作者:
時(shí)間:2016年08月29日
信息來源:來源:南方網(wǎng)
山東臨沂女生徐某因?qū)W費(fèi)被騙離世���,引發(fā)公眾對(duì)個(gè)人信息安全的擔(dān)憂。個(gè)人信息泄露源頭眾多�����,這其中來自快遞公司“內(nèi)鬼”的泄露也不容忽視���。
26日���,一名在湖南順豐速遞公司工作的員工在深圳南山區(qū)人民法院受審,被指控侵犯公民個(gè)人信息罪�,將公司系統(tǒng)的賬號(hào)密碼出售他人,導(dǎo)致大量個(gè)人信息泄露����。實(shí)際上根據(jù)公開披露的司法文書,類似順豐“內(nèi)鬼”出售個(gè)人信息的事件屢有發(fā)生����。
網(wǎng)上公開出售快遞面單
幾角錢一條
面單即快遞公司所掌握的客戶收件人和寄件人信息��,包括姓名、地址����、電話以及購買的物品種類。通過QQ平臺(tái)搜索面單群�,即有多個(gè)群顯示出售面單信息,除了順豐公司亦有其他多家快遞公司���。一個(gè)名為快遞面單選購的群就公告稱��,每單3 .5元�����,50單起購��,一次性購買300單��,價(jià)格則為每單3元���。
這些信息不少是被商家買來推銷自有產(chǎn)品,一些商家就較為青睞那些有過購買相關(guān)產(chǎn)品的客戶信息��。相應(yīng)的,在面單銷售中��,也有專門針對(duì)某一個(gè)行業(yè)的面單群�,如一個(gè)群名就為順豐保健品數(shù)據(jù)面單群,主要用來銷售通過順豐購買保健品的客戶資料�。還有的人則專門在網(wǎng)絡(luò)上求購手機(jī)行業(yè)的相關(guān)面單信息。
在南山法院受審的一名被告人曾在供述中指出����,購買過壯陽藥、豐胸���、減肥以及保健品的客戶信息很多人想購買��,而他也發(fā)現(xiàn)順豐快遞的單號(hào)有一些規(guī)律性���,即客戶購買的究竟是哪一種類的物品可以通過快遞單號(hào)進(jìn)行判斷。他因而專門購買這些指定單號(hào)的信息���,再進(jìn)行售賣����。
在百度上�����,搜索面單出售信息,同樣也可以出現(xiàn)多條有關(guān)的消息�����,甚至還有人求購提取順豐面單信息的工具����。由于順豐普通員工往往只能查詢訂單�,并沒有批量下載訂單的權(quán)限,因而有一款在順豐系統(tǒng)內(nèi)提取���、批量下載客戶信息的工具�����,顯然將大大提高作案的效率����。
除此之外�����,早前披露的案件信息顯示,網(wǎng)絡(luò)上還有人公開銷售順豐公司系統(tǒng)的賬號(hào)與密碼���。去年10月�����,湖北枝江市人民法院一審宣判的案件顯示����,2013年4月至8月16日�����,被告人楊某通過互聯(lián)網(wǎng)購買順豐快遞公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)登錄地址���、用戶名及密碼����,并先后邀約楊某甲��、楊某乙����、劉某等人�����,在枝江市馬家店街道辦事處民主大道順豐公司附近一出租屋內(nèi)�����,通過連接順豐快遞枝江網(wǎng)點(diǎn)無線網(wǎng)絡(luò)進(jìn)入順豐公司內(nèi)部辦公系統(tǒng)�,從該公司服務(wù)器上下載大量記錄有客戶姓名����、地址��、聯(lián)系方式等內(nèi)容的快遞信息����,并將上述信息通過網(wǎng)絡(luò)販賣從中牟利。截至案發(fā)�����,楊某等人共非法獲取公民個(gè)人信息180萬余個(gè)�,從中牟利5萬余元。
誰在盜??�?
