【文匯網訊】山東臨沂女生徐某因學費被騙離世,引發公眾對個人信息安全的擔憂。個人信息洩露源頭眾多,這其中來自快遞公司「內鬼」的洩露也不容忽視。
據南方都市報8月29日報道,26日,一名在湖南順豐速遞公司工作的員工在深圳南山區人民法院受審,被指控侵犯公民個人信息罪,將公司系統的賬號密碼出售他人,導致大量個人信息洩露。實際上根據公開披露的司法文書,類似順豐「內鬼」出售個人信息的事件屢有發生。
網上公開出售快遞面單
幾角錢一條
面單即快遞公司所掌握的客戶收件人和寄件人信息,包括姓名、地址、電話以及購買的物品種類。通過QQ平台搜索面單群,即有多個群顯示出售面單信息,除了順豐公司亦有其他多家快遞公司。一個名為快遞面單選購的群就公告稱,每單3 .5元,50單起購,一次性購買300單,價格則為每單3元。
這些信息不少是被商家買來推銷自有產品,一些商家就較為青睞那些有過購買相關產品的客戶信息。相應的,在面單銷售中,也有專門針對某一個行業的面單群,如一個群名就為順豐保健品數據面單群,主要用來銷售通過順豐購買保健品的客戶資料。還有的人則專門在網絡上求購手機行業的相關面單信息。
在南山法院受審的一名被告人曾在供述中指出,購買過壯陽藥、豐胸、減肥以及保健品的客戶信息很多人想購買,而他也發現順豐快遞的單號有一些規律性,即客戶購買的究竟是哪一種類的物品可以通過快遞單號進行判斷。他因而專門購買這些指定單號的信息,再進行售賣。
在百度上,搜索面單出售信息,同樣也可以出現多條有關的消息,甚至還有人求購提取順豐面單信息的工具。由於順豐普通員工往往只能查詢訂單,並沒有批量下載訂單的權限,因而有一款在順豐系統內提取、批量下載客戶信息的工具,顯然將大大提高作案的效率。
除此之外,早前披露的案件信息顯示,網絡上還有人公開銷售順豐公司系統的賬號與密碼。去年10月,湖北枝江市人民法院一審宣判的案件顯示,2013年4月至8月16日,被告人楊某通過互聯網購買順豐快遞公司內部網絡系統登錄地址、用戶名及密碼,並先後邀約楊某甲、楊某乙、劉某等人,在枝江市馬家店街道辦事處民主大道順豐公司附近一出租屋內,通過連接順豐快遞枝江網點無線網絡進入順豐公司內部辦公系統,從該公司服務器上下載大量記錄有客戶姓名、地址、聯繫方式等內容的快遞信息,並將上述信息通過網絡販賣從中牟利。截至案發,楊某等人共非法獲取公民個人信息180萬餘個,從中牟利5萬餘元。
誰在盜取?
有倉管員有研發工程師
那麼這些公開銷售的面單信息以及賬號和密碼究竟來源於何處?26日,在南山區人民法院受審的被告人宋仁宇,供職於湖南省長沙市順豐速遞有限公司。從檢方指控來看,自2015年8月開始,宋仁宇一方面獲取了同事所擁有的公司操作平台賬號與密碼,同時又將個人所擁有的登陸公司虛擬網絡的權限以及相關賬號密碼提供給信息販子,收取了3 .8萬元費用。庭審中,宋仁宇的行為究竟造成多少個人信息洩露則不明確。
今年7月南山區人民法院一審宣判的另一宗案件中,顯示出一名順豐員工夥同他人,於2014年下半年到2015年7月左右,半年時間通過批量下載軟件盜取順豐客戶的個人信息10多萬條。
該案件中,被告人陳洋於2008年9月入職順豐公司,成為該公司東莞市石碣分部倉管員,主要負責快遞件的入出倉及問題件的處理等。直到2014年間,陳洋結識了懂得編寫計算機程序的楊維保,兩人商量由楊維保編寫一個批量下載的工具,來從順豐公司系統內下載個人信息。
這一工具操作簡單方便,由陳洋裝載在手機之中,通過手機連接公司的電腦,再打開軟件,隨後進入公司的系統,即可以批量下載相關的客戶信息。
由於楊維保發現順豐的單號有一定的規律性,且市場上對保健品、減肥、豐胸等面單的信息需求旺盛,他開發的這一軟件還可以批量下載指定的訂單信息,針對性極強。除此之外,一旦軟件出現問題,楊維保還可以立即予以修復,重新投入使用。
