萬條信息售價800元
“今天的數據已經更新,長期出售各種數據”,4月14日下午4點,陳京宏在QQ上推送了一條消息。系統顯示這個QQ的好友超過200人。陳京宏稱,其中大多是向他買過“數據”的客戶。
陳京宏所說的“數據”,是包括電話、地址在內的公民隱私信息。
4月14日,陳京宏提供的5000條外賣訂餐用戶個人信息中,包括酒店等公共場所。文件截圖
陳京宏隨後發來一份截圖,顯示大量姓名、聯繫方式和地址等信息。陳京宏稱數據都是“最近三天的”,但無法提取到具體下單日期。
4月14日,陳京宏發來包括姓名、電話、地址在內的信息表格,共5000條。手機截圖
一位地址顯示為房山區某五星級酒店某號房的周女士回憶,她在4月13日入住該酒店時,
曾使用外賣平臺訂過餐,但記不清訂餐內容和具體商家,“訂得太多了。”陳京宏透露,這些數據每天中午會更新一次,“到晚上肯定能銷完”。
軟件自動“扒”客戶信息
某網絡運營公司的工作人員覃華平時的業務是負責
幫忙代開(運營)外賣店鋪。他同時稱,可以想辦法搞到成都的某外賣平臺訂餐客戶信息。為什麼只有成都的?覃華表示,自己在其他城市沒有代運營的外賣店鋪,而這些數據都是從自己代運營的店鋪裡用軟件爬取的。
“姓名、性別、電話、地址,訂餐次數都有,但具體能有多少條我要查一下才知道。”覃華說。他給出的報價比之前的賣家貴了幾倍,每條5毛錢。覃華隨後解釋稱,可以保證準確率,而且就是這兩天的。
4月20日,覃華髮來一份顯示總計有2605條信息的電腦截圖,之後又發來另一份截圖,信息數量變為2609。“剛剛又有四個客人訂餐,數字隨時會漲”,覃華說,“尾數算是送的。”
“一般做店鋪運營會買這些信息,轉化率很高。”覃華說,他獲取這些信息是通過將自己的軟件掛在一些外賣平臺的商家後臺,從中爬取,“
系統不可能發現”。“如果是商家的信息就更好弄了,全國隨便哪個地方,一晚上我能給你搞定一個城市的所有商家信息,包括店主姓名、店名、地址、手機號碼。”覃華說。
外賣騎手“出賣”訂單
“這些信息可以確保是當天的,而且訂單上的所有信息都可以給你,包括從哪家訂的餐,訂了哪些餐。”李德說。
外賣騎手李德發來的一張用戶訂單。手機截圖
外賣信息洩露糾紛不斷
據媒體報道,去年12月份,柴先生通過“餓了麼”點餐平臺訂了一份外賣,共計31.8元。約10分鐘後,一名自稱商家的人聯繫柴先生稱,他訂的黑椒豬排賣完了,換菜需要補兩塊錢的差價。“信息很準確,我訂單的信息,商家賣的什麼餐,一模一樣。”柴先生說。隨後對方讓柴先生報一下支付寶數字以便收取兩塊錢的差價。在報過數字後,柴先生髮現對方已經轉走了自己近2000元。商家表示柴先生的餐並沒有賣完,給他打電話的也不是店裡的工作人員。柴先生懷疑自己的訂餐信息被洩露。
此外,今年3月份,哈爾濱李先生在訂過一次外賣後,頻繁接到陌生人電話詢問如何找“小姐”。不勝其擾的李先生最後發現,自己的電話是被一名外賣騎手洩露的,並將其備註為“小姐上門”。
個人信息仍處“危險期”
網絡安全專家、白帽匯創始人趙武表示,目前信息洩露不斷髮生,但相應的技術安全規範和要求仍未出臺,公民的個人信息仍處於“危險期”。
對於外賣平臺涉嫌洩露客戶隱私的問題,趙武分析稱,有可能是外賣平臺程序存在漏洞,比如API(應用程序編程接口)沒有做認證,網絡入侵者可以根據訂單序列號爬取用戶信息。歷史上出現過很多起類似案例,例如一些招聘網站的簡歷大規模洩露等。
第二種可能是跟商家合作的第三方洩露信息。比如有的商家會搞一些積分、返利、贈券等活動,這些活動一般是第三方公司承做。他們在活動中會蒐集用戶的信息,而本身對數據的保護不如平臺嚴密,因此很容易被入侵。“此前12306網站信息洩露就是這種情況。”趙武說。
趙武介紹,去年6月份我國的《網絡安全法》已經正式實施,總的指導要求已經明確,但相應的具體技術安全規範仍未出臺,尤其是對商業公司的信息監管沒有很具體的要求。
如何防範信息洩露,趙武表示,一方面國家應該儘快出臺網絡安全保護具體細則,嚴格立法要求企業對安全事故負責,尤其是跟隱私相關的數據洩露必須有懲罰和賠償機制,不允許企業增加“黑客攻擊導致的數據洩露不承擔責任”類似的霸王免責條款。同時,嚴格管束企業方對數據的利用情況,出一次事,處罰一次。
另一方面,商業公司要及時更新信息保護手段,建立深層防護機制,在做數據分析和使用時,可以先將客戶的敏感信息隱去,用虛擬ID代替;再將其隱私信息通過加密的手段做二次防護。
此外趙武表示,商業公司還應完善信息管理機制,“比如技術加密的算法是什麼,什麼樣的人才能接觸到用戶數據,建立詳細的技術標準規範”。
廣東中安律師事務所合夥人、深圳仲裁委員會仲裁員潘翔介紹,刑法修正案(七)對侵犯公民個人信息罪進行了立法,規定國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。
此外《網絡安全法》也明確,網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
新京報
閱讀更多 南昌網警巡查執法 的文章
