据《新京报》报道,邯郸市公安局近期侦办发现,有不法分子与圆通快递邯郸区多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。该案涉及的公民信息数量超过40万条,涉案金额高达120余万元。
嫌疑人马某雇佣人员以每日500元的费用租用圆通快递邯郸公司内部员工系统账号,两名团伙成员再通过登录租用的系统账号进入该物流系统,导出快递信息。其他团伙成员把窃取的快递信息进行整理后交给同伙,又通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。据嫌疑人供述,他将收集到的信息打包卖出,每条信息单价约为1元。
对此,圆通集团11月17日回应界面新闻称:圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。圆通核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。
今年7月底,圆通总部实时运行的风控系统监测到圆通速递河北省区下属网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。
经过调查发现,疑似有网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。圆通随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。
圆通表示,感谢社会和媒体的监督,并对此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。同时,着力提升加盟公司的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为,共同织牢信息安全防护网。
据悉,此次被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。
《新京报》援引知情人士消息称,如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。经过警方和检察院确认,被泄露信息中,存在某个维度以“”来匿去的“不完全信息”,例如发件人为“张三”,但发件电话却为“”。经过统计,六个维度完整的信息约为4万五千条。
一位从事网络信息安全行业长达20年的资深业内人士告诉界面新闻记者,因为快递行业的面单信息涉及的不单是姓名、电话号码,还有更有敏感的家庭住址等信息,属于犯罪分子看来“信息变现能力最强”的类型,所以信息泄露后往往会流向诈骗渠道,造成更大的危害。例如,这些信息目前经常出现在“到付诈骗”等精准骗局中。
根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的将入罪,自2017年6月1日起实施。根据《网络安全法》第42条的规定:不按规定采取技术措施和其他必要措施,未确保其收集的个人信息安全,导致信息泄漏的,企业要承担相关法律责任。
从圆通快递此次事故来看,是内外勾结的账号借用作案,上述业内人士认为,一是体现出企业管理的漏洞,企业应加强人员的法律意识和红线意识。在以往的到付诈骗的案件中,快递公司总部本身管理严格,但是快递网点都采取加盟制度,因此隐患极大,需加强快递外包管理。
二是要从技术上加强安全建设,不能只验证账号密码,还要增加多因子认证等手段,从整体网络安全架构上改变只针对外部的安全威胁的防护手段。要建立基于快递物流行业的零信任安全的解决方案,打破传统网络安全边界,打造企业内部身份网络,实时监控,实时审计。做到让身份可信、流量可信、设备可信。
此次案件,再次敲响了快递行业信息安全风险的警钟。这并不是圆通出现的首起信息泄漏事故,在快递行业中也不只有圆通出现了类似的事故。随着我国快递行业高速发展,也催生了海量的快递用户数据信息,如何对抗网络黑产、保护用户的信息安全,也成为当下快递企业不得不承担的企业责任。