來源:澎湃新聞 記者:趙思維
圓通快遞“內鬼”涉洩露40萬條快遞客戶資訊,在快遞業或許只是冰山一角。
澎湃新聞連日調查發現,快遞用戶遭資訊洩露現象涉及的不止圓通一家,網上存在販賣快遞用戶資訊的“黑産”鏈條,可能涉及申通、德邦、EMS(郵政速遞)、韻達等多家快遞公司。
在販賣快遞資訊鏈條上,不僅有專門從事這一行的“號販子”,參與者還有做代購的商家、為商家發貨的快遞網點工作人員,甚至包括快遞員、自稱管理單號的工作人員等快遞公司“內鬼”。大量包含快遞客戶姓名、住址、電話的資訊被打包在網上出售,每條售價從0.8元至10元不等,有的可一次性出售上萬條,甚至可以提供特定地區的快遞用戶資訊。
還有人自稱在郵政系統上班,管“調單號”,可大量調取當天快遞中的資訊,“每天幾千個沒有問題”。其販賣的資訊中,有的是在快遞員在攬件後不到2小時即被盜取。
記者根據多份公開資料發現,這些遭販賣的快遞資訊最終多流向從事詐騙活動的犯罪分子手中,為其從事詐騙活動提供資訊支援。
北京市安理律師事務所高級合夥人、律師王新銳就此分析,個人資訊被洩露的用戶有權要求收集其個人資訊的快遞公司刪除其個人資訊,若因個人資訊洩露受到損害,可向法院提起訴訟請求損害賠償。
代購、網點、“內鬼”,資訊漏洞無處不在
因為疫情原因,QQ用戶“邵莊”的國際代購生意不好做。他轉而做起了出售用戶快遞資訊的“生意”:在網上發佈帖子,將原先的用戶快遞資訊打包出售,八毛錢一條。
“邵莊”稱,就是現在不幹國際代購了,不然30萬條都可以弄到
11月17日下午,試探一番後,“邵莊”以210元的價格向記者提供了261條快遞資訊。這些資訊被“邵莊”從工作郵箱“扒”出來整理在文檔中,姓名、聯繫方式、地址對應列了三列。“邵莊”見記者有意,隨後又詢問能否“吃下”上萬條的單子,他自稱手裏最少有1.2萬條快遞資訊可出售。
很快,他發來第二批1287條快遞資訊,自稱是手中資源的十分之一。同樣,這些來自全國各地的快遞資訊包含姓名、電話及可能精確到房間號的地址。“邵莊”稱,這些資訊是此前客戶在他這下單後所留,真實可查。
QQ用戶“邵莊”發來的1287條快遞資訊,自稱是手中資源的十分之一。同樣,這些來自全國各地的快遞資訊包含姓名、電話及可能精確到房間號的地址。
為驗證真實性,記者隨機撥通了其中一位來自山東淄博的畢女士電話,發現表格中所列資訊完全準確。畢女士回憶,她此前的確找過人在國外買東西,沒想到資訊會遭到洩露。另一位快遞資訊遭洩露的顧女士在跟記者核對資訊顯示無誤後,也感到很詫異。
從下單開始,商家、電商平臺、快遞公司、快遞員等物流各環節的人員掌握著用戶的快遞資訊,資訊洩露的源頭往往也是來自這些方面。
給商家代發快遞的網點工作人員也可以利用便利將快遞資訊整理打包,出售獲利。
昵稱“主持淺言”的QQ用戶稱,自己專為在京東、淘寶、拼多多等平臺的“刷單”商家發“小禮品”快遞,涉及申通、圓通、韻達等。雖然幹這一行不久,但也積攢了幾千條“刷單”用戶快遞資訊。“沒有規定如何處理,都是發貨後放在後臺。”其稱。
記者支付85元購買了121條用戶快遞資訊,這些用戶均曾在電商平臺“刷單”。其中一名用戶趙女士向記者表示,自己此前在拼多多“刷單”,列表上的資訊顯示無誤。
各類“號販子”也活躍在網際網路的各個社群角落,尋覓著合適的客戶。
一名微信昵稱為“專業底單製作”的“號販子”告訴記者,他手頭掌握著大量快遞用戶單號,可通過快遞公司內部人員查詢單號對應的快遞資訊,每一條用戶資訊10元。“我得給快遞公司‘內部人’錢。”見記者還價,他解釋,自己的單號真實可查,不是“刷單”的那些“空包,假物流”,那些只有單號,沒有其他資訊。
