人信息至不同下游犯罪人員。對(duì)此，圓通方面回應(yīng)稱，已報(bào)案，相關(guān)嫌疑人于9月落網(wǎng)，堅(jiān)決配合打擊非法售賣和使用快遞用戶信息的行為。未來歡迎客戶發(fā)郵件或撥打熱線電話舉報(bào)涉嫌信息安全違法的線索。

　　01

　　為圓通自查發(fā)現(xiàn)

　　該案涉及的公民信息數(shù)量超過40萬條，涉案金額高達(dá)120余萬元。

　　嫌疑人馬某雇傭人員以每日500元的費(fèi)用租用圓通快遞邯鄲公司內(nèi)部員工系統(tǒng)賬號(hào)，兩名團(tuán)伙成員再通過登錄租用的系統(tǒng)賬號(hào)進(jìn)入該物流系統(tǒng)，導(dǎo)出快遞信息。其他團(tuán)伙成員把竊取的快遞信息進(jìn)行整理后交給同伙，又通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發(fā)區(qū)。據(jù)嫌疑人供述，他將收集到的信息打包賣出，每條信息單價(jià)約為1元。

　　對(duì)此，圓通集團(tuán)11月17日回應(yīng)稱：圓通一貫堅(jiān)決配合打擊非法售賣和使用快遞用戶信息的行為。圓通核心業(yè)務(wù)系統(tǒng)均通過了信息安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)，從技術(shù)層面和管理層面著力保障信息系統(tǒng)的安全性。

　　今年7月底，圓通總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測(cè)到圓通速遞河北省區(qū)下屬網(wǎng)點(diǎn)有兩個(gè)賬號(hào)存在非該網(wǎng)點(diǎn)運(yùn)單信息的異常查詢，判斷為明顯的異常操作，于第一時(shí)間關(guān)閉風(fēng)險(xiǎn)賬號(hào)，同時(shí)立即成立由質(zhì)控、安保、信息中心、網(wǎng)管以及河北省區(qū)組成的調(diào)查組，對(duì)此事件開展取證調(diào)查。

　　經(jīng)過調(diào)查發(fā)現(xiàn)，疑似有網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致信息外泄。圓通隨后向當(dāng)?shù)毓膊块T報(bào)案，并全力配合調(diào)查。相關(guān)犯罪嫌疑人于9月落網(wǎng)。

　　圓通表示，感謝社會(huì)和媒體的監(jiān)督，并對(duì)此案件暴露的問題深表歉意。公司將持續(xù)通過“制度+技術(shù)”手段，完善信息安全風(fēng)控系統(tǒng)，對(duì)內(nèi)部賬號(hào)進(jìn)行實(shí)時(shí)監(jiān)控，主動(dòng)發(fā)現(xiàn)違法違規(guī)行為。同時(shí)，著力提升加盟公司的依法經(jīng)營(yíng)意識(shí)和信息安全意識(shí)，并更好配合公安機(jī)關(guān)，嚴(yán)厲打擊涉及用戶信息安全的違法行為，共同織牢信息安全防護(hù)網(wǎng)。

　　02

　　信息泄露危害幾何

　　據(jù)悉，此次被泄露的信息中包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址六個(gè)維度。

　　援引知情人士消息稱，如果以上述六個(gè)維度的信息共同組成一條信息來計(jì)算，此次被泄露的信息數(shù)量實(shí)際超過40萬條。經(jīng)過警方和檢察院確認(rèn)，被泄露信息中，存在某個(gè)維度以“*”來匿去的“不完全信息”，例如發(fā)件人為“張三”，但發(fā)件電話卻為“*”。經(jīng)過統(tǒng)計(jì)，六個(gè)維度完整的信息約為45000條。

　　因?yàn)榭爝f行業(yè)的面單信息涉及的不單是姓名、電話號(hào)碼，還有更為敏感的家庭住址等信息，屬于犯罪分子看來“信息變現(xiàn)能力最強(qiáng)”的類型，所以信息泄露后往往會(huì)流向詐騙渠道，造成更大的危害。例如，這些信息目前經(jīng)常出現(xiàn)在“到付詐騙”等精準(zhǔn)騙局中。

　　根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上的將入罪，自2017年6月1日起已實(shí)施。根據(jù)《網(wǎng)絡(luò)安全法》第42條的規(guī)定：不按規(guī)定采取技術(shù)措施和其他必要措施，未確保其收集的個(gè)人信息安全，導(dǎo)致信息泄漏的，企業(yè)要承擔(dān)相關(guān)法律責(zé)任。

　　03

　　快遞企業(yè)需警鐘長(zhǎng)鳴

　　事實(shí)上，不少快遞公司都有類似被“內(nèi)鬼”傷害的經(jīng)歷。去年就發(fā)生了一起“內(nèi)鬼”交易案，某快遞公司的6名快遞員利用職務(wù)之便，竊取其公司的全國用戶數(shù)據(jù)提供給電商；而圓通公司也并非出現(xiàn)首次“內(nèi)鬼”事件。7年前，“刷鉆”網(wǎng)站就打著圓通公司的旗號(hào)長(zhǎng)期出售快遞面單信息。在“內(nèi)鬼”林某的“神助攻”之下，包括快遞單號(hào)、收貨人姓名、收貨人手機(jī)號(hào)、收貨地址等20余萬條公民個(gè)人信息被泄露。

　　這種“內(nèi)鬼”行為傷害的不只是被泄露個(gè)人信息的民眾，也是對(duì)快遞公司商譽(yù)的重大傷害。鑒于此，快遞公司顯然應(yīng)該時(shí)刻警鐘長(zhǎng)鳴，持續(xù)通過“制度+技術(shù)”手段，完善信息安全風(fēng)控系統(tǒng)，對(duì)內(nèi)部賬號(hào)進(jìn)行實(shí)時(shí)監(jiān)控，主動(dòng)發(fā)現(xiàn)違法違規(guī)行為。只要監(jiān)管到位，補(bǔ)上管理漏洞，不法分子的違法企圖就很難得逞。

　　網(wǎng)絡(luò)信息時(shí)代，保護(hù)公民個(gè)人信息，防范行業(yè)“內(nèi)鬼”是重中之重。對(duì)銀行、教育、工商、電信、快遞、證券、電商等“內(nèi)鬼”容易出沒的行業(yè)，不僅司法執(zhí)法機(jī)關(guān)應(yīng)嚴(yán)厲打擊，讓潛在“內(nèi)鬼”不敢下手，還應(yīng)關(guān)口前移，修筑起防范堤壩，第一時(shí)間抓住“內(nèi)鬼”的黑手。如此，公民個(gè)人信息才有更安全的“港灣”。