圓通內鬼洩露40萬條個人信息背後:不僅快遞,你的簡歷也被賣了
被圓通快遞內鬼洩露的四十萬條公民個人信息只是龐大信息販賣江湖的冰山一角。11月16日,新京報貝殼財經獨家報導了圓通多位“內鬼”有償租借員工賬號,40萬條公民個人信息被洩露一事,引起大眾對於個人隱私安全問題的重視。
貝殼財經報導,在由邯鄲市公安局反詐中心聯合邯鄲市永年區公安局成立的專案組近期偵辦的一起部督案件中,不法分子與圓通快遞多位“內鬼”勾結,通過有償租用圓通員工系統賬號盜取公民個人信息,再層層倒賣公民個人信息至不同下游犯罪人員。
事實上,40萬條公民個人信息只是信息販賣黑市的冰山一角。
新京報貝殼財經記者調查發現,國內的信息販賣在監管重拳整治下已得到遏制,但信息販子在一些更為隱秘的境外空間內仍然猖獗。貝殼財經記者發現,不少信息販子正在兜售快遞數據,有信息販子稱可查詢實時快遞數據。相比於快遞數據,被洩露的更為全面、敏感的簡歷數據也正在被兜售。信息販子稱,40元可買超過4G的簡歷數據。
大量快遞信息正在被販賣,包括收貨人姓名、地址、手機號和所購物品
11月16日,新京報貝殼財經獨家報導了圓通多位“內鬼”有償租借員工賬號,導致40萬條公民個人信息被洩露一事。記者從知情人士獲悉,涉案的為五位圓通員工。被洩露的信息中包括發件人地址、姓名、電話以及收件人電話、姓名、地址六個維度。
據知情人士透露,如果以上述六個維度的信息共同組成一條信息來計算,此次被洩露的信息數量實際超過40萬條。該人士透露,經過警方和檢察院確認,被洩露信息中,存在某個維度以“*”來匿去的“不完全信息”,例如發件人為“張三”,但發件電話卻為“* ”。經過統計,六個維度完整的信息約為4萬5000條。據其中一名嫌疑人供述,他將收集到的信息打包賣出,每條信息單價約為1元。
新京報貝殼財經記者註意到,在隱秘的網絡上,宣稱有快遞數據兜售的賣家不在少數。
某匿名聊天軟件上,記者在“出實時快遞”、“快遞網購行業數據交流”等多個群中發現了信息販子發布的廣告信息。這些信息販子通常以一些字母來逃避平台的監管。例如,以“wg”來代表“網購”,“wd”代表“網貸”,以“sfz”來代表“身份證”。
快遞販子張娜(化名)表示,“一手料子2元,二手的0.2元。”並建議,如果爆粉的話,最好選用二手。張娜口中的“料子”、“爆粉”為黑產行業內的黑話,“料子”指數據,“爆粉”則是通過打電話吸引客戶。所謂一手料子,即沒有被出售過的數據,二手料子即已經出售過的數據。
在信息販賣市場,一手料子貨源緊俏。張娜透露,一般來一批貨一天基本上就沒有了。
通常情況下,為防止黑吃黑,信息買家會要求信息販子提供小部分數據來測試。在記者要求測試之下,張娜發送過來1305條快遞數據。這些快遞信息包括日期、收件人姓名、收件人電話、所購物品規格、價格、數量等多個維度,日期在2020年8月16日~24日不等,涉及金華中通、百世匯通、中通廣東、金華申通等多家快遞。
根據上述測試數據中的手機號,新京報貝殼財經記者向多位個人信息被洩露者進行了求證,結果測試數據信息均屬實。得知自己的信息被洩露後,南京的一位信息被洩露者尤為焦躁,表示不知道誰洩露的,並反复詢問記者該怎麼辦。北京的一位信息被洩露者則較為淡定,她表示“現在個人信息被洩露很正常。”
新京報貝殼財經記者註意到,這些被洩露的信息中均含有“希望寶寶旗艦店”的字眼。記者在天貓及京東上均搜索到該店鋪,網店經營者營業執照信息均顯示,該網店的運營主體為杭州豪悅護理用品股份有限公司。
官網顯示,杭州豪悅護理用品股份有限公司是國內個人衛生護理用品領域的製造商,專注於婦、幼、成人個人衛生健康護理用品的研發、製造與銷售業務。
貝殼財經記者找到另一名信息販子李末(化名),在支付了350元的費用後,李末發來175條一手信息。折合下來,約2元一條。李末的測試數據也包括日期、快遞種類、收件人姓名、收件人電話、所購物品規格、價格、數量等多個維度。其中的物流種類一欄中,除了申通E物流、順豐速運、韻達快運、百世匯通外,還包括此次身陷隱私洩露風波的圓通。