除了前述這些普通員工利用多種途徑出售個人信息之外,具有較大便利的則是研發工程師。去年2月,福田區人民法院一審宣判的一宗案件中,顯示順豐公司的研發工程師利用工作之便大量出售個人信息。
法院審理認定的內容顯示,2012年8月,被告人嚴某入職順豐速運有限公司,任研發工程師。2013年10月份開始,被告人嚴某利用其任研發工程師的職務便利,從順豐速運有限公司的數據庫裡導出客戶信息資料(包括個人姓名、住址、聯繫電話)到互聯網上其自己的網盤內,回到住處後將網盤內的客戶信息資料數據下載保存到自己的電腦上,再進行出售。
嚴某出售的個人信息每條價格在0 .2- 0 .5元之間,截至2014年6月,不足一年的時間,嚴某獲利達到36萬元人民幣。依此推算,嚴某出售的個人信息達到百萬條。
個人信息售出後
通常被用來營銷或詐騙
這些個人信息被出售之後,一部分被用來實施詐騙。如前述順豐東莞石碣分部倉管員陳洋一案案發,就是源於客戶信息被盜取銷售後用於詐騙。
順豐公司安保經理在一份報案材料中指出,2015年3月份公司接到客戶投訴,反映信息被洩露,收貨方收到詐騙電話,冒充順豐、寄方實施詐騙。
其中一個2015年3月14日由深圳發往湖北襄陽市的快遞,3月23日收貨方投訴稱接到了詐騙電話,3月24日寄貨方投訴認為順豐客戶資料被洩露。
該公司遂予以核查,發現公司內部有員工曾查詢過該筆單號,該公司通過該員工的公號進行反查,發現這一賬號在3月查詢過2.8萬條客戶資料,這才予以報案,追查出公司內鬼使用多名同事賬號下載客戶信息。
2014年福建省安溪縣人民法院作出的一審判決顯示,被告人蘇某某於2013年1月至8月間,在安溪縣鳳城鎮江濱花園9號樓1605室租房內,以每條0.02元-0.03元的價格多次在網上向他人購買「順豐快遞」、「宅急送」等快遞公司的快件單據掃瞄件,從而獲得快遞單上的公民姓名、住址及聯繫方式等信息。這些信息被其用於茶葉營銷。
疑問
順豐公司內部管理上有漏洞?
順豐東莞員工陳洋一案中,除了陳洋本人的貪慾之外,實則反映出了順豐管理上的一些漏洞。從該公司多名員工的證言上可以看出,順豐內部的阿修羅系統只能在公司內網登陸,同時每兩個月要更換一次密碼。
一名員工還證實,2015年5月份之前他曾有權限查看運單圖片,獲得運單信息,但之後就沒有該類權限。另一員工的證言顯示,對於單張的運單圖片,可以另存到電腦上進行打印,不能同時下載多張運單圖片和其他信息。這均表明,順豐公司在通過多種手段來預防客戶個人信息的大面積洩露。
但前述作案的員工陳洋,有證人證實其權限低,無法查看所有運單信息。不過陳洋以個人賬號很多圖片看不清,要進行補錄工單等為由,多次向公司財務以及相關部門主管索要賬號進行登錄,輕鬆逾越了公司的有關規定。同時,順豐內部系統雖然設定了批量下載的限制,但是陳洋亦通過第三方軟件輕鬆突破了這樣的限制,實現了個人信息的批量下載,顯示出內部系統上安全性仍有欠缺。
定性
非法獲取公民信息是犯罪行為
刑法中明確規定侵犯公民個人信息罪:違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。
前述多宗案件中,竊取、銷售面單信息的人員大多均被處以非法獲取公民個人信息罪,判處有期徒刑,並處以罰金。除此之外,對於前述順豐東莞員工陳洋利用其他軟件入侵順豐系統,批量下載客戶個人信息的行為,南山區人民法院一審以非法獲取計算機信息系統罪對陳洋予以定罪,判處其有期徒刑四年,處罰金8000元。
對於開發軟件的楊維保,則被判處提供侵入、非法控制計算機信息系統的程序、工具罪,判處有期徒刑四年,處罰金人民幣8000元。
責任編輯:章文