近日,有媒體報道圓通速遞5名員工將其內(nèi)部員工系統(tǒng)賬號以每日500元的價格租借給外部刷單團伙,導(dǎo)致超過40萬條用戶信息泄露。11月17日,圓通速遞發(fā)表聲明稱,此案系該公司主動發(fā)現(xiàn)并報案,并對此案件暴露的問題深表歉意,公司將持續(xù)通過“制度+技術(shù)”手段,完善信息安全風控系統(tǒng)。
近年來,雖然用戶信息得到越來越多的重視,但用戶信息已成為網(wǎng)絡(luò)黑灰產(chǎn)業(yè)覬覦對象,泄露事件仍時有發(fā)生。那么,用戶信息安全“防火墻”應(yīng)該如何搭建?
用戶信息成網(wǎng)絡(luò)黑灰產(chǎn)業(yè)“唐僧肉”
根據(jù)圓通速遞的聲明,今年7月底,該公司總部實時運行的風控系統(tǒng)監(jiān)測到,河北省區(qū)下屬加盟網(wǎng)點有兩個賬號存在非該網(wǎng)點運單信息的異常查詢,判斷為明顯的異常操作,于第一時間關(guān)閉風險賬號,同時立即成立由質(zhì)控、安保、信息中心、網(wǎng)管等部門及河北省區(qū)組成的調(diào)查組,對此事件開展取證調(diào)查。調(diào)查發(fā)現(xiàn),疑似有加盟網(wǎng)點個別員工與外部不法分子勾結(jié),利用員工賬號和第三方非法工具竊取運單信息,導(dǎo)致信息外泄,其中存在敏感字段信息約為4.3萬條。公司隨后向當?shù)毓膊块T報案,并全力配合調(diào)查。
據(jù)悉,此案件嫌疑人馬某杰雇傭圓通速遞員工以每日500元的費用租用其內(nèi)部員工系統(tǒng)賬號,由另外的團伙成員登錄租用的系統(tǒng)賬號,進入該物流系統(tǒng),導(dǎo)出快遞信息,再把竊取的快遞信息進行整理,通過微信、QQ等方式倒賣。
此次被泄露的信息包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址6個維度。據(jù)馬某杰供述,他將收集到的信息打包賣出,每條信息單價約為1元。
“經(jīng)常接到詐騙電話,把我的名字、地址、最近網(wǎng)購的東西、發(fā)件地址都說得一字不差,我就好奇他們哪兒來的我的信息?”家住北京市西三環(huán)的白領(lǐng)邱女士最近向記者吐槽。記者了解到,掌握如此準確信息的詐騙電話,很多人都接到過,感覺自己的信息已經(jīng)成了“唐僧肉”。
運營管理面臨挑戰(zhàn)
實際上,快遞公司員工充當“內(nèi)鬼”泄露用戶信息的案例并不少見。2019年9月,南京警方破獲的一起案件中,13名嫌疑人,有6名快遞員利用職務(wù)之便竊取供職快遞公司用戶數(shù)據(jù),涉案金額1200萬元。
泰和泰律師事務(wù)所律師廖懷學(xué)告訴《工人日報》記者,根據(jù)相關(guān)法律法規(guī),個人信息的判斷標準是身份識別性,即只要能夠直接或者間接識別特定個人的真實身份信息都屬于個人信息。快遞單上所顯示的發(fā)件人信息、收件人信息都屬于個人信息的范疇。“快遞公司或與用戶或與商家之間存在服務(wù)合同關(guān)系,無論從哪種關(guān)系看,都應(yīng)對用戶個人信息履行保密義務(wù)。”
那么,快遞企業(yè)為何成為用戶信息泄露的重災(zāi)區(qū)?他們保障用戶信息安全有哪些節(jié)點?廖懷學(xué)認為,快遞服務(wù)涉及收寄、分揀、運輸、投遞等多個環(huán)節(jié),在此過程中接觸用戶信息的人員范圍廣泛,容易出現(xiàn)監(jiān)管死角,快遞寄遞處理流程和管理制度存在優(yōu)化完善空間。
一位不愿透露姓名的快遞業(yè)內(nèi)人士告訴記者,實行快遞實名制后,快遞企業(yè)掌握了用戶的身份信息,這些信息較為敏感,價值也高,容易引發(fā)網(wǎng)絡(luò)黑灰產(chǎn)業(yè)覬覦。而掌握這些信息的快遞企業(yè)在網(wǎng)絡(luò)服務(wù)方面需要對系統(tǒng)進行安全性升級改造,這不僅面臨較為嚴峻的技術(shù)挑戰(zhàn),成本也很高。
快遞行業(yè)專家趙小敏則認為,許多快遞企業(yè)在“防火墻”技術(shù)上沒有問題,技術(shù)每年也有很大的投入,關(guān)鍵還是運營管理方面仍面臨不小的挑戰(zhàn)。
用戶也要具備信息保護意識
此次內(nèi)部員工泄露用戶信息的事件發(fā)生后,圓通表示,將持續(xù)對員工內(nèi)部賬號進行實時監(jiān)控,主動發(fā)現(xiàn)違法違規(guī)行為。同時,著力提升加盟網(wǎng)點的依法經(jīng)營意識和信息安全意識,更好地配合公安機關(guān),嚴厲打擊涉及用戶信息安全的違法行為。
“在技術(shù)措施方面,應(yīng)加強安全驗證建設(shè),在采用傳統(tǒng)的賬號密碼驗證外輔之以其他驗證方式。加強信息系統(tǒng)的權(quán)限管理,僅向員工分配滿足工作需要的最小操作權(quán)限和最小的可訪問信息范圍。此外,還可通過隱藏單面防止信息泄露,對用戶個人信息進行編碼隱藏處理。”廖懷學(xué)認為,在制度措施方面,快遞公司應(yīng)建立個人信息保護內(nèi)控機制,與內(nèi)部員工簽訂保密協(xié)議,嚴格落實違約懲戒機制;應(yīng)明確公司內(nèi)部各部門、各崗位的信息安全責任,嚴禁無關(guān)人員進出快遞處理、存放場地;可安排專業(yè)人員對收寄、分揀、運輸、投遞等環(huán)節(jié)的信息處理進行安全監(jiān)控。
北京盈科(上海)律師事務(wù)所高級合伙人陳曉薇則認為,公民在日常生活中要具備保護個人信息的意識。比如說,快遞的收貨地址最好選擇公開場合或者代收服務(wù)站,不要填寫詳細地址,扔快遞包裝前將重要信息涂抹或者撕掉。一旦發(fā)現(xiàn)個人信息被泄露,及時向相關(guān)部門投訴舉報或向公安部門報案。
