国家电网App海量用户数据泄露

掌上电力系国内首批电力便民服务类App,注册用户可以通过该App进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。该App在2014年推出后,在北京等地区曾经推出首批试点。2016年初,该App在北京、山东、河北、浙江、安徽等10多个地区正式推广运营。11月开始,国家电网在全国27个省(市、区)开始全面推广掌上电力,目前已拥有接近9000万用户。

“2016年5月开始,国家电网各地电力公司开始规模推广掌上电力。”“大量的数据从各地供电公司流入淘宝,然后从淘宝店铺倒卖至黑产。”上述知情人士告诉记者,“掌上电力开始面向消费者推广时,淘宝上就开始出现了大量提供‘掌上电力绑定’服务的店铺,他们给各省电力公司提供关注、注册、绑定等服务,为各省的掌上电力迅速增加‘用户量’。”

记者下载掌上电力App发现,相比于普通互联网应用,掌上电力要求用户在使用手机、微信注册登录之外,还需要用手机或者微信号绑定家庭电表的户号、密码,完成绑定操作之后可使用缴费、查询等功能。

“在淘宝店铺提供绑定服务的过程中,地方供电公司需要向淘宝店主提供消费者的客户编号、查询密码,部分店铺还要求提供详细地址。”上述知情人士介绍,“从2016年5月开始,淘宝上这类业务非常火,有的店铺很长一段时间内三班倒,几天就销量上万笔,挣钱的同时还拿到大量数据。”

在淘宝搜索“掌上电力”,排在首位的商家在其名为“国网电力微信户号绑定”的宝贝评价中注明“提供户号、位置(省-市-县-镇)”。

针对这一情况,12月9日,国家电网已经向淘宝官方提起投诉、举报。

海量用户数据外流

掌上电力、电e宝的绑定滋生出大量市场需求,一批以“掌上电力绑定”、“北京浙江山东湖北江苏掌上电力”等为主营业务的商户在淘宝上陆续出现。

记者以关键词“掌上电力”在淘宝搜索,共发现180多个店铺,记者统计了其中销量较高的72个商户,进入这72个店铺中统计相应产品的历史销量总计831807笔,产品中包括关注、注册、绑定三类。

名为“刘先生诚信店”的店铺,推出了“代做国网浙江、江苏、江西、山东掌上电力app绑定”的两款宝贝,历史销量累计5300件。店铺工作人员告诉记者:“绑定一个户号1.2元。”该工作人员要求记者提供户号、密码、详细地址,并且表示:“这没什么违法的,浙江所有的供电局都在我这做业务,都提供户号、密码,他们一年给我十几万、几十万套。”而且,该员工并不担心业务违规,“你们有这个任务,我们就提供这个服务。淘宝也没说过这是违规的。”

需要指出,这家号称一年拿到“十几万套户号”的店铺,在淘宝的排名靠后。排名首位的是一家名为“掌上电力客户绑定”的店铺,淘宝显示其掌上电力类交易笔数总计17.8万笔,而且,该店铺“只做绑定”,“需要提供户号、查询密码、省市”。

此外,一家名为“狸猫工作室”的店铺告诉记者:“在安徽,绑定几万户的电力公司很多。”而且,该店铺告诉记者:“这两天安徽、湖北的国网系统有问题,绑定比较慢。所以这两个地方目前只接注册,等电力公司系统好了之后再接绑定的活。”

根据多家淘宝店反馈的信息,供电公司每户绑定一个手机号的成本约1-1.3元,店铺完成任务后,会返还带有注册手机、密码、绑定户号、地址的表格,供电力公司员工“登录、验货”。此外,还有一种“一绑五”的低成本方式,按照国家电网规定,掌上电力App允许消费者用一个手机号绑定5个户号,“一绑五”每户成本约0.4-0.5元。

在淘宝上,“掌上电力客户绑定”、“江先生weixin代做业务”、“u(2810633167)”、“奇妙A工作室”、“强力网络”5个店铺的交易笔数超过五万。“每笔绑定交易,都可能是数百个户号、密码的泄露。”前述知情人士告诉记者,“有的地方一次提供几百个,有的嫌麻烦的一次就给店铺18万个户号、密码,全国泄露数量已经到千万级。”

需要指出,在掌上电力App绑定户号之后,家庭详细地址、门牌号等关键信息部分以“**”字符代替,实现脱敏。不过,数位技术人员告诉记者:“这种遮挡并没有意义。户号、密码都有,稍微一点技术手段,就可以破解这种脱敏,拿到详细地址。”

该知情人士向记者出示了山东某市3万多户号、密码、地址的数据泄露截图,“这只是冰山一角,这些数据现在一次就可以找到几十万条。”而且,“我自己家的户号都被泄露了,我向国家电网投诉过很多次这种大规模泄露数据的情况,但石沉大海。”