為證明自己的“資源質優”,他稱,自己的快遞資訊都配運單號且可以根據需要“定制”查,“要哪個城市,哪家快遞,我給你找”。
記者支付100元購買了上海市的10條快遞訂單。“專業底單製作”很快以圖片形式發來了10條收貨地址為上海的“德邦快遞”資訊,包含快遞單號、收貨地址、收件人、聯繫方式等要素。
記者支付100元向微信昵稱為“專業底單製作”的“號販子”購買了上海市的10條快遞訂單。“專業底單製作”很快以圖片形式發來了10條收貨地址為上海的“德邦快遞”資訊,包含快遞單號、收貨地址、收件人、聯繫方式等要素。
查詢這10條訂單的快遞單號,記者發現,快遞均由天津市下轄的南開、寶坻、武清、西青、北辰等地德邦快遞網點發出,時間均為今年4月13日左右。
記者撥通電話核對資訊後,收件人蔡女士對個人資訊已然洩露充滿擔憂。
該“號販子”稱,只要客戶想要資源,自己就能找到市面上常見的快遞公司訂單資訊。“搞這個風險也很大的,現在一些‘內部人’不敢接活,但總有‘不怕死’的在。”其稱。
記者以關鍵詞“出售快遞單”檢索發現,在百度貼吧、QQ、豆瓣等平臺有多個“收售”快遞資訊的網帖,幾乎每一條網帖下都有其他用戶留言稱想要“資源”,部分用戶選擇留下聯繫方式,或直接私信。在百度貼吧,部分網帖直接發在“快遞員吧、圓通快遞吧、圓通吧、快遞吧、客服吧”等關聯性強的社區。
記者以關鍵詞“出售快遞單”檢索發現,在百度貼吧、QQ、豆瓣等平臺有多個發佈“收售”快遞資訊的網帖
在百度貼吧,部分“收售”快遞資訊網帖直接發在“快遞員吧、圓通快遞吧、圓通吧、快遞吧、客服吧”等關聯性強的社區。
幾乎每一條網帖下都有其他用戶留言稱想要“資源”,部分用戶選擇留下聯繫方式,或直接私信。
偷拍運單,批量調取,“內鬼”稱每天千條資訊唾手可得
在引起關注的“圓通速遞40萬條快遞用戶資訊洩露”事件中,快遞公司的“內鬼”充當了資訊竊取者的角色。
11月17日,圓通速遞稱“疑似有加盟網點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單資訊,導致資訊外泄。”但圓通的回應未明確指出“內鬼”外泄快遞用戶資訊的規模及販賣金額等情況。
其實,圓通洩露用戶資訊並非首次。有媒體報道稱,2013年10月,近百萬條圓通快遞單個人資訊網上可購,單號數據24小時滾動刷新;2018年7月至2019年5月間,有人利用爬蟲軟體從圓通公司網站非法竊取公司快遞資訊並獲利100萬元。
今年11月4日,河北邯鄲市永年區警方曾發佈一篇文章,披露了另一起快遞公司“內鬼”案:今年8月,該局接到邯鄲一快遞公司報警,調查發現快遞公司內部有人洩露了內部系統查詢登錄賬號,將賬號資訊以每天400至500元出租給邢臺沙河市一男子張某。張某夥同高某多次發佈購買、租用快遞查詢系統賬號的資訊,並以每天1000元的價格將得到的賬號資訊販賣給河南籍男子馬某。
記者進一步調查發現,除了圓通,市面上其他快遞公司也存在“內鬼”參與販賣快遞用戶資訊的現象。
在申通快遞江西宜春市袁州區的一個快遞網點,張蘋(化名)負責派送轄區內的包裹。根據他的説法,每天派送的包裹數量在300件左右,此外派送系統中還可以留存一個月的快件數據。
11月17日晚上10點,按照每條1.5元的價格,記者向其購買到11月17日的100條快遞資訊。張蘋通過拍照的形式將網點100個包裹運單發給記者,其中同時包含收件人和寄件人兩方資訊,部分更是直接註明包裹內的貨品是什麼。