圓通為洩露事件道歉,此前有快遞人員曾查看寄件人信件內容
11月17日,針對此次的洩露風波,圓通速遞發布了一份聲明。圓通方面表示,此次案件,再次敲響了信息安全風險的警鐘。我們感謝社會和媒體的監督,並對此案件暴露的問題深表歉意。公司將持續通過“制度+技術”手段,完善信息安全風控系統,對內部賬號進行實時監控,主動發現違法違規行為。同時,著力提升加盟網點的依法經營意識和信息安全意識,並更好配合公安機關,嚴厲打擊涉及用戶信息安全的違法行為。
這並非圓通快遞首次因為侵犯隱私致歉。
據裁判文書網,2017年6月20日,遼寧省西豐縣曾在第三審判庭公開審理了原告陳某與被告西豐縣圓通快遞站點的訴訟。法院經審理查明,2017年5月10日原告到被告處郵寄信件。被告單位工作人員詢問原告郵寄物品。原告告知被告工作人員郵寄物品是信件。被告單位人員驗視原告信件後,查看原告信件的內容。
法院認為,隱私權是自然人享有的對自己的個人秘密和個人私生活進行支配並排除他人干涉的一種人格權。原告郵寄信件內容不願意讓他人知道。而被告的工作人員查看原告信件內容是一種侵權行為。侵害了原告的隱私權。被告侵權事實成立。被告應停止侵權。原告的訴訟請求應予以支持。法院判決,被告西豐縣圓通快遞向原告陳某當面賠禮道歉。
40元可買超十萬條簡歷信息?帶有“前程無憂”和“智聯招聘”logo
新京報貝殼財經記者此前調查發現,除了快遞信息外,因包含更多信息而更為敏感的簡歷也正在被販賣。
“出智聯數據褲。”4月12日,一木(化名)在某聊天軟件的多個社交群裡打出了廣告。像其他以“sfz”“YHK”來代替“身份證”“銀行卡”一樣,“褲”字是他故意為之。
一木告訴新京報記者,他手握十萬條個人簡歷,這些數據只需要40元。號稱“十萬條”的個人簡歷被“一木”做成了一個壓縮文件,解壓後,佔用空間超過4個G。
貝殼財經記者註意到,這些被洩露的信息維度與簡歷一致,包括工作經驗、出生日期、居住地、手機號、郵箱、學歷信息、自我評價、求職意向、工作經驗、語言能力、技能信息等。
簡歷信息分別被儲存在按照時間日期命名的文件夾內,文件夾的最終修改日期在2014年至2015年之間。
這些信息均帶有智聯招聘或前程無憂的logo。
張喜(化名)的簡歷,便在這些被洩露的數據中。他告訴新京報貝殼財經記者,洩露的簡歷相關信息屬實。“這是我放在前程無憂的一份簡歷,我沒有更新,信息是幾年前的狀態。”
聽到自己的信息被販賣,張喜嘆了一口氣。“我其實沒有很驚訝,畢竟現在信息這麼發達,個人隱私的保障也不是這麼完善,買賣個人信息好像很普通。今天我還看到了圓通內鬼的新聞,感謝媒體分享出來,最好能從法律層面解決這個事情。”
去年8月30日,北京朝陽法院曾公開宣判了一起智聯招聘員工參與倒賣公民個人信息案。
根據法院認定的事實,2016年10月至2018年6月,被告人黃某通過猜配密碼的方式非法獲取北京網聘諮詢有限公司運營的“智聯招聘”企業客戶賬號,盜竊公民個人信息(求職者簡歷)並出售給被告人解某,獲取違法所得人民幣330630元。被告人解某將從被告人黃某處非法購買的公民個人信息(求職者簡歷)加價轉賣給被告人鄭某,獲取違法所得人民幣272 127.5元。後鄭某通過在淘寶網等網絡平台開設的店鋪非法對外出售。
此外,2018年3月至6月間,被告人鄭某分別與智聯招聘職員王某、盧某合謀,通過在“智聯招聘”網站上開立虛假的企業賬號等方式,非法獲取公民個人信息(求職者簡歷)並用於出售。其中,盧某涉非法獲取公民個人信息(求職者簡歷)並出售給鄭某123556條,王某涉非法獲取公民個人信息(求職者簡歷)並出售給被告人鄭某41968條,獲取違法所得人民幣33329元。
案卷顯示,最終所有非法獲取的信息都落入了鄭某手中。鄭某供述,他以3-5元/份的價格購入求職者簡歷,然後以每份5-8元的價格在淘寶售出,支付寶收款。大概賣了幾十萬份,流水300萬元左右,盈利約150萬元。