或涉嫌违规

比详细地址泄露更危险的是,这些数据如今或已经流入黑市。知情人士告诉记者:“这些淘宝店主已经把数据转售给他人,现在是已经成为黑产的‘一手数据’。”匹配目前已经在黑市泛滥的电商订单、快递数据、身份证、银行卡信息,“这些数据加工之后,带来的危害难以估计,最简单的,可以根据用电数据分析你家什么时候有人、什么时候没人,后果可想而知。”

在向国家电网投诉的同时,该人士向淘宝投诉此类涉嫌收集、倒卖用户数据的商户“非法经营”。但是,根据该人士提供的一张投诉编号为“1468242”的淘宝投诉单显示,淘宝对此投诉的回应为“举报商品违规证据不足、举报不成立”。需要指出,此类店铺用来绑定的大量手机号,属于公安部、工信部一直明确重点打击的“黑卡”,但因为淘宝上类似掌上电力等注册、绑定服务市场的存在,“黑卡”屡禁不止。

根据2012年12月28日第十一届全国人民代表大会常务委员会议通过的《关于加强网络信息保护的决定》,其中第三条规定,“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”。其后,工信部颁布《电信和互联网个人信息保护规定》,第二章第十条规定,“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。”

知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领认为,根据《关于加强网络信息保护的决定》、《电信和互联网个人信息保护规定》,“泄露个人信息,可以追究公司职工的民事责任、以及单位的行政责任。”

而在淘宝规则中,“虚拟账号类商品,如支付宝、微信号、百度钱包、翼支付、快钱钱包、QQ钱包等;提供或接收验证码的服务类商品;手机号码注册、认证类商品;代注册账号类商品”等商品被视为发布涉嫌欺诈等非法用途的商品或服务。

国家电网已向淘宝举报

记者就上诉情况咨询国家电网对外联络部,后者调查后回应记者称:“经查证,根据目前掌握的实际情况和公司现有的技术管控手段,在推广掌上电力、电e宝App过程中不存在泄露大量户号、查询密码、详细地址的情况。”

国家电网表示,“按照公司《信息系统业务授权许可使用管理办法》的要求,全网范围内的信息系统无批量导出功能,无渠道可获取批量用户信息。”且“公司高度重视用户个人信息的保护,不仅从技术手段上进行严密防控,在业务管理方面也实现周密管理。业务人员需签订安全保密协议、定期开展安全自查,并主动向公安部申请安全防护检查。”

国家电网一直把网络安全作为重点工作,且与公安部进行多次攻防演练。2016年9月,按照公安部要求,国家电网已经开始对存在弱口令风险的用户账号、密码进行批量重置,且对内部数据的使用权限进行了严格规定。

国家电网相关人士回应,2016年9月之前,国家电网曾对各省掌上电力App发展情况进行排名。但9月份之后,国家电网对掌上电力发展开始明确要求“业务渗透率”,只考核“缴费业务”、“新装业务办理线上比例”,不对App绑定数量做要求。该人士表示:“我们肯定会严格审查,如果发现有违规现象,不会手软,该上公检法就上公检法,严格处理。”

对于淘宝上提供“掌上电力绑定”业务的情况,国家电网表示:“网络上存在淘宝商家销售相关商品的行为,对我公司的企业形象造成损害,对公司服务的客户造成误导,我们已向淘宝网进行举报。”

12月9日,国家电网已经向淘宝官方提起投诉、举报,但至12月12日下午14时,掌上电力绑定服务仍未下架,且一家名为“投票大王”的店铺还在使用淘宝直通车服务,其宣传图片上宣称“掌上电力注册绑定、万户一天完成”。

12月12日15:40之后,记者搜索“掌上电力”,大量宝贝被下架,此前记者统计过的销量较高的宝贝均显示“商品过期不存在”。但是,仍然有70多个宝贝出现在搜索结果中,而且,记者统计过的72家店铺均未被关闭,已经有店铺通过更改宝贝图片、夹带关键词等方式逃避审批,上述使用淘宝直通车服务的商户,仍然排在广告栏的首位。记者之前咨询的多位店主告诉记者:“淘宝说是业务违规,给我们都下架了。但业务照做,你去拍个其他的链接。”

需要指出,手机号码注册、非法信息采集等类目都属于淘宝禁限售类别,违规者会被处以“立即删除商品、扣12分”的处罚。但是,多位店主告诉记者“没有扣过分”。

来源:21世纪经济报道

上一篇:安全运维迷影重重,何去何从如何抉择?

下一篇:国家电网:不存在泄漏大量客户信息的情况