申通被曝13資訊安全漏洞

　　駭客借此竊取3萬多客戶資訊 獲利3萬餘元被判7個月 以後快遞出漏洞擬最高罰5萬

　　漏洞標題： 國內快遞行業某個疑似通用軟體配置不當引發大量資訊洩露(目前測試五個快遞公司)

　　危害等級： 高

　　漏洞狀態： 已交由第三方合作機構(cncert國家網際網路應急中心)處理

　　上月，國務院法制辦就《快遞條例》向社會徵求意見。其中要求，快遞企業應建立電子數據管理制度，確保用戶資訊安全。發生或者可能發生用戶資訊洩露、毀損、丟失的情況時，快遞企業應當立即採取補救措施。違反上述規定的，處1萬元以上5萬元以下的罰款。

　　你個人資訊安全嗎？

　　駭客利用申通快遞公司的管理系統漏洞，侵入該公司伺服器，非法獲取了3萬餘條個人資訊，之後非法出售。審查此案的上海市青浦區檢察院檢察官告訴《法制晚報》記者，買這些資訊的人，多數是為了行騙。

　　據檢察官透露，駭客是看到著名安全網“烏雲網”公佈的申通公司系統漏洞後作案的。

　　記者隨後搜索“烏雲網”發現，2013年以來，該網站至少公佈了申通公司與資訊洩露隱患有關的漏洞報告13篇，涉及系統弱密碼、伺服器目錄、管理後臺、快遞短信等各個方面，其中9份報告被標注的危害等級為“高”。

　　案件詳情3個月竊3萬餘條客戶資訊

　　根據上海市青浦區檢察院指控，2014年9月至11月，鞠某為非法牟利，利用申通K8速運管理系統漏洞，非法侵入申通快遞有限公司伺服器，下載包含公民個人資訊的快遞面單資訊3萬餘條。後通過網路出售給他人，非法獲利3萬餘元。

　　其中，2014年9月，任某在鞠某的安排下，利用申通K8速運管理系統漏洞非法侵入申通快遞有限公司伺服器，下載包含公民個人資訊的快遞面單資訊2000余條並提供給鞠某。後鞠某通過網路將資訊出售給他人，並向任某支付報酬2000余元。

　　經過審理，上海市青浦區法院認定了檢方指控的事實。2015年4月2日，法院以非法獲取公民個人資訊罪判處鞠某有期徒刑7個月，並處罰金1萬元；8月24日，法院以同樣的罪名判處任某拘役4個月，並處罰金4000元。

　　QQ群公開叫賣被申通發現

　　日前，上海市青浦區檢察院承辦案件的檢察官喬青接受了《法制晚報》記者(法晚微信ID：fzwb_52165216)採訪。

　　“任某是鞠某的親戚，他不懂電腦技術，主要是給鞠某打下手。入侵伺服器拿回的資訊都是一張一張的圖片，任某幫鞠某把圖片上的資訊，一條一條輸到表格裏。”

　　“任某整理好申通公司的客戶資訊後，以QQ群為平臺，在群裏公開叫賣，每條資訊一塊錢。現在有很多專門賣個人資訊的QQ群，賣家買家都在這個平臺出價、付款、收貨。”喬青介紹説，這是任某第一次作案，沒想到找到的買家竟然是潛伏在QQ群裏的申通快遞法務人員。

　　“申通的法務人員發現任某在賣申通公司的資訊後，向公安機關報案，並提交了付款等圖片證據。”檢察官説。

　　買賣個人資訊多為了詐騙

　　據檢察員喬青介紹，“我們青浦區(檢察院)每年都會辦理大量快遞公司資訊洩露的案件。因為國內五家大的快遞公司，包括申通、中通、圓通、韻達、順豐都設在上海青浦區。”

　　喬青説，這些個人資訊洩露案件中，購買資訊的買家各不相同。

　　“買這些資訊，多半回去是為了詐騙。比如，買了個人資訊，他們會知道你買的是哪家購物網站的什麼東西，之後會冒充這家網站的客服行騙，這時候對受害者講的內容會更有信服力。”喬青説。

　　除騙子之外，還有一些人非法購買大量個人資訊，是為了再轉手將資訊賣給別人，從中賺差價。

　　“第一手賣出的價格，大約是一塊錢一條。經過層層加價，轉到最後的買家手裏，價格會漲到兩三塊錢一條。”喬青説。

　　延伸採訪嫌犯看到網曝漏洞才下手

　　喬青告訴記者，審查案件過程中，檢察官發現，任某、鞠某之所以選申通K8速運管理系統下手，並得以利用其漏洞，是因為在“烏雲網”上看到了公佈出來的申通公司的系統漏洞。

　　“烏雲網”成立於2010年5月，創始人為百度前安全專家方小頓——一位出生於1987年的國內知名駭客。方小頓聯合幾位安全界人士成立“烏雲網”，目標是成為“自由平等”的漏洞報告平臺，為電腦廠商和安全研究者提供技術上的各種參考。

