偷拍运单、批量调取 快递业泄露个人信息漏洞无处不在

来源:人民网 编辑:莉 娜2020-11-20 09:25:22
浏览

  快递业泄露个人信息调查:“内鬼”批量调取,网点直接拍运单

  圆通快递“内鬼”涉泄露40万条快递客户信息,在快递业或许只是冰山一角。

  澎湃新闻()连日调查发现,快递用户遭信息泄露现象涉及的不止圆通一家,网上存在贩卖快递用户信息的“黑产”链条,可能涉及申通、德邦、EMS(邮政速递)、韵达等多家快递公司。

  在贩卖快递信息链条上,不仅有专门从事这一行的“号贩子”,参与者还有做代购的商家、为商家发货的快递网点工作人员,甚至包括快递员、自称管理单号的工作人员等快递公司“内鬼”。大量包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等,有的可一次性出售上万条,甚至可以提供特定地区的快递用户信息。  

  还有人自称在邮政系统上班,管“调单号”,可大量调取当天快递中的信息,“每天几千个没有问题”。其贩卖的信息中,有的是在快递员在揽件后不到2小时即被盗取。

  记者根据多份公开资料发现,这些遭贩卖的快递信息最终多流向从事诈骗活动的犯罪分子手中,为其从事诈骗活动提供信息支持。

  北京市安理律师事务所高级合伙人、律师王新锐就此分析,个人信息被泄露的用户有权要求收集其个人信息的快递公司删除其个人信息,若因个人信息泄露受到损害,可向法院提起诉讼请求损害赔偿。

  代购、网点、“内鬼”,信息漏洞无处不在

  因为疫情原因,QQ用户“邵庄”的国际代购生意不好做。他转而做起了出售用户快递信息的“生意”:在网上发布帖子,将原先的用户快递信息打包出售,八毛钱一条。

  11月17日下午,试探一番后,“邵庄”以210元的价格向记者提供了261条快递信息。这些信息被“邵庄”从工作邮箱“扒”出来整理在文档中,姓名、联系方式、地址对应列了三列。“邵庄”见记者有意,随后又询问能否“吃下”上万条的单子,他自称手里最少有1.2万条快递信息可出售。

  很快,他发来第二批1287条快递信息,自称是手中资源的十分之一。同样,这些来自全国各地的快递信息包含姓名、电话及可能精确到房间号的地址。“邵庄”称,这些信息是此前客户在他这下单后所留,真实可查。

  为验证真实性,记者随机拨通了其中一位来自山东淄博的毕女士电话,发现表格中所列信息完全准确。毕女士回忆,她此前的确找过人在国外买东西,没想到信息会遭到泄露。另一位快递信息遭泄露的顾女士在跟记者核对信息显示无误后,也感到很诧异。

  从下单开始,商家、电商平台、快递公司、快递员等物流各环节的人员掌握着用户的快递信息,信息泄露的源头往往也是来自这些方面。

  给商家代发快递的网点工作人员也可以利用便利将快递信息整理打包,出售获利。

  昵称“主持浅言”的QQ用户称,自己专为在京东、淘宝、拼多多等平台的“刷单”商家发“小礼品”快递,涉及申通、圆通、韵达等。虽然干这一行不久,但也积攒了几千条“刷单”用户快递信息。“没有规定如何处理,都是发货后放在后台。”其称。

  记者支付85元购买了121条用户快递信息,这些用户均曾在电商平台“刷单”。其中一名用户赵女士向记者表示,自己此前在拼多多“刷单”,列表上的信息显示无误。

  各类“号贩子”也活跃在互联网的各个社群角落,寻觅着合适的客户。

  一名微信昵称为“专业底单制作”的“号贩子”告诉记者,他手头掌握着大量快递用户单号,可通过快递公司内部人员查询单号对应的快递信息,每一条用户信息10元。“我得给快递公司‘内部人’钱。”见记者还价,他解释,自己的单号真实可查,不是“刷单”的那些“空包,假物流”,那些只有单号,没有其他信息。

  为证明自己的“资源质优”,他称,自己的快递信息都配运单号且可以根据需要“定制”查,“要哪个城市,哪家快递,我给你找”。

  记者支付100元购买了上海市的10条快递订单。“专业底单制作”很快以图片形式发来了10条收货地址为上海的“德邦快递”信息,包含快递单号、收货地址、收件人、联系方式等要素。

  记者拨通电话核对信息后,收件人蔡女士对个人信息已然泄露充满担忧。

  该“号贩子”称,只要客户想要资源,自己就能找到市面上常见的快递公司订单信息。“搞这个风险也很大的,现在一些‘内部人’不敢接活,但总有‘不怕死’的在。”其称。

  记者以关键词“出售快递单”检索发现,在百度贴吧、QQ、豆瓣等平台有多个“收售”快递信息的网帖,几乎每一条网帖下都有其他用户留言称想要“资源”,部分用户选择留下联系方式,或直接私信。在百度贴吧,部分网帖直接发在“快递员吧、圆通快递吧、圆通吧、快递吧、客服吧”等关联性强的社区。

  偷拍运单,批量调取,“内鬼”称每天千条信息唾手可得

  在引起关注的“圆通速递40万条快递用户信息泄露”事件中,快递公司的“内鬼”充当了信息窃取者的角色。

  11月17日,圆通速递称“疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。”但圆通的回应未明确指出“内鬼”外泄快递用户信息的规模及贩卖金额等情况。

  其实,圆通泄露用户信息并非首次。有媒体报道称,2013年10月,近百万条圆通快递单个人信息网上可购,单号数据24小时滚动刷新;2018年7月至2019年5月间,有人利用爬虫软件从圆通公司网站非法窃取公司快递信息并获利100万元。

  今年11月4日,河北邯郸市永年区警方曾发布一篇文章,披露了另一起快递公司“内鬼”案:今年8月,该局接到邯郸一快递公司报警,调查发现快递公司内部有人泄露了内部系统查询登录账号,将账号信息以每天400至500元出租给邢台沙河市一男子张某。张某伙同高某多次发布购买、租用快递查询系统账号的信息,并以每天1000元的价格将得到的账号信息贩卖给河南籍男子马某。

  记者进一步调查发现,除了圆通,市面上其他快递公司也存在“内鬼”参与贩卖快递用户信息的现象。

  在申通快递江西宜春市袁州区的一个快递网点,张苹(化名)负责派送辖区内的包裹。根据他的说法,每天派送的包裹数量在300件左右,此外派送系统中还可以留存一个月的快件数据。

  11月17日晚上10点,按照每条1.5元的价格,记者向其购买到11月17日的100条快递信息。张苹通过拍照的形式将网点100个包裹运单发给记者,其中同时包含收件人和寄件人两方信息,部分更是直接注明包裹内的货品是什么。