有倉管員有研發(fā)工程師
那么這些公開銷售的面單信息以及賬號(hào)和密碼究竟來源于何處�����?26日���,在南山區(qū)人民法院受審的被告人宋仁宇,供職于湖南省長(zhǎng)沙市順豐速遞有限公司�。從檢方指控來看,自2015年8月開始��,宋仁宇一方面獲取了同事所擁有的公司操作平臺(tái)賬號(hào)與密碼�,同時(shí)又將個(gè)人所擁有的登陸公司虛擬網(wǎng)絡(luò)的權(quán)限以及相關(guān)賬號(hào)密碼提供給信息販子,收取了3 .8萬元費(fèi)用����。庭審中,宋仁宇的行為究竟造成多少個(gè)人信息泄露則不明確�。
今年7月南山區(qū)人民法院一審宣判的另一宗案件中,顯示出一名順豐員工伙同他人����,于2014年下半年到2015年7月左右,半年時(shí)間通過批量下載軟件盜取順豐客戶的個(gè)人信息10多萬條。
該案件中�����,被告人陳洋于2008年9月入職順豐公司�����,成為該公司東莞市石碣分部倉管員�����,主要負(fù)責(zé)快遞件的入出倉及問題件的處理等���。直到2014年間,陳洋結(jié)識(shí)了懂得編寫計(jì)算機(jī)程序的楊維保�,兩人商量由楊維保編寫一個(gè)批量下載的工具,來從順豐公司系統(tǒng)內(nèi)下載個(gè)人信息�����。
這一工具操作簡(jiǎn)單方便��,由陳洋裝載在手機(jī)之中��,通過手機(jī)連接公司的電腦,再打開軟件�����,隨后進(jìn)入公司的系統(tǒng)��,即可以批量下載相關(guān)的客戶信息��。
由于楊維保發(fā)現(xiàn)順豐的單號(hào)有一定的規(guī)律性����,且市場(chǎng)上對(duì)保健品、減肥����、豐胸等面單的信息需求旺盛,他開發(fā)的這一軟件還可以批量下載指定的訂單信息���,針對(duì)性極強(qiáng)��。除此之外���,一旦軟件出現(xiàn)問題,楊維保還可以立即予以修復(fù)����,重新投入使用��。
除了前述這些普通員工利用多種途徑出售個(gè)人信息之外�����,具有較大便利的則是研發(fā)工程師���。去年2月,福田區(qū)人民法院一審宣判的一宗案件中�����,顯示順豐公司的研發(fā)工程師利用工作之便大量出售個(gè)人信息���。
法院審理認(rèn)定的內(nèi)容顯示���,2012年8月����,被告人嚴(yán)某入職順豐速運(yùn)有限公司,任研發(fā)工程師����。2013年10月份開始���,被告人嚴(yán)某利用其任研發(fā)工程師的職務(wù)便利,從順豐速運(yùn)有限公司的數(shù)據(jù)庫里導(dǎo)出客戶信息資料(包括個(gè)人姓名�����、住址����、聯(lián)系電話)到互聯(lián)網(wǎng)上其自己的網(wǎng)盤內(nèi),回到住處后將網(wǎng)盤內(nèi)的客戶信息資料數(shù)據(jù)下載保存到自己的電腦上���,再進(jìn)行出售���。
嚴(yán)某出售的個(gè)人信息每條價(jià)格在0 .2- 0 .5元之間,截至2014年6月���,不足一年的時(shí)間���,嚴(yán)某獲利達(dá)到36萬元人民幣。依此推算��,嚴(yán)某出售的個(gè)人信息達(dá)到百萬條。
個(gè)人信息售出后
通常被用來營(yíng)銷或詐騙
這些個(gè)人信息被出售之后�����,一部分被用來實(shí)施詐騙���。如前述順豐東莞石碣分部倉管員陳洋一案案發(fā)��,就是源于客戶信息被盜取銷售后用于詐騙����。
順豐公司安保經(jīng)理在一份報(bào)案材料中指出�����,2015年3月份公司接到客戶投訴���,反映信息被泄露���,收貨方收到詐騙電話,冒充順豐����、寄方實(shí)施詐騙。
其中一個(gè)2015年3月14日由深圳發(fā)往湖北襄陽市的快遞�����,3月23日收貨方投訴稱接到了詐騙電話��,3月24日寄貨方投訴認(rèn)為順豐客戶資料被泄露��。
該公司遂予以核查���,發(fā)現(xiàn)公司內(nèi)部有員工曾查詢過該筆單號(hào)����,該公司通過該員工的公號(hào)進(jìn)行反查��,發(fā)現(xiàn)這一賬號(hào)在3月查詢過2.8萬條客戶資料�����,這才予以報(bào)案�����,追查出公司內(nèi)鬼使用多名同事賬號(hào)下載客戶信息�����。
2014年福建省安溪縣人民法院作出的一審判決顯示,被告人蘇某某于2013年1月至8月間����,在安溪縣鳳城鎮(zhèn)江濱花園9號(hào)樓1605室租房?jī)?nèi),以每條0.02元-0.03元的價(jià)格多次在網(wǎng)上向他人購買“順豐快遞”����、“宅急送”等快遞公司的快件單據(jù)掃描件,從而獲得快遞單上的公民姓名����、住址及聯(lián)系方式等信息。這些信息被其用于茶葉營(yíng)銷��。
疑問
順豐公司內(nèi)部管理上有漏洞�?
