9月16日,申通快递召开管理层会议,正式宣布申通快递和田甜快递将启动战略重组,加速两家企业的资源整合。上个月,国务院法制办就快递条例向社会征求意见。其中,快递企业应当建立电子数据管理系统,保障用户信息安全。或者在用户信息可能泄露、损毁、丢失的情况下,快递企业应当立即采取补救措施。违反上述规定的,处以1万元至5万元罚款。
你的个人信息安全吗?
黑客利用申通快递管理系统的漏洞入侵公司服务器,非法获取了3万多条个人信息,然后非法出售。审查此案的上海市青浦区检察院检察官告诉《法制晚报》记者,购买这些信息的人大多是在行骗。
据检察官介绍,黑客是看到著名安全网“乌云网”公布的申通公司系统漏洞后实施犯罪的。
案件详情:3个月内3万多条客户信息被盗
据上海市青浦区检察院指控,2014年9月至11月,居某为非法牟利,利用申通快递管理系统的漏洞,非法入侵申通快递有限公司服务器,下载含有公民个人信息的快递信息3万余条。之后通过网络出售给他人,非法获利3万余元。
其中,2014年9月,任某在居某的安排下,利用申通K8快递管理系统的漏洞,非法入侵申通快递有限公司服务器,下载含有公民个人信息的快递信息2000余条,提供给居某。侯某通过网络将该信息出售给他人,并支付任某2000余元。
上海市青浦区法院经审理,确认了检方指控的事实。2015年4月2日,法院以非法获取公民个人信息罪判处邹有期徒刑7个月,并处罚金1万元;8月24日,法院以同样的罪名判处任拘役四个月,并处罚金4000元。
QQ群公开售卖被申通发现
近日,上海市青浦区检察院检察官乔青接受了《法制晚报》记者的采访。
“任是居的亲戚。他不懂电脑技术,主要是帮居。服务器调取的信息都是一张一张地图片,任帮邹把图片上的信息一张一张地输入表格。”
“任某整理出申通公司的客户信息后,以QQ群为平台,在群里公开出售,每条信息一元。现在有很多专门卖个人信息的QQ群。卖家和买家在这个平台上投标、付款和收货。”乔青说,这是任第一次作案。没想到,他找到的买家竟然是潜伏在QQ群里的申通快递法务人员。
“申通法务人员发现任某在出售申通公司信息后,向公安机关报案,并提交了付款等照片证据。”检察官说。
买卖个人信息多为诈骗
据承办检察官乔青介绍,“我们青浦区(检察院)每年都要办理大量快递公司信息泄露的案件。因为申通、中通、童渊、大云、顺丰等国内五大快递公司都在上海青浦区。”
乔青说,在这些个人信息泄露的案例中,信息的购买者是不同的。
“买这些信息,多半是回去诈骗。比如你买个人信息,他们就会知道你买的是哪个购物网站的,然后冒充这个网站的客服来行骗。这时候告诉受害者的内容会更有说服力。”乔青说。
除了骗子,还有一些人为了转卖给他人,从中赚取差价,非法购买大量个人信息。
“一手卖价大概一块钱。涨价后再转给最后一个买家,价格涨到两三块钱。”乔青说。
延长面试。嫌疑人是看到网络中的漏洞才动手的。
乔青告诉记者,在审查案件的过程中,检察官发现,任某和居某选择申通快递管理系统利用其漏洞,是因为他们在上看到了申通公司的系统漏洞。
“乌云网”由出生于1987年的中国知名黑客、原百度安全专家方小盾于2010年5月创办。方小盾联合几位安全专业人士成立了“乌云网”,目标是成为一个“免费、平等”的漏洞报告平台,为计算机厂商和安全研究人员提供各种技术参考。
据不完全统计,“乌云网”已经公布了77848个安全漏洞。一名IT技术人员表示:“如果黑客对Wuyun.com公布的漏洞感兴趣,只要知道企业名称和漏洞信息的大致来源,就不难入侵这家企业。”
报告详细介绍了破解申通的步骤
记者通过梳理漏洞列表发现,2014年7月19日,一位名为袋鼠妈妈的漏洞作者提交了一份名为《国内快递行业某疑似通用软件误配置导致大量信息泄露》的报告,与任、居作案时间点最为吻合。
在报告中,作者详细列出了查找漏洞的步骤,并贴出了一张按照他列出的步骤后得到的信息的图片——一个快递员。
报告显示,笔者测试了申通等五家快递公司。在报道的最后,作者写道:综上所述,我个人推断,快递行业使用的K8快递管理系统会因配置不当而泄密。还有空看看能不能反向试试它的软件,但是目前大量快递信息泄露是真实存在的。
申通至少有13个信息安全漏洞
根据青浦检察院检察官提供的线索,记者登录“乌云网”,发现大量与申通快递公司相关的系统安全漏洞。
通过记者不完全统计,从2013年至今,申通快递公司公布的安全漏洞中,与“信息泄露”相关的报告有13个。其中2013年出版4本,2014年5本,2015年4本。
在这些漏洞报告中,有9个被标记为“高”。
消费者可以主张权利,但很难
北京市惠诚律师事务所律师陈楠告诉《法制晚报》记者,如果快递客户遭遇诈骗,且有证据证明诈骗受害人是因快递公司信息泄露造成的,而快递公司在信息泄露中存在过错,那么受害人可以追究快递公司的赔偿责任。
但陈律师坦言,现实中,这种索赔会很难。
“因为快递公司信息泄露,你很难证明自己被骗了。除非把黑客抓到了,把买信息的骗子抓到了,他们都承认了犯罪事实,你也知道他们被抓了,认罪了。”
“但实际上往往是A地的快递客户,B地窃取信息的黑客,C地购买信息的人,d地实施诈骗的人,如果你在A地,怎么可能知道千里之外的B地有涉及你的刑事案件?”他说。