被圆通快递内鬼泄露的四十万公民个人信息只是庞大信息贩卖江湖的冰山一角。
11月16日,新京报贝壳财经独家报道了圆通多位“内鬼”有偿租借员工账号,40万条公民个人信息被泄露一事,引起大众对于个人隐私安全问题的重视。
贝壳财经报道,在由邯郸市公安局反诈中心联合邯郸市永年区公安局成立的专案组近期侦办的一起部督案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。
事实上,40万条公民个人信息只是信息贩卖黑市的冰山一角。
新京报贝壳财经记者调查发现,国内的信息贩卖在监管重拳整治下已得到遏制,但信息贩子在一些更为隐秘的境外空间内仍然猖獗。贝壳财经记者发现,不少信息贩子正在兜售快递数据,有信息贩子称可查询实时快递数据。相比于快递数据,被泄露的更为全面、敏感的简历数据也正在被兜售。信息贩子称,40元可买超过4G的简历数据。
01
大量快递信息正在被贩卖
包括收货姓名、地址、手机号和所购物品
11月16日,新京报贝壳财经独家报道了圆通多位“内鬼”有偿租借员工账号,导致40万条公民个人信息被泄露一事。记者从知情人士获悉,涉案的为五位圆通员工。被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。
据知情人士透露,如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。该人士透露,经过警方和检察院确认,被泄露信息中,存在某个维度以“*”来匿去的“不完全信息”,例如发件人为“张三”,但发件电话却为“*”。经过统计,六个维度完整的信息约为4万五千条。据其中一名嫌疑人供述,他将收集到的信息打包卖出,每条信息单价约为1元。
新京报贝壳财经记者注意到,在隐秘的网络上,宣称有快递数据兜售的卖家不在少数。
某匿名聊天软件上,记者在“出实时快递”、“快递网购行业数据交流”等多个群中发现了信息贩子发布的广告信息。这些信息贩子通常以一些字母来逃避平台的监管。例如,以“wg”来代表“网购”,“wd”代表“网贷”,以“sfz”来代表“身份证”。
快递贩子张娜(化名)表示,“一手料子2元,二手的0.2元。”他建议,如果爆粉的话,最好选用二手。张娜口中的“料子”、“爆粉”为黑产行业内的黑话,“料子”指数据,“爆粉”则是通过打电话吸引客户。所谓一手料子,即没有被出售过的数据,二手料子即已经出售过的数据。
在信息贩卖市场,一手料子货源紧俏。张娜透露,一般来一批货一天基本上就没有了。
通常情况下,为防止黑吃黑,信息买家会要求信息贩子提供小部分数据来测试。在记者要求测试之下,张娜发送过来1305条快递数据。这些快递信息包括日期、收件人姓名、收件人电话、所购物品规格、价格、数量等多个维度,日期在2020年8月16日~24日不等,快递种类涵盖金华中通、百世汇通、中通广东、金华申通等多家快递。
根据上述测试数据中的手机号,新京报贝壳财经记者向多位个人信息被泄露者进行了求证,结果测试数据信息均属实。得知自己的信息被泄露后,南京的一位信息被泄露者尤为焦躁,表示不知道谁泄露的,并反复询问记者该怎么办。北京的一位信息被泄露者则较为淡定,她表示“现在个人信息被泄露很正常。”
新京报贝壳财经记者注意到,这些被泄露的信息中均含有“希望宝宝旗舰店”的字眼。记者在天猫及京东上均搜索到该店铺,网店经营者营业执照信息均显示,该网店的运营主体为杭州豪悦护理用品股份有限公司。
官网显示,杭州豪悦护理用品股份有限公司是国内个人卫生护理用品领域的制造商,专注于妇、幼、成人个人卫生健康护理用品的研发、制造与销售业务。
贝壳财经记者找到另一名信息贩子李末(化名),在支付了350元的费用后,李末发来175条一手信息。折合下来,约2元一条。李末的测试数据也包括日期、快递种类、收件人姓名、收件人电话、所购物品规格、价格、数量等多个维度。其中的物流种类一栏中,除了申通E物流、顺丰速运、韵达快运、百世汇通外,还包括此次身陷隐私泄露风波的圆通。
