技术易得 “内鬼”难防
近日,有媒体报道圆通速递5名员工将其内部员工系统账号以每日500元的价格租借给外部刷单团伙,导致超过40万条用户信息泄露。11月17日,圆通速递发表声明称,此案系该公司主动发现并报案,并对此案件暴露的问题深表歉意,公司将持续通过“制度+技术”手段,完善信息安全风控系统。
近年来,虽然用户信息得到越来越多的重视,但用户信息已成为网络黑灰产业觊觎对象,泄露事件仍时有发生。那么,用户信息安全“防火墙”应该如何搭建?
用户信息成网络黑灰产业“唐僧肉”
根据圆通速递的声明,今年7月底,该公司总部实时运行的风控系统监测到,河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管等部门及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄,其中存在敏感字段信息约为4.3万条。公司随后向当地公安部门报案,并全力配合调查。
据悉,此案件嫌疑人马某杰雇佣圆通速递员工以每日500元的费用租用其内部员工系统账号,由另外的团伙成员登录租用的系统账号,进入该物流系统,导出快递信息,再把窃取的快递信息进行整理,通过微信、QQ等方式倒卖。
此次被泄露的信息包括发件人地址、姓名、电话以及收件人电话、姓名、地址6个维度。据马某杰供述,他将收集到的信息打包卖出,每条信息单价约为1元。
“经常接到诈骗电话,把我的名字、地址、最近网购的东西、发件地址都说得一字不差,我就好奇他们哪儿来的我的信息?”家住北京市西三环的白领邱女士最近向记者吐槽。记者了解到,掌握如此准确信息的诈骗电话,很多人都接到过,感觉自己的信息已经成了“唐僧肉”。
运营管理面临挑战
实际上,快递公司员工充当“内鬼”泄露用户信息的案例并不少见。2019年9月,南京警方破获的一起案件中,13名嫌疑人,有6名快递员利用职务之便窃取供职快递公司用户数据,涉案金额1200万元。
泰和泰律师事务所律师廖怀学告诉《工人日报》记者,根据相关法律法规,个人信息的判断标准是身份识别性,即只要能够直接或者间接识别特定个人的真实身份信息都属于个人信息。快递单上所显示的发件人信息、收件人信息都属于个人信息的范畴。“快递公司或与用户或与商家之间存在服务合同关系,无论从哪种关系看,都应对用户个人信息履行保密义务。”
那么,快递企业为何成为用户信息泄露的重灾区?他们保障用户信息安全有哪些节点?廖怀学认为,快递服务涉及收寄、分拣、运输、投递等多个环节,在此过程中接触用户信息的人员范围广泛,容易出现监管死角,快递寄递处理流程和管理制度存在优化完善空间。
一位不愿透露姓名的快递业内人士告诉记者,实行快递实名制后,快递企业掌握了用户的身份信息,这些信息较为敏感,价值也高,容易引发网络黑灰产业觊觎。而掌握这些信息的快递企业在网络服务方面需要对系统进行安全性升级改造,这不仅面临较为严峻的技术挑战,成本也很高。
快递行业专家赵小敏则认为,许多快递企业在“防火墙”技术上没有问题,技术每年也有很大的投入,关键还是运营管理方面仍面临不小的挑战。
用户也要具备信息保护意识
此次内部员工泄露用户信息的事件发生后,圆通表示,将持续对员工内部账号进行实时监控,主动发现违法违规行为。同时,着力提升加盟网点的依法经营意识和信息安全意识,更好地配合公安机关,严厉打击涉及用户信息安全的违法行为。
“在技术措施方面,应加强安全验证建设,在采用传统的账号密码验证外辅之以其他验证方式。加强信息系统的权限管理,仅向员工分配满足工作需要的最小操作权限和最小的可访问信息范围。 此外,还可通过隐藏单面防止信息泄露,对用户个人信息进行编码隐藏处理。”廖怀学认为,在制度措施方面,快递公司应建立个人信息保护内控机制,与内部员工签订保密协议,严格落实违约惩戒机制;应明确公司内部各部门、各岗位的信息安全责任,严禁无关人员进出快递处理、存放场地;可安排专业人员对收寄、分拣、运输、投递等环节的信息处理进行安全监控。
北京盈科(上海)律师事务所高级合伙人陈晓薇则认为,公民在日常生活中要具备保护个人信息的意识。比如说,快递的收货地址最好选择公开场合或者代收服务站,不要填写详细地址,扔快递包装前将重要信息涂抹或者撕掉。一旦发现个人信息被泄露,及时向相关部门投诉举报或向公安部门报案。