順豐東莞員工陳洋一案中,除了陳洋本人的貪欲之外�,實(shí)則反映出了順豐管理上的一些漏洞。從該公司多名員工的證言上可以看出�����,順豐內(nèi)部的阿修羅系統(tǒng)只能在公司內(nèi)網(wǎng)登陸�,同時(shí)每?jī)蓚€(gè)月要更換一次密碼���。
一名員工還證實(shí)�����,2015年5月份之前他曾有權(quán)限查看運(yùn)單圖片��,獲得運(yùn)單信息����,但之后就沒有該類權(quán)限。另一員工的證言顯示�����,對(duì)于單張的運(yùn)單圖片�����,可以另存到電腦上進(jìn)行打印�,不能同時(shí)下載多張運(yùn)單圖片和其他信息。這均表明��,順豐公司在通過多種手段來預(yù)防客戶個(gè)人信息的大面積泄露�����。
但前述作案的員工陳洋,有證人證實(shí)其權(quán)限低����,無法查看所有運(yùn)單信息。不過陳洋以個(gè)人賬號(hào)很多圖片看不清��,要進(jìn)行補(bǔ)錄工單等為由����,多次向公司財(cái)務(wù)以及相關(guān)部門主管索要賬號(hào)進(jìn)行登錄,輕松逾越了公司的有關(guān)規(guī)定�����。同時(shí)����,順豐內(nèi)部系統(tǒng)雖然設(shè)定了批量下載的限制,但是陳洋亦通過第三方軟件輕松突破了這樣的限制�,實(shí)現(xiàn)了個(gè)人信息的批量下載,顯示出內(nèi)部系統(tǒng)上安全性仍有欠缺�����。
定性
非法獲取公民信息是犯罪行為
刑法中明確規(guī)定侵犯公民個(gè)人信息罪:違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息����,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役����,并處或者單處罰金�����;情節(jié)特別嚴(yán)重的����,處三年以上七年以下有期徒刑,并處罰金��。違反國(guó)家有關(guān)規(guī)定���,將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息����,出售或者提供給他人的,依照前款的規(guī)定從重處罰�����。竊取或者以其他方法非法獲取公民個(gè)人信息的�,依照第一款的規(guī)定處罰。單位犯前三款罪的�����,對(duì)單位判處罰金�,并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照各該款的規(guī)定處罰�����。
前述多宗案件中���,竊取��、銷售面單信息的人員大多均被處以非法獲取公民個(gè)人信息罪�����,判處有期徒刑��,并處以罰金�����。除此之外����,對(duì)于前述順豐東莞員工陳洋利用其他軟件入侵順豐系統(tǒng),批量下載客戶個(gè)人信息的行為���,南山區(qū)人民法院一審以非法獲取計(jì)算機(jī)信息系統(tǒng)罪對(duì)陳洋予以定罪�����,判處其有期徒刑四年,處罰金8000元�。
對(duì)于開發(fā)軟件的楊維保,則被判處提供侵入�、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具罪�����,判處有期徒刑四年���,處罰金人民幣8000元�����。
中國(guó)電子商務(wù)網(wǎng)站百強(qiáng) © 2002-2012 zj123.com All Rights Reserved 