02
圆通为泄露事件道歉
此前有快递人员曾查看寄件人信件内容
11月17日,针对此次的泄露风波,圆通速递发布了一份声明。圆通方面表示,此次案件,再次敲响了信息安全风险的警钟。我们感谢社会和媒体的监督,并对此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。同时,着力提升加盟网点的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为。
这并非圆通快递首次因为侵犯隐私致歉。
据裁判文书网,2017年6月20日,辽宁省西丰县曾在第三审判庭公开审理了原告陈某与被告西丰县圆通快递站点的诉讼。法院经审理查明,2017年5月10日原告到被告处邮寄信件。被告单位工作人员询问原告邮寄物品。原告告知被告工作人员邮寄物品是信件。被告单位人员验视原告信件后,查看原告信件的内容。
法院认为,隐私权是自然人享有的对自己的个人秘密和个人私生活进行支配并排除他人干涉的一种人格权。原告邮寄信件内容不愿意让他人知道。而被告的工作人员查看原告信件内容是一种侵权行为。侵害了原告的隐私权。被告侵权事实成立。被告应停止侵权。原告的诉讼请求应予以支持。法院判决,被告西丰县圆通快递向原告陈某当面赔礼道歉。
裁判文书网截图。
03
40元可买超十万条简历数据?
带有“前程无忧”和“智联招聘”logo
新京报贝壳财经记者此前调查发现,除了快递信息外,因包含更多信息而更为敏感的简历也正在被贩卖。
“出智联数据裤。”4月12日,一木(化名)在某聊天软件的多个社交群里打出了广告。像其他以“sfz”“YHK”来代替“身份证”“银行卡”一样,“裤”字是他故意为之。
一木告诉新京报记者,他手握十万条个人简历,这些数据只需要40元。号称“十万条”的个人简历被“一木”做成了一个压缩文件,解压后,占用空间超过4个G。
贝壳财经记者注意到,这些被泄露的信息维度与简历一致,包括工作经验、出生日期、居住地、手机号、邮箱、学历信息、自我评价、求职意向、工作经验、语言能力、技能信息等。
简历信息分别被储存在按照时间日期命名的文件夹内,文件夹的最终修改日期在2014年至2015年之间。
这些信息均带有智联招聘或前程无忧的logo。
张喜(化名)的简历,便在这些被泄露的数据中。他告诉新京报贝壳财经记者,泄露的简历相关信息属实。“这是我放在前程无忧的一份简历,我没有更新,信息是几年前的状态。”
听到自己的信息被贩卖,张喜叹了一口气。“我其实没有很惊讶,毕竟现在信息这么发达,个人隐私的保障也不是这么完善,买卖个人信息好像很普通。今天我还看到了圆通内鬼的新闻,感谢媒体分享出来,最好能从法律层面解决这个事情。”
去年8月30日,北京朝阳法院曾公开宣判了一起智联招聘员工参与倒卖公民个人信息案。
根据法院认定的事实,2016年10月至2018年6月,被告人黄某通过猜配密码的方式非法获取北京网聘咨询有限公司运营的“智联招聘”企业客户账号,盗窃公民个人信息(求职者简历)并出售给被告人解某,获取违法所得人民币330630元。被告人解某将从被告人黄某处非法购买的公民个人信息(求职者简历)加价转卖给被告人郑某,获取违法所得人民币272 127.5元。后郑某通过在淘宝网等网络平台开设的店铺非法对外出售。
此外,2018年3月至6月间,被告人郑某分别与智联招聘职员王某、卢某合谋,通过在“智联招聘”网站上开立虚假的企业账号等方式,非法获取公民个人信息(求职者简历)并用于出售。其中,卢某涉非法获取公民个人信息(求职者简历)并出售给郑某123556条,王某涉非法获取公民个人信息(求职者简历)并出售给被告人郑某41968条,获取违法所得人民币33329元。
案卷显示,最终所有非法获取的信息都落入了郑某手中。郑某供述,他以3-5元/份的价格购入求职者简历,然后以5-8元的价格在淘宝售出,支付宝收款。大概卖了几十万份,流水300万元左右,盈利约150万元。