泄露个人信息不止圆通:黑产涉及申通EMS韵达 “内鬼”批量调取
原标题:快递业泄露个人信息调查:“内鬼”批量调取,网点直接拍运单
在贩卖快递信息链条上,不仅有专门从事这一行的“号贩子”,参与者还有做代购的商家、为商家发货的快递网点工作人员,甚至包括快递员、自称管理单号的工作人员等快递公司“内鬼”。大量包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等,有的可一次性出售上万条,甚至可以提供特定地区的快递用户信息。
还有人自称在邮政系统上班,管“调单号”,可大量调取当天快递中的信息,“每天几千个没有问题”。其贩卖的信息中,有的是在快递员在揽件后不到2小时即被盗取。
记者根据多份公开资料发现,这些遭贩卖的快递信息最终多流向从事诈骗活动的犯罪分子手中,为其从事诈骗活动提供信息支持。
北京市安理律师事务所高级合伙人、律师王新锐就此分析,个人信息被泄露的用户有权要求收集其个人信息的快递公司删除其个人信息,若因个人信息泄露受到损害,可向法院提起诉讼请求损害赔偿。
代购、网点、“内鬼”,信息漏洞无处不在
因为疫情原因,QQ用户“邵庄”的国际代购生意不好做。他转而做起了出售用户快递信息的“生意”:在网上发布帖子,将原先的用户快递信息打包出售,八毛钱一条。
“邵庄”称,就是现在不干国际代购了,不然30万条都可以弄到
11月17日下午,试探一番后,“邵庄”以210元的价格向记者提供了261条快递信息。这些信息被“邵庄”从工作邮箱“扒”出来整理在文档中,姓名、联系方式、地址对应列了三列。“邵庄”见记者有意,随后又询问能否“吃下”上万条的单子,他自称手里最少有1.2万条快递信息可出售。
很快,他发来第二批1287条快递信息,自称是手中资源的十分之一。同样,这些来自全国各地的快递信息包含姓名、电话及可能精确到房间号的地址。“邵庄”称,这些信息是此前客户在他这下单后所留,真实可查。
QQ用户“邵庄”发来的1287条快递信息,自称是手中资源的十分之一。同样,这些来自全国各地的快递信息包含姓名、电话及可能精确到房间号的地址。
为验证真实性,记者随机拨通了其中一位来自山东淄博的毕女士电话,发现表格中所列信息完全准确。毕女士回忆,她此前的确找过人在国外买东西,没想到信息会遭到泄露。另一位快递信息遭泄露的顾女士在跟记者核对信息显示无误后,也感到很诧异。
从下单开始,商家、电商平台、快递公司、快递员等物流各环节的人员掌握着用户的快递信息,信息泄露的源头往往也是来自这些方面。
给商家代发快递的网点工作人员也可以利用便利将快递信息整理打包,出售获利。
昵称“主持浅言”的QQ用户称,自己专为在京东、淘宝、拼多多等平台的“刷单”商家发“小礼品”快递,涉及申通、圆通、韵达等。虽然干这一行不久,但也积攒了几千条“刷单”用户快递信息。“没有规定如何处理,都是发货后放在后台。”其称。
记者支付85元购买了121条用户快递信息,这些用户均曾在电商平台“刷单”。其中一名用户赵女士向记者表示,自己此前在拼多多“刷单”,列表上的信息显示无误。
各类“号贩子”也活跃在互联网的各个社群角落,寻觅着合适的客户。
一名微信昵称为“专业底单制作”的“号贩子”告诉记者,他手头掌握着大量快递用户单号,可通过快递公司内部人员查询单号对应的快递信息,每一条用户信息10元。“我得给快递公司‘内部人’钱。”见记者还价,他解释,自己的单号真实可查,不是“刷单”的那些“空包,假物流”,那些只有单号,没有其他信息。
为证明自己的“资源质优”,他称,自己的快递信息都配运单号且可以根据需要“定制”查,“要哪个城市,哪家快递,我给你找”。
记者支付100元购买了上海市的10条快递订单。“专业底单制作”很快以图片形式发来了10条收货地址为上海的“德邦快递”信息,包含快递单号、收货地址、收件人、联系方式等要素。
记者支付100元向微信昵称为“专业底单制作”的“号贩子”购买了上海市的10条快递订单。“专业底单制作”很快以图片形式发来了10条收货地址为上海的“德邦快递”信息,包含快递单号、收货地址、收件人、联系方式等要素。
查询这10条订单的快递单号,记者发现,快递均由天津市下辖的南开、宝坻、武清、西青、北辰等地德邦快递网点发出,时间均为今年4月13日左右。
记者拨通电话核对信息后,收件人蔡女士对个人信息已然泄露充满担忧。
该“号贩子”称,只要客户想要资源,自己就能找到市面上常见的快递公司订单信息。“搞这个风险也很大的,现在一些‘内部人’不敢接活,但总有‘不怕死’的在。”其称。
记者以关键词“出售快递单”检索发现,在百度贴吧、QQ、豆瓣等平台有多个“收售”快递信息的网帖,几乎每一条网帖下都有其他用户留言称想要“资源”,部分用户选择留下联系方式,或直接私信。在百度贴吧,部分网帖直接发在“快递员吧、圆通快递吧、圆通吧、快递吧、客服吧”等关联性强的社区。
