Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15677 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
内鬼,无处不在
本文来自公众号:安在   2020.11.17 19:57:15


撰稿 | 贾贾
编辑 | 图图



新京报 11 月 17 日消息, 河北省邯郸市公安在 今年 8月 接到圆通物流委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。


据邯郸永年区公安局反诈中心中队长王求东梳理,三名嫌疑人以每日500元的费用租用圆通物流公司内部员工系统账号进入物流系统,导出快递信息,并把窃取的快递信息进行整理后交给同伙,又通过微信、QQ等方式层层倒卖到全国及东南亚等电信诈骗高发区。涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度,总量超过 40 万条。


今天上午,圆通公司给出了它的回应↓


圆通速递微博


如果不是新京报一举捅破了消息篓子,大众大概是不会知道圆通把这件事捂了整整两个月,毕竟“内鬼”这事,实在不光彩。但细究起来又有一丝心酸,因为哪家没出过几次内鬼呢?





网购早已成为了人们日常生活的一部分,快递公司的内部系统中汇集了大量的个人信息。然而,快递行业的相关安全投入和内控升级没有同步完善,产业链条上下游信息安全保护水平参差不齐,不足以保护公民个人信息。甚至有些快递公司的面单至今没有做任何脱敏的处理,快递系统中的个人信息完全裸奔,完全成为犯罪份子窥视的目标。


经不住诱惑的内部人员是最主要的因素之一。 就拿圆通上一次的内鬼为例: 2013年12月,“刷钻”网站“www.17s.cm”在首页上公开声明与圆通公司合作长期出售快递面单信息。“17s”所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收货地址等。


警方分析后发现,这些信息都是在圆通公司工作的“内鬼”林某提供,网站所有者以每月500元的价格大量购买。截至案发时,已出售公民个人信息20余万条。


而在2012年耸动一时的“1号店90万用户信息500元叫卖”事件,同样也是因为1号店网上商城的员工与离职、外部人员内外勾结,最终造成了大量客户信息被泄露。


人工转录信息易被发现,利用工具规避风险也成为了不少犯罪分子的选择。 2018 6月,杭州萧山公安网警大队接菜鸟网络举报,说他们下属驿站站点使用的巴枪—— 扫描快递用的设备,被安装恶意程序,用于窃取快递上的公民信息。



巴枪上的笑脸图标名为“快递辅助系统”,经警方调查发现,只要快递员使用了安装该辅助系统的设备,菜鸟驿站服务器回传到巴枪的数据就会被截取,快递公司名称、用户手机号、用户姓名、运单号等信息一览无余。


截止案发时,该程序已非法获取江苏、山东等地菜鸟驿站的快递数据达1000余万条,其中大部分都是在校大学生的信息。


还有甚者反其道而行之,直接和快递员狼狈为奸,做起了诈骗生意。 2019年8月, 南京警方破获了一起侵犯公民个人信息、实施精准诈骗的 “货到付款”式 诈骗案件。



经查,郑州某科技公司法人郑某,为减少电商推广广告运营成本,勾结熟识的德邦快递业务员,通过快递公司内部系统查到客户信息,按照货到付款的方式广式撒网投放产品。郑某借此减少广告运营支出,快递业务员借机增加发件量,获取高额绩效工资。


双方一拍即合,形成了一条由供货、偷数据、做售后的犯罪链条。其发货量巨大,平均每天发货5000件。由于对受害人心理的精准把握,截至案发时,涉案金额已高达1200万。









就快递公司屡出内鬼这一现象,老贾咨询了海华永泰律师事务所高级合伙人娄鹤律师。他告诉我,从这次圆通的泄密报道中,可以看出几条关键信息:



1.有偿租用员工系统账号后,可以直接盗取公民个人信息并且贩卖牟利。可以推测,系统中的个人信息没有进行任何安全防护,从而直接成为了交易标的。


2.公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作。


可见,技术手段对发现异常和泄密风险,起到了非常重要的作用。但是也侧面反映了内控手段的滞后性,没有做到对内部账号进行实时监控,使得犯罪份子轻易地通过工具将数据导出,只是到了异地查询阶段(泄露完成后)才发现异常。


3.尽管快递公司的核心业务系统均通过了信息安全等级保护三级测评,但是内外勾结下,个人信息仍然大量泄露,可见内网安全的重要性不容忽视。


4.案件被顺利侦破固然值得肯定,但是如果把该事件仅仅作为一次偶发的刑事案件处理,对提高快递行业的信息安全水平毫无帮助。应该反思,快递公司应该承担何种责任?遭遇泄密的用户是否可以得到相应的赔偿?



此外,即将在明年出台的《民法典》,对个人信息和隐私的保护,也大体只是原则性的规范,对于遏制日益严重的信息泄露并不会有产生直接的影响。


而《个人信息保护法》对违法企业的最高处罚可以达到上一年度营业额的5%或5000万人民币,而对直接责任人员的罚款上限可以达到100万元人民币,威慑力不容小觑。期待其尽快落地并发挥应有的作用!



推荐阅读




人物 | 刘衍斐:人生和安全很相近


齐心抗疫 与你同在




点【在看】的人最好看