圆通:单号泄露疑因公司出了“内鬼”_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 圆通:单号泄露疑因公司出了“内鬼”

圆通:单号泄露疑因公司出了“内鬼”

 2013/10/23 18:55:39    程序员俱乐部  我要评论(0)
  • 摘要:非法提供和获取个人信息属于违法行为,应追究信息泄露者的法律责任。昨天,在《新闻晨报》披露了圆通快递百万客户信息被实时兜售后,上海邮政管理局已经责令圆通公司“一查到底,并及时进行整改”。圆通公司在开展内部自查的同时,也已向警方报案。然而,出卖快递信息并没有就此收敛。曝光的“单号淘”网站虽已不能打开,但又跳出了具有相同功能的“单号7”及“有单啦”网站,并依然大肆售卖圆通顾客的个人信息
  • 标签:公司

圆通:单号泄露疑因公司出了“内鬼”

  非法提供和获取个人信息属于违法行为,应追究信息泄露者的法律责任

  昨天,在《新闻晨报》披露了圆通快递百万客户信息被实时兜售后,上海邮政管理局已经责令圆通公司“一查到底,并及时进行整改”。圆通公司在开展内部自查的同时,也已向警方报案。

  然而,出卖快递信息并没有就此收敛。曝光的“单号淘”网站虽已不能打开,但又跳出了具有相同功能的“单号7”及“有单啦”网站,并依然大肆售卖圆通顾客的个人信息。

  各网点信息查询权限不大

  昨天下午,记者来到圆通速递公司位于青浦区的总部。圆通总裁顾问徐祖荫说,早上一看到《新闻晨报》的报道,圆通总公司马上调集相关负责人回到总部研究对策。

  圆通速递的信息技术管理中心高级总监田冰说,圆通速递信息录入流程大致过程是:快递员收到快件即扫描条形码,快件到圆通网点后进行收入扫描,然后直接被送往当地的分拣中心;各网点再根据快件底单录入单号信息包括收寄人姓名、电话和地址,跟快递单上的条形码关联;快件进入分拣中心后扫描条形码,根据关联的单号信息按不同区域自动分拣,然后各个快件在被签收之前的每个环节都将被记录,最后录入签收信息。

  这个过程中,所有的信息通过联网同步上传到圆通的数据中心,在网点和数据中心都可以看到。“但是网点的权限是很小的,比如上海青浦公司,就只能查询到在该网点录入的信息,其他地方的单号信息是没有权限查询的。”田冰解释说,“我们的权限管理是按功能权限和数据权限两个维度分类,一般的网点只有功能权限。数据权限是针对特殊岗位像财务统计之类的,需要用到特定的数据信息。”

  核心人员密码每月换一次

  田冰强调了圆通数据中心的安全管理,总数据中心位于上海,设置了两道防火墙,核心工作人员的密码每月更换一次,且设置的密码在 5 次之内不能重复,“我们数据中心的机房连我的门禁卡也进不去,需要最高级别的安全认证才能进入。”

  记者了解到,圆通速递分为 8 大管理区,每个管理区都有相对比较大的分公司,“这些管理区的部分工作人员会有比较大的权限,他们的账号可能接触到比较广泛的信息数据。”田冰说。

  内部人员泄密嫌疑很大

  对于这次的单号信息被兜售的情况,像“单号淘”这样基本与圆通同步数据的网站,田冰分析可能是某些管理区域的工作人员泄露了账号密码,“内鬼”嫌疑很大。按照圆通的信息防护措施,从外网进入数据中心抓取单号信息数据的可能基本为零,“如果掌握了权限较大的账号密码,一些黑客就可以接触到这些数据,然后通过技术手段直接抓取单号信息的数据,这样很难被发现。”

  田冰同时透露,一个多月以前,圆通协助上海公安部门破获了一起圆通内部人员泄密的案件,“嫌疑人是天津公司的一个质管员,女性,二十几岁,可能是被金钱诱惑,将自己的内部账号和密码卖给他人,造成了部分客户信息外泄,公安机关已经抓获这个员工。”

  圆通报案并公布举报热线

  针对近日发现有不法分子倒卖圆通速递快件信息,给部分客户造成困扰的情况,圆通速递昨天强调,对受影响的客户深表歉意,并表示针对此次快件信息倒卖事件,已依法向公安部门报案,将采取以下紧急措施:

  一、进行公司内部全面排查,寻找信息泄漏源头;

  二、联合信息技术合作伙伴,排除隐患、提升快件信息安全管理等级;

  三、会同各主要业务合作伙伴,进行信息系统接口互查;

  四、将及时公布事态进展。

  此外,圆通公布了信息倒卖举报专线 021-69777936。承诺凡举报该违法犯罪行为的,经查实并由公安机关立案受理,圆通公司将给予奖励。

  再调查:“单号淘”被封又出“单号7”

  记者昨天再次尝试登录“单号淘”,但是这个网站已经打不开。记者联系了“单号淘”的客服“A圆通单号”,对方回复说“进不去了”,至于原因他也不知道。记者询问充值的钱能退吗,对方说:“被封了,我也弄不出来。”

  过了 5 分钟左右,“A圆通单号”给记者发了一个新的网址,“去这里面充值吧,我现在也在里面拿。”

