近日,有媒體報道圓通速遞5名員工將其內部員工系統賬號以每日500元的價格租借給外部刷單團伙,導致超過40萬條使用者資訊洩露。11月17日,圓通速遞發表宣告稱,此案系該公司主動發現並報案,並對此案件暴露的問題深表歉意,公司將持續透過“制度+技術”手段,完善資訊保安風控系統。
近年來,雖然使用者資訊得到越來越多的重視,但使用者資訊已成為網路黑灰產業覬覦物件,洩露事件仍時有發生。那麼,使用者資訊保安“防火牆”應該如何搭建?
使用者資訊成網路黑灰產業“唐僧肉”
根據圓通速遞的宣告,今年7月底,該公司總部實時執行的風控系統監測到,河北省區下屬加盟網點有兩個賬號存在非該網點運單資訊的異常查詢,判斷為明顯的異常操作,於第一時間關閉風險賬號,同時立即成立由質控、安保、資訊中心、網管等部門及河北省區組成的調查組,對此事件開展取證調查。調查發現,疑似有加盟網點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單資訊,導致資訊外洩,其中存在敏感欄位資訊約為4.3萬條。公司隨後向當地公安部門報案,並全力配合調查。
據悉,此案件嫌疑人馬某傑僱傭圓通速遞員工以每日500元的費用租用其內部員工系統賬號,由另外的團伙成員登入租用的系統賬號,進入該物流系統,匯出快遞資訊,再把竊取的快遞資訊進行整理,透過微信、QQ等方式倒賣。
此次被洩露的資訊包括髮件人地址、姓名、電話以及收件人電話、姓名、地址6個維度。據馬某傑供述,他將收集到的資訊打包賣出,每條資訊單價約為1元。
“經常接到詐騙電話,把我的名字、地址、最近網購的東西、發件地址都說得一字不差,我就好奇他們哪兒來的我的資訊?”家住北京市西三環的白領邱女士最近向記者吐槽。記者瞭解到,掌握如此準確資訊的詐騙電話,很多人都接到過,感覺自己的資訊已經成了“唐僧肉”。
運營管理面臨挑戰
實際上,快遞公司員工充當“內鬼”洩露使用者資訊的案例並不少見。2019年9月,南京警方破獲的一起案件中,13名嫌疑人,有6名快遞員利用職務之便竊取供職快遞公司使用者資料,涉案金額1200萬元。
泰和泰律師事務所律師廖懷學告訴《工人日報》記者,根據相關法律法規,個人資訊的判斷標準是身份識別性,即只要能夠直接或者間接識別特定個人的真實身份資訊都屬於個人資訊。快遞單上所顯示的發件人資訊、收件人資訊都屬於個人資訊的範疇。“快遞公司或與使用者或與商家之間存在服務合同關係,無論從哪種關係看,都應對使用者個人資訊履行保密義務。”
那麼,快遞企業為何成為使用者資訊洩露的重災區?他們保障使用者資訊保安有哪些節點?廖懷學認為,快遞服務涉及收寄、分揀、運輸、投遞等多個環節,在此過程中接觸使用者資訊的人員範圍廣泛,容易出現監管死角,快遞寄遞處理流程和管理制度存在最佳化完善空間。
一位不願透露姓名的快遞業內人士告訴記者,實行快遞實名制後,快遞企業掌握了使用者的身份資訊,這些資訊較為敏感,價值也高,容易引發網路黑灰產業覬覦。而掌握這些資訊的快遞企業在網路服務方面需要對系統進行安全性升級改造,這不僅面臨較為嚴峻的技術挑戰,成本也很高。
快遞行業專家趙小敏則認為,許多快遞企業在“防火牆”技術上沒有問題,技術每年也有很大的投入,關鍵還是運營管理方面仍面臨不小的挑戰。
使用者也要具備資訊保護意識
此次內部員工洩露使用者資訊的事件發生後,圓通表示,將持續對員工內部賬號進行實時監控,主動發現違法違規行為。同時,著力提升加盟網點的依法經營意識和資訊保安意識,更好地配合公安機關,嚴厲打擊涉及使用者資訊保安的違法行為。
“在技術措施方面,應加強安全驗證建設,在採用傳統的賬號密碼驗證外輔之以其他驗證方式。加強資訊系統的許可權管理,僅向員工分配滿足工作需要的最小操作許可權和最小的可訪問資訊範圍。 此外,還可透過隱藏單面防止資訊洩露,對使用者個人資訊進行編碼隱藏處理。”廖懷學認為,在制度措施方面,快遞公司應建立個人資訊保護內控機制,與內部員工簽訂保密協議,嚴格落實違約懲戒機制;應明確公司內部各部門、各崗位的資訊保安責任,嚴禁無關人員進出快遞處理、存放場地;可安排專業人員對收寄、分揀、運輸、投遞等環節的資訊處理進行安全監控。
北京盈科(上海)律師事務所高階合夥人陳曉薇則認為,公民在日常生活中要具備保護個人資訊的意識。比如說,快遞的收貨地址最好選擇公開場合或者代收服務站,不要填寫詳細地址,扔快遞包裝前將重要資訊塗抹或者撕掉。一旦發現個人資訊被洩露,及時向相關部門投訴舉報或向公安部門報案。