在申通快遞江西宜春市袁州區的一個快遞網點,張蘋通過拍照的形式將網點100個包裹運單發給記者,與前述一些“賣家”不同,直接將快遞運單頁面拍照,同時包含收件人和寄件人兩方資訊,部分更是直接註明包裹內的貨品是什麼,資訊要素更全。
隨機輸入的其中一個快遞運單號顯示,該快遞在17日下午5點半簽收,這也就是説,僅僅4個小時後,該快遞用戶的資訊就被給他下午派送快件的快遞員在網上出售。
自稱在申通快遞工作,昵稱為“初冬天微冷”的QQ用戶稱,可根據需要指定搜尋特定地區的快遞用戶資訊。18日下午,記者以每條3元的價格,向其購買了來自江蘇南通、浙江杭州、江蘇蘇州指定的三個地區90個申通快遞用戶資訊。
其中來自蘇州的申通快遞用戶吳先生向記者表示,11月16日自己的確有一個申通快遞寄出,但收件方還沒收到。另一位來自杭州的申通快遞用戶方女士稱,自己前幾天有一個來自安徽的快遞包裹,不過在18日下午選擇拒收,她也不清楚短短幾天資訊在哪個環節被洩露。
一名昵稱為“-”的QQ用戶向記者表示,自己在郵政系統上班,管“調單號”,可大量調取快遞用戶資訊,“我這邊很安全,每天幾千個是沒有問題的”。他稱,前期每天可交易一百條,過幾天熟了可以買多點。不過,要買“貨”需要提前説,他也只能下午6點後傳來,“白天同事都在,人太多”。
“-”稱,自己負責在郵政“調單號”,資訊真實可查。第一次交易後,記者隨機輸入其中5個單號,顯示這些快遞均在18日下午4點56分左右被郵政的快遞員攬件。這意味著,快遞員在攬件後不到2小時,快遞收件用戶的資訊就已經被外泄。
11月18日下午6點25分,記者以每條1.5元的價格向其購買了100條郵政用戶資訊,均顯示都從湖北孝感市孝南區發出。“-”稱,這些數據是他和同事在電腦前調出來,是當天的快遞,可以查詢單號驗證。記者隨機輸入其中5個單號,顯示這些快遞均在18日下午4點56分左右被郵政的快遞員攬件。這意味著,快遞員在攬件後不到2小時,快遞收件用戶的資訊就已經被外泄。
自稱在郵政系統上班,昵稱為“-”的QQ用戶,以每條1.5元的價格向記者出售了1700條郵政用戶資訊。
11月19日下午,“-”再次將1600條快遞用戶資訊發給記者。查詢郵政單號發現,這些快遞訂單也均在18日下午發出。
除了澎湃新聞記者調查的情況,快遞公司“內鬼”外泄用戶資訊的細節,此前也屢屢出現在警方公告、法院公開文書中。
2018年5月,湖北荊州中級人民法院曾宣判過一起涉及公民資訊洩露案件。該案件以順豐員工為資訊洩露主體,快遞代理商、文化公司,還有無業者、詐騙犯罪分子等多方參與,利用微信、QQ等軟體平臺,出售、提供、非法獲取包含順豐快遞單號、面單等的公民個人資訊,進行“販賣”。法院判決書中公佈了對19人的判決結果,其中順豐員工有11人。
該案查獲疑被洩露的公民個人資訊千萬餘條,涉及交易金額達到200多萬元,同時查獲一個涉及全國20多個省市的非法買賣公民個人資訊網路群。
推銷假保健品、謊稱訂單出問題,洩露的資訊成詐騙“魚料”
在調查中,記者還發現,除了有人“賣”快遞資訊,也有人專門高價“收”資訊。
QQ昵稱為“閔”的用戶聯繫記者,稱需要大量收購如“桂龍藥膏、蟻黃通絡膠囊”這類保健品的快遞用戶資訊,自稱用來做電話回訪,推銷他們的産品。當問及是否會從事“詐騙”這類違法活動時,對方予以否認。
記者梳理多份公開文書資料、警方公告、媒體報道發現,快遞用戶資訊被外泄販賣後,會流入詐騙分子手中,為其從事詐騙活動提供資訊支援。
在前述邯鄲市永年區警方披露的案件中,快遞企業的系統賬號被販賣至“詐騙分子”手中用於查詢公民個人資訊。荊州中院宣判的順豐“內鬼”販賣快遞用戶資訊案中,據荊州市公安局查明,一條完整的快遞單號資訊最高可賣到10元,在抓獲的犯罪嫌疑人中,已經發現部分人員存在實施電信詐騙的行為,“他們通過推銷偽劣保健品、銷售假冒收藏品或者以回收藏品等方式進行詐騙。”