  点击发现,这个叫“单号7”的网站服务项目比“单号淘”要多一些,除了提供单号信息购买业务之外,还有“空包”业务。不过记者发现,这个“单号7”简直就是“单号淘”的克隆版,整个页面都是一样。

  记者在网站注册后购买了一个单号,和之前记者在“单号淘”上购买的信息一样完整,包括收寄件人的姓名、电话和详细地址。

  和“单号淘”不同的是,“单号7”还有代发“空包”业务。所谓“空包”是指发一个并没有实际收发的快递,在快递公司的数据库里虚假登录一条完整的快件物流信息。相比于购买单号,购买“空包”业务更具个性化,包括收寄件人的姓名之类都可随买家控制。“单号7”网站目前出售的单号信息也是圆通的。

  随后,记者又在某论坛上看到一个“有单啦”的单号购买网站。这个网站看上去比“单号淘”和“单号7”内容更加完善,首页还有滚动广告。

  和“单号7”一样,“有单啦”也提供代发“空包”服务,不过只能代发港中能达和飞康达速递两家快递公司的“空包”,价格都是 3 元一个。

  记者注册登录之后网页直接跳到“管理中心”,该网站给用户的告示上写着:“每天 11 点后开始更新单号,每隔 15 分钟更新一次,一天大概可以更新 5 万-10 万单,所以请白天刷好单子,下午 4 点之后发货时再去购买单号”。

  在“单号大厅”里,记者看到“有单啦”的全部单号信息也都是圆通的。但是“有单啦”出售的单号信息只有收寄件地址,并没有收寄件人的个人信息。

  律师观点:客户如发生意外相关公司要担责

  如此大规模的买卖快递单信息是否构成违法?长期关注公民个人信息泄露问题的上海海华永泰律师事务所高级合伙人贺强律师介绍,按照法律规定,非法提供和获取个人信息属于违法行为,应追究信息泄露者的法律责任。“出于需要,客户将个人信息提供给快递公司,快递公司就有义务保护好顾客的个人信息,快递单上记载有收发货人的联系电话、住址、姓名等个人信息,从这个角度来看,倒卖快递单与直接倒卖公民个人信息的性质是一样的。”

  目前从表面上看,买卖的快递单信息多被用来“刷钻”和“电话营销”。然而,快递单上有姓名、具体地址、联系方式等完整的个人信息,其背后隐藏的社会危害性更大,极易滋生冒领快件、入室抢劫杀人、敲诈勒索等刑事犯罪。

  贺强说:“实际上,‘单号淘’等快递单销售网站也已经认识到泄露公民个人信息所隐藏的巨大风险。除具体的操作人员会被追责外,如果客户发生意外事件,而又有证据显示意外事件是与该条信息泄漏相关,那相关公司也要承担相应责任。”

  主管部门:邮政管理局要求一查到底及时整改

  昨天,上海市邮政管理局及青浦区邮政管理局的相关领导也来到圆通公司召开公司高层会议,并要求公司就此次事件一定要一查到底,查出问题企业要及时整改。市邮政管理局监管处负责人介绍,希望企业能及时与警方配合,尽快破案。

  该负责人表示,现行《快递市场管理办法》可操作性较差,而且未对快递企业做出相关的保密要求,也没有相关的责任追究制度,个人信息的安全管理只能靠企业自律。

  记者手记:信息监管再也不能失之于软

  没有想到,几分钟前,当你带着信任的目光,数着钱支付快递费时,你的信息在几分钟后就被堂而皇之地出卖;更没有想到,在晨报曝光圆通快递百万客户信息被实时兜售的消息后,又冒出来一个“单号7”网站,依然兜售客户信息。

  如此有恃无恐,带给我的早已不是惊愕,而是毛骨悚然。这说明,出卖公民信息者早已不将监管放在眼里,或者认为监管形同虚设。

  更不敢想象,这些详细的个人信息在被不法分子泄露出去后,可能产生的“害命”后果。

  凭借准确的信息,冒充快递,入室抢劫、强奸、谋杀……这其中的隐忧与漏洞令人不寒而栗,令人不敢多想,更不敢在报纸上过多展开。

  实际上,大量客户信息从快递公司泄露、贩卖,已非一日一时之事,且屡屡被媒体曝光,只不过这次圆通快递百万客户信息被实时兜售的事实,实在太过令人触目惊心。

  按照这个逻辑,快递信息的被兜售无异于图财害命。如此,快递公司、快递行业的监管部门这些年又为何无动于衷?

  对于那些泄露客户信息的快递公司,我相信,消费者会用脚进行投票。但是,如果这种漏洞不是圆通快递一家的漏洞,而是整个行业的漏洞,消费者又该如何选择?作为快递行业的监管部门,是否需要承担长期以来监管失察的责任?

  面对快递信息的兜售,成为市民生命财产安全的隐忧,成为整个城市公共安全的一大漏洞之时,我们的相关部门早该到了重拳出击的时候,工商、消协、公安、行业协会等各方力量必须形成合力,加强信息共享和联动机制,严厉处罚违法违规企业和个人;我们的相关条例,更需随着信息时代的变化不断升级,不能再将希望寄托于一部《快递市场管理办法》。

  事实证明,当监管失之于软、失之于宽,泄密势必无休无止。

发表评论
用户名: 匿名