在校生挖网站漏洞卖个人信息:快递行业裸奔

  央视《每周质量报告》近日披露,今年3月,杭州一快递公司的负责人发现有人在网上公开买卖他们公司快递单上的用户信息。随后经警方调查发现,是一名在校学生在做网络安全测试时发现该快递公司或其他公司的安全漏洞,从中提取个人信息并进行了网络售卖。

  从目前来看,从快递这一渠道泄露的个人信息比通过电信、金融等行业泄露的信息,门槛更低、安全隐患更大,也更肆无忌惮。为什么一张毫不起眼的快递单,却成为个人信息泄露的重灾区?为什么如此大规模的个人信息常年“裸奔”,消费者却束手无策。且听南都君为您仔细剖析。

  个人信息在快递行业常年“裸奔”的原因:

  原因1:在快递公司,快递单作为快递信息的载体,一般至少有四联:发货人联、收货人联、结账联、签收联。旧面单会在营业点内保留一年,以备客户查询,然后由总公司回收,并在监管部门监督下统一销毁。不过,一些营业网点对保护信息不重视,将旧面单随意丢弃或倒卖,甚至将出售信息当做员工的“福利”。

  原因2:目前,我国民营快递企业有8000多家,但其中,除顺丰等个别企业外,90%以上快递公司采用特许加盟或直营特许混合模式经营。作为独立的法人,加盟网点可自行招聘员工、自主培训、购买办公设备等,甚至被允许自行发展下级网点。

  虽然几乎所有的快递公司都有相关的信息保密的规定,并制定了相应的惩罚措施,但特许模式导致公司与分公司、加盟网点之间的关系相对松散,基本很难干涉网点的日常业务管理,更何谈防止信息泄露的监管。

  原因3:由于很多快递公司采用特许加盟、轻资产的模式拓展运营,因此在IT技术投入方面实力有限。除快递员、公司“内鬼”外,黑客很容易通过漏洞登录快递公司网站后台,然后上传后门工具,进而控制整个网站服务器。

  原因4:我国对个人信息被滥用的行为惩处不严。国刑法规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”近日,国家邮政局公布《快递条例草案》公开征求意见稿中规定,快递从业人员泄露或者向人非法提供用户信息,以及倒卖快件,尚不构成犯罪的,没收违法所得,并处五千元以上一万元以下的罚款。但同非法买卖个人信息的严重程度相比,大多数地区还没有对此类案件的立案标准,执法和处罚的力度现在也远远不够。

  货物到达中心分拣

  4、快递业务链条很长,参与者多,快递单据几乎贯穿各个环节,一线人员都能接触到单据。原始单据集中在各个网点,单据信息统一进入总部系统。从电商平台、快递公司,以及收派货环节,几乎每一个环节都可以泄露信息。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:DEF CON 22见闻:黑客盯上智慧城市