圓通內鬼洩露40萬條個人資訊背後:不僅快遞,你的簡歷也被賣了
被圓通快遞內鬼洩露的四十萬條公民個人資訊只是龐大資訊販賣江湖的冰山一角。
11月16日,新京報貝殼財經獨家報道了圓通多位“內鬼”有償租借員工賬號,40萬條公民個人資訊被洩露一事,引起大眾對於個人隱私安全問題的重視。
貝殼財經報道,在由邯鄲市公安局反詐中心聯合邯鄲市永年區公安局成立的專案組近期偵辦的一起部督案件中,不法分子與圓通快遞多位“內鬼”勾結,透過有償租用圓通員工系統賬號盜取公民個人資訊,再層層倒賣公民個人資訊至不同下游犯罪人員。
事實上,40萬條公民個人資訊只是資訊販賣黑市的冰山一角。
新京報貝殼財經記者調查發現,國內的資訊販賣在監管重拳整治下已得到遏制,但資訊販子在一些更為隱秘的境外空間內仍然猖獗。貝殼財經記者發現,不少資訊販子正在兜售快遞資料,有資訊販子稱可查詢實時快遞資料。相比於快遞資料,被洩露的更為全面、敏感的簡歷資料也正在被兜售。資訊販子稱,40元可買超過4G的簡歷資料。
大量快遞資訊正在被販賣,包括收貨人姓名、地址、手機號和所購物品
11月16日,新京報貝殼財經獨家報道了圓通多位“內鬼”有償租借員工賬號,導致40萬條公民個人資訊被洩露一事。記者從知情人士獲悉,涉案的為五位圓通員工。被洩露的資訊中包括髮件人地址、姓名、電話以及收件人電話、姓名、地址六個維度。
據知情人士透露,如果以上述六個維度的資訊共同組成一條資訊來計算,此次被洩露的資訊數量實際超過40萬條。該人士透露,經過警方和檢察院確認,被洩露資訊中,存在某個維度以“*”來匿去的“不完全資訊”,例如發件人為“張三”,但發件電話卻為“*”。經過統計,六個維度完整的資訊約為4萬5000條。據其中一名嫌疑人供述,他將收集到的資訊打包賣出,每條資訊單價約為1元。
新京報貝殼財經記者注意到,在隱秘的網路上,宣稱有快遞資料兜售的賣家不在少數。
某匿名聊天軟體上,記者在“出實時快遞”、“快遞網購行業資料交流”等多個群中發現了資訊販子釋出的廣告資訊。這些資訊販子通常以一些字母來逃避平臺的監管。例如,以“wg”來代表“網購”,“wd”代表“網貸”,以“sfz”來代表“身份證”。
快遞販子張娜(化名)表示,“一手料子2元,二手的0.2元。”並建議,如果爆粉的話,最好選用二手。張娜口中的“料子”、“爆粉”為黑產行業內的黑話,“料子”指資料,“爆粉”則是透過打電話吸引客戶。所謂一手料子,即沒有被出售過的資料,二手料子即已經出售過的資料。
在資訊販賣市場,一手料子貨源緊俏。張娜透露,一般來一批貨一天基本上就沒有了。
通常情況下,為防止黑吃黑,資訊買家會要求資訊販子提供小部分資料來測試。在記者要求測試之下,張娜傳送過來1305條快遞資料。這些快遞資訊包括日期、收件人姓名、收件人電話、所購物品規格、價格、數量等多個維度,日期在2020年8月16日~24日不等,涉及金華中通、百世匯通、中通廣東、金華申通等多家快遞。
根據上述測試資料中的手機號,新京報貝殼財經記者向多位個人資訊被洩露者進行了求證,結果測試資料資訊均屬實。得知自己的資訊被洩露後,南京的一位資訊被洩露者尤為焦躁,表示不知道誰洩露的,並反覆詢問記者該怎麼辦。北京的一位資訊被洩露者則較為淡定,她表示“現在個人資訊被洩露很正常。”
新京報貝殼財經記者注意到,這些被洩露的資訊中均含有“希望寶寶旗艦店”的字眼。記者在天貓及京東上均搜尋到該店鋪,網店經營者營業執照資訊均顯示,該網店的運營主體為杭州豪悅護理用品股份有限公司。
官網顯示,杭州豪悅護理用品股份有限公司是國內個人衛生護理用品領域的製造商,專注於婦、幼、成人個人衛生健康護理用品的研發、製造與銷售業務。
貝殼財經記者找到另一名資訊販子李末(化名),在支付了350元的費用後,李末發來175條一手資訊。摺合下來,約2元一條。李末的測試資料也包括日期、快遞種類、收件人姓名、收件人電話、所購物品規格、價格、數量等多個維度。其中的物流種類一欄中,除了申通E物流、順豐速運、韻達快運、百世匯通外,還包括此次身陷隱私洩露風波的圓通。