裁判文書網公開的另一起案例顯示,2016年4月以來,張峰(化名)在QQ群內打廣告購買公民個人資訊,然後再使用QQ號和出售公民個人資訊的人聯繫,以每條2-3元的價錢購買公民個人資訊2330條。之後,張峰將購買來的含有買家姓名、電話、商品名稱、收貨地址、快遞訂單等內容的資訊資料用其QQ號以每條加價1-2元出售給進行網路詐騙的“下家”客戶,從中賺取差價,獲利12000元。
另一份刑事裁定書則披露了犯罪分子利用非法獲取的快遞用戶資訊實施詐騙活動的過程。
一起公開的刑事裁定書則披露了犯罪分子利用非法獲取的快遞用戶資訊實施詐騙活動的過程。
2017年2月15日起,賴文(化名)夥同他人通過QQ從“號商”處以每條9元的價格總共購買400條左右的“魚料”(淘寶訂單資訊),包含名字、電話號、地址、留言等。此後,賴文利用電腦、手機等工具向網購買家謊稱其訂單的物流出現問題,需要從支付寶“螞蟻借唄”“來分期”“微信貸款”等平臺操作退款,以此方式詐騙。
黑名單、高罰款、擬立法,如何堵住資訊“漏洞”
國家郵政局最新的監測數據顯示,我國快遞年業務量已突破700億件,國內快遞行業從業人員已經超過300萬人。
但隨著快遞業務量不斷增長,不時曝出的快遞用戶資訊洩露事件像一個個“炸彈”,讓公眾對個人資訊安全産生擔憂。如何在立法、監管、技術等方面,合力紮緊“籬笆”,堵住資訊外泄的“豁口”,成為近年來多方探討的話題。
自2016年至今,國內70家大型快遞物流企業共同成立了快遞物流“黑名單”查詢系統,把盜竊快件、洩露客戶資訊、倒賣客戶資訊等12種違規違法行為列入黑名單。參與快遞物流企業“黑名單”系統的企業承諾,5年之內不使用“黑名單”上的快遞人員。
據中國新聞網報道,中國交通運輸協會快運分會副會長徐勇透露,系統成立5年來,累計共有2.7萬名快遞從業者被列入黑名單,近兩年來,快遞物流企業違規違法行為下降幅度超95%。
在制度層面,2018年5月1日,我國第一部專門針對快遞業的行政法規《快遞暫行條例》開始施行。《條例》規定,經營快遞業務的企業及其從業人員不得出售、洩露或者非法提供快遞服務過程中知悉的用戶資訊,情節嚴重的最高處10萬元罰款。
全國人大法工委今年10月21日就《個人資訊保護法(草案)》徵求意見。草案的第六十二條提出,違反法規處理個人資訊,或者處理個人資訊未按照規定採取必要的安全保護措施的,由相關部門責令改正,沒收違法所得,給予警告;拒不改正的,並處一百萬元一下罰款,對直接負責的主管人員和其他責任人員處一萬元以上十萬元以下罰款。情節嚴重的,可吊銷相關業務許可或吊銷營業執照,對主管人員和其他直接責任人處十萬元以上一百萬元以下罰款。
北京市安理律師事務所高級合夥人、律師王新銳分析認為,出售快遞用戶個人資訊的“網友”及購買個人資訊的人員均違反《網路安全法》中關於個人資訊保護的規定,尚未構成犯罪的情況下,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。
而個人資訊被洩露的用戶有權要求收集其個人資訊的快遞公司刪除其個人資訊,若因個人資訊洩露受到損害的,可向法院提起訴訟請求損害賠償。
他指出,非法出售、非法獲取個人資訊情節嚴重的,構成“侵犯公民個人資訊罪”,將被處以三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
(責任編輯:張紫祎)