记者以关键词“出售快递单”检索发现,在百度贴吧、QQ、豆瓣等平台有多个发布“收售”快递信息的网帖
在百度贴吧,部分“收售”快递信息网帖直接发在“快递员吧、圆通快递吧、圆通吧、快递吧、客服吧”等关联性强的社区。
几乎每一条网帖下都有其他用户留言称想要“资源”,部分用户选择留下联系方式,或直接私信。
偷拍运单,批量调取,“内鬼”称每天千条信息唾手可得
在引起关注的“圆通速递(13.020, 0.01, 0.08%)40万条快递用户信息泄露”事件中,快递公司的“内鬼”充当了信息窃取者的角色。
11月17日,圆通速递称“疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。”但圆通的回应未明确指出“内鬼”外泄快递用户信息的规模及贩卖金额等情况。
其实,圆通泄露用户信息并非首次。有媒体报道称,2013年10月,近百万条圆通快递单个人信息网上可购,单号数据24小时滚动刷新;2018年7月至2019年5月间,有人利用爬虫软件从圆通公司网站非法窃取公司快递信息并获利100万元。
今年11月4日,河北邯郸市永年区警方曾发布一篇文章,披露了另一起快递公司“内鬼”案:今年8月,该局接到邯郸一快递公司报警,调查发现快递公司内部有人泄露了内部系统查询登录账号,将账号信息以每天400至500元出租给邢台沙河市一男子张某。张某伙同高某多次发布购买、租用快递查询系统账号的信息,并以每天1000元的价格将得到的账号信息贩卖给河南籍男子马某。
记者进一步调查发现,除了圆通,市面上其他快递公司也存在“内鬼”参与贩卖快递用户信息的现象。
在申通快递(12.640, -0.06, -0.47%)江西宜春市袁州区的一个快递网点,张苹(化名)负责派送辖区内的包裹。根据他的说法,每天派送的包裹数量在300件左右,此外派送系统中还可以留存一个月的快件数据。
11月17日晚上10点,按照每条1.5元的价格,记者向其购买到11月17日的100条快递信息。张苹通过拍照的形式将网点100个包裹运单发给记者,其中同时包含收件人和寄件人两方信息,部分更是直接注明包裹内的货品是什么。
在申通快递江西宜春市袁州区的一个快递网点,张苹通过拍照的形式将网点100个包裹运单发给记者,与前述一些“卖家”不同,直接将快递运单页面拍照,同时包含收件人和寄件人两方信息,部分更是直接注明包裹内的货品是什么,信息要素更全。
随机输入的其中一个快递运单号显示,该快递在17日下午5点半签收,这也就是说,仅仅4个小时后,该快递用户的信息就被给他下午派送快件的快递员在网上出售。
自称在申通快递工作,昵称为“初冬天微冷”的QQ用户称,可根据需要指定搜寻特定地区的快递用户信息。18日下午,记者以每条3元的价格,向其购买了来自江苏南通、浙江杭州、江苏苏州指定的三个地区90个申通快递用户信息。
其中来自苏州的申通快递用户吴先生向记者表示,11月16日自己的确有一个申通快递寄出,但收件方还没收到。另一位来自杭州的申通快递用户方女士称,自己前几天有一个来自安徽的快递包裹,不过在18日下午选择拒收,她也不清楚短短几天信息在哪个环节被泄露。
一名昵称为“-”的QQ用户向记者表示,自己在邮政系统上班,管“调单号”,可大量调取快递用户信息,“我这边很安全,每天几千个是没有问题的”。他称,前期每天可交易一百条,过几天熟了可以买多点。不过,要买“货”需要提前说,他也只能下午6点后传来,“白天同事都在,人太多”。
“-”称,自己负责在邮政“调单号”,信息真实可查。第一次交易后,记者随机输入其中5个单号,显示这些快递均在18日下午4点56分左右被邮政的快递员揽件。这意味着,快递员在揽件后不到2小时,快递收件用户的信息就已经被外泄。
11月18日下午6点25分,记者以每条1.5元的价格向其购买了100条邮政用户信息,均显示都从湖北孝感市孝南区发出。“-”称,这些数据是他和同事在电脑前调出来,是当天的快递,可以查询单号验证。记者随机输入其中5个单号,显示这些快递均在18日下午4点56分左右被邮政的快递员揽件。这意味着,快递员在揽件后不到2小时,快递收件用户的信息就已经被外泄。
自称在邮政系统上班,昵称为“-”的QQ用户,以每条1.5元的价格向记者出售了1700条邮政用户信息。
11月19日下午,“-”再次将1600条快递用户信息发给记者。查询邮政单号发现,这些快递订单也均在18日下午发出。
除了澎湃新闻记者调查的情况,快递公司“内鬼”外泄用户信息的细节,此前也屡屡出现在警方公告、法院公开文书中。
2018年5月,湖北荆州中级人民法院曾宣判过一起涉及公民信息泄露案件。该案件以顺丰员工为信息泄露主体,快递代理商、文化公司,还有无业者、诈骗犯罪分子等多方参与,利用微信、QQ等软件平台,出售、提供、非法获取包含顺丰快递单号、面单等的公民个人信息,进行“贩卖”。法院判决书中公布了对19人的判决结果,其中顺丰员工有11人。