圓通為洩露事件道歉,此前有快遞人員曾檢視寄件人信件內容
11月17日,針對此次的洩露風波,圓通速遞釋出了一份宣告。圓通方面表示,此次案件,再次敲響了資訊保安風險的警鐘。我們感謝社會和媒體的監督,並對此案件暴露的問題深表歉意。公司將持續透過“制度+技術”手段,完善資訊保安風控系統,對內部賬號進行實時監控,主動發現違法違規行為。同時,著力提升加盟網點的依法經營意識和資訊保安意識,並更好配合公安機關,嚴厲打擊涉及使用者資訊保安的違法行為。
這並非圓通快遞首次因為侵犯隱私致歉。
據裁判文書網,2017年6月20日,遼寧省西豐縣曾在第三審判庭公開審理了原告陳某與被告西豐縣圓通快遞站點的訴訟。法院經審理查明,2017年5月10日原告到被告處郵寄信件。被告單位工作人員詢問原告郵寄物品。原告告知被告工作人員郵寄物品是信件。被告單位人員驗視原告信件後,檢視原告信件的內容。
法院認為,隱私權是自然人享有的對自己的個人秘密和個人私生活進行支配並排除他人干涉的一種人格權。原告郵寄信件內容不願意讓他人知道。而被告的工作人員檢視原告信件內容是一種侵權行為。侵害了原告的隱私權。被告侵權事實成立。被告應停止侵權。原告的訴訟請求應予以支援。法院判決,被告西豐縣圓通快遞向原告陳某當面賠禮道歉。
裁判文書網截圖。
40元可買超十萬條簡歷資訊?帶有“前程無憂”和“智聯招聘”logo
新京報貝殼財經記者此前調查發現,除了快遞資訊外,因包含更多資訊而更為敏感的簡歷也正在被販賣。
“出智聯資料褲。”4月12日,一木(化名)在某聊天軟體的多個社交群裡打出了廣告。像其他以“sfz”“YHK”來代替“身份證”“銀行卡”一樣,“褲”字是他故意為之。
一木告訴新京報記者,他手握十萬條個人簡歷,這些資料只需要40元。號稱“十萬條”的個人簡歷被“一木”做成了一個壓縮檔案,解壓後,佔用空間超過4個G。
貝殼財經記者注意到,這些被洩露的資訊維度與簡歷一致,包括工作經驗、出生日期、居住地、手機號、郵箱、學歷資訊、自我評價、求職意向、工作經驗、語言能力、技能資訊等。
簡歷資訊分別被儲存在按照時間日期命名的資料夾內,資料夾的最終修改日期在2014年至2015年之間。
這些資訊均帶有智聯招聘或前程無憂的logo。
張喜(化名)的簡歷,便在這些被洩露的資料中。他告訴新京報貝殼財經記者,洩露的簡歷相關資訊屬實。“這是我放在前程無憂的一份簡歷,我沒有更新,資訊是幾年前的狀態。”
聽到自己的資訊被販賣,張喜嘆了一口氣。“我其實沒有很驚訝,畢竟現在資訊這麼發達,個人隱私的保障也不是這麼完善,買賣個人資訊好像很普通。今天我還看到了圓通內鬼的新聞,感謝媒體分享出來,最好能從法律層面解決這個事情。”
去年8月30日,北京朝陽法院曾公開宣判了一起智聯招聘員工參與倒賣公民個人資訊案。
根據法院認定的事實,2016年10月至2018年6月,被告人黃某透過猜配密碼的方式非法獲取北京網聘諮詢有限公司運營的“智聯招聘”企業客戶賬號,盜竊公民個人資訊(求職者簡歷)並出售給被告人解某,獲取違法所得人民幣330630元。被告人解某將從被告人黃某處非法購買的公民個人資訊(求職者簡歷)加價轉賣給被告人鄭某,獲取違法所得人民幣272 127.5元。後鄭某透過在淘寶網等網路平臺開設的店鋪非法對外出售。
此外,2018年3月至6月間,被告人鄭某分別與智聯招聘職員王某、盧某合謀,透過在“智聯招聘”網站上開立虛假的企業賬號等方式,非法獲取公民個人資訊(求職者簡歷)並用於出售。其中,盧某涉非法獲取公民個人資訊(求職者簡歷)並出售給鄭某123556條,王某涉非法獲取公民個人資訊(求職者簡歷)並出售給被告人鄭某41968條,獲取違法所得人民幣33329元。
案卷顯示,最終所有非法獲取的資訊都落入了鄭某手中。鄭某供述,他以3-5元/份的價格購入求職者簡歷,然後以每份5-8元的價格在淘寶售出,支付寶收款。大概賣了幾十萬份,流水300萬元左右,盈利約150萬元。
新京報貝殼財經記者 李大偉 編輯 李薇佳 校對 李銘
記者郵箱:lidawei@xjbnews.com
來源:新京報