　　據不完全統計，“烏雲網”公佈的安全漏洞達77848個。一位IT技術員表示：“如果駭客對‘烏雲網’公佈的漏洞有興趣，那麼只要知道企業名字和大概漏洞消息源頭，侵入這個企業，不是難事。”

　　報告詳述了破解申通步驟

　　記者通過梳理烏雲網漏洞列表發現，2014年7月19日，一名叫“袋鼠媽媽”的漏洞作者提交的一份名為“國內快遞行業某個疑似通用軟體配置不當引發大量資訊洩露”的報告，在時間點上與任某、鞠某的作案時間點最為吻合。

　　報告中，作者詳列了發現漏洞的步驟，並貼出了按照他所列步驟操作後得到的資訊的圖片——一份快遞單。

　　報告顯示，作者共測試了5家快遞公司，其中包括申通。報告的最後，作者寫道：綜上，個人推斷快遞行業使用的K8速運管理系統會因配置不當導致洩露，有空看能否對其軟體逆向試試，但目前大量快遞資訊洩露是真實存在的。

　　根據青浦檢察院檢察官提供的線索，記者登錄“烏雲網”查詢發現了大量與申通快遞公司有關的系統安全漏洞。

　　經過記者的不完全統計，2013年至今，在申通快遞公司被公佈的安全漏洞中，與“資訊洩露”相關的，有13份報告。其中2013年公佈的4份，2014年公佈的5份，2015年公佈的4份。

　　這些漏洞報告中，被標注危害等級為“高”的，有9份。

　　漏洞標題： 申通快遞某系統存弱密碼，可導致資訊洩露

　　危害等級： 高

　　漏洞狀態： 漏洞已經通知廠商但是廠商忽略漏洞

　　漏洞標題： 申通快遞某處注入 內部資訊洩露 申通

　　危害等級： 高

　　漏洞狀態： 漏洞已經通知廠商但是廠商忽略漏洞

　　漏洞標題： 申通快遞公司後臺許可權繞過大量用戶資料洩露

　　危害等級： 高

　　漏洞狀態： 未聯繫到廠商或者廠商積極忽略

　　漏洞標題： 申通快遞某處洩露快遞單掃描件、客戶身份證、電話錄音等資訊

　　危害等級： 中

　　漏洞狀態： 廠商已經確認

　　漏洞標題： 申通快遞短信服務泄漏敏感資訊

　　危害等級： 中

　　漏洞狀態： 漏洞已經通知廠商但是廠商忽略漏洞

　　漏洞標題： 申通快遞E3集群系統和客服管控系統管理資訊洩露

　　危害等級： 高

　　漏洞狀態： 廠商已經確認

　　漏洞標題： 申通快遞辦公系統任意登錄並可使用其內部功能(直接洩露登錄密碼)

　　危害等級： 低

　　漏洞狀態： 廠商已經確認

　　漏洞標題： 申通快遞某管理後臺存在漏洞，可能洩露內部敏感資訊

　　危害等級： 高

　　漏洞狀態： 廠商已經確認

　　漏洞標題： 申通快遞某系統存在SQL注入(洩露大量客戶快遞資訊)

　　危害等級： 高

　　漏洞狀態： 漏洞已經通知廠商但是廠商忽略漏洞

　　漏洞標題： 申通快遞某站從弱密碼到getshell再到業務數據洩露

　　危害等級： 高

　　漏洞狀態： 廠商已經確認

　　漏洞標題： 申通某伺服器目錄遍歷導致洩露大量用戶資訊

　　危害等級： 高

　　漏洞狀態： 廠商已經確認

　　漏洞標題： 申通快遞許可權設計不當可獲取修改全站用戶收貨地址(大量敏感資訊洩露)

　　危害等級： 低

　　漏洞狀態： 廠商已經確認

　　申通資訊安全漏洞至少13處

　　消費維權

　　客戶可索賠但比較難

　　北京市惠誠律師事務所律師陳楠告訴《法制晚報》記者(法晚微信ID：fzwb_52165216)，如果快遞客戶遭遇詐騙並掌握證據證明詐騙受害係因快遞公司資訊洩露引起，且快遞公司在資訊洩露這一問題上有過錯，那麼，受害人可以對快遞公司追究賠償責任。

　　但陳律師坦言，在現實中，這種索賠會很艱難。

　　“你很難證明自己被騙是因為快遞公司資訊洩露導致。除非駭客被抓了，買資訊的騙子也被抓了，他們都承認犯罪事實，你還知道他們被抓且認罪，才有可能。”

　　“但實際上，往往是快遞客戶在A地，竊取資訊的駭客在B地，買資訊的人在C地，實施詐騙的人在D地。你人在A地，怎麼可能會知道千里之外的B地，有個非法獲取個人資訊的刑事案件和你有關？”他説。