该案查获疑被泄露的公民个人信息千万余条,涉及交易金额达到200多万元,同时查获一个涉及全国20多个省市的非法买卖公民个人信息网络群。
推销假保健品、谎称订单出问题,泄露的信息成诈骗“鱼料”
在调查中,记者还发现,除了有人“卖”快递信息,也有人专门高价“收”信息。
QQ昵称为“闵”的用户联系记者,称需要大量收购如“桂龙药膏、蚁黄通络胶囊”这类保健品的快递用户信息,自称用来做电话回访,推销他们的产品。当问及是否会从事“诈骗”这类违法活动时,对方予以否认。
记者梳理多份公开文书资料、警方公告、媒体报道发现,快递用户信息被外泄贩卖后,会流入诈骗分子手中,为其从事诈骗活动提供信息支持。
在前述邯郸市永年区警方披露的案件中,快递企业的系统账号被贩卖至“诈骗分子”手中用于查询公民个人信息。荆州中院宣判的顺丰“内鬼”贩卖快递用户信息案中,据荆州市公安局查明,一条完整的快递单号信息最高可卖到10元,在抓获的犯罪嫌疑人中,已经发现部分人员存在实施电信诈骗的行为,“他们通过推销伪劣保健品、销售假冒收藏品或者以回收藏品等方式进行诈骗。”
裁判文书网公开的另一起案例显示,2016年4月以来,张峰(化名)在QQ群内打广告购买公民个人信息,然后再使用QQ号和出售公民个人信息的人联系,以每条2-3元的价钱购买公民个人信息2330条。之后,张峰将购买来的含有买家姓名、电话、商品名称、收货地址、快递订单等内容的信息资料用其QQ号以每条加价1-2元出售给进行网络诈骗的“下家”客户,从中赚取差价,获利12000元。
另一份刑事裁定书则披露了犯罪分子利用非法获取的快递用户信息实施诈骗活动的过程。
一起公开的刑事裁定书则披露了犯罪分子利用非法获取的快递用户信息实施诈骗活动的过程。
2017年2月15日起,赖文(化名)伙同他人通过QQ从“号商”处以每条9元的价格总共购买400条左右的“鱼料”(淘宝订单信息),包含名字、电话号、地址、留言等。此后,赖文利用电脑、手机等工具向网购买家谎称其订单的物流出现问题,需要从支付宝“蚂蚁借呗”“来分期”“微信贷款”等平台操作退款,以此方式诈骗。
黑名单、高罚款、拟立法,如何堵住信息“漏洞”
国家邮政局最新的监测数据显示,我国快递年业务量已突破700亿件,国内快递行业从业人员已经超过300万人。
但随着快递业务量不断增长,不时曝出的快递用户信息泄露事件像一个个“炸弹”,让公众对个人信息安全产生担忧。如何在立法、监管、技术等方面,合力扎紧“篱笆”,堵住信息外泄的“豁口”,成为近年来多方探讨的话题。
自2016年至今,国内70家大型快递物流企业共同成立了快递物流“黑名单”查询系统,把盗窃快件、泄露客户信息、倒卖客户信息等12种违规违法行为列入黑名单。参与快递物流企业“黑名单”系统的企业承诺,5年之内不使用“黑名单”上的快递人员。
据中国新闻网报道,中国交通运输协会快运分会副会长徐勇透露,系统成立5年来,累计共有2.7万名快递从业者被列入黑名单,近两年来,快递物流企业违规违法行为下降幅度超95%。
在制度层面,2018年5月1日,我国第一部专门针对快递业的行政法规《快递暂行条例》开始施行。《条例》规定,经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息,情节严重的最高处10万元罚款。
全国人大法工委今年10月21日就《个人信息保护法(草案)》征求意见。草案的第六十二条提出,违反法规处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由相关部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元一下罚款,对直接负责的主管人员和其他责任人员处一万元以上十万元以下罚款。情节严重的,可吊销相关业务许可或吊销营业执照,对主管人员和其他直接责任人处十万元以上一百万元以下罚款。
北京市安理律师事务所高级合伙人、律师王新锐分析认为,出售快递用户个人信息的“网友”及购买个人信息的人员均违反《网络安全法》中关于个人信息保护的规定,尚未构成犯罪的情况下,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
而个人信息被泄露的用户有权要求收集其个人信息的快递公司删除其个人信息,若因个人信息泄露受到损害的,可向法院提起诉讼请求损害赔偿。
他指出,非法出售、非法获取个人信息情节严重的,构成“侵犯公民个人信息罪”,将被处以三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
