“内鬼”偷查快递单,泄露40万条公民信息,1元/条打包卖?圆通回应 11月17日,针对圆通内鬼致40万条个人信息泄露一事,圆通速递有限公司官方微博回应称,已报案,相关嫌疑人于9月落网,坚决配合打击非法售卖和使用快递用户信息的行为。
全文如下:
我们注意到,近日有媒体报道经公司报案、公安机关破获的非法获取并使用快递运单信息的案件。
今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。
公司随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。更多关于此案件的信息,以公安机关披露的为准。
信息安全无小事。圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。公司核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。
此次案件,再次敲响了信息安全风险的警钟。我们感谢社会和媒体的监督,并对此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。
同时,着力提升加盟网点的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为。欢迎广大客户积极反映情况,可发邮件至公司邮箱sec_response@yto.net.cn,或拨打热线电话021-69773588,举报涉嫌信息安全违法的线索,共同织牢信息安全的防护网。
相关报道:圆通“内鬼”有偿租借员工账号 40万条公民个人信息泄露
据新华社11月13日报道,近日邯郸警方通报,邯郸市永年区某物流公司委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。
据邯郸永年区公安局反诈中心中队长王求东梳理,嫌疑人马某杰雇佣张某行、高某桥以每日500元的费用租用某物流公司内部员工系统账号,团伙成员郭某、杜某龙通过登录租用赵某星等人的系统账号进入该物流系统,导出快递信息,团伙成员朱某钊把窃取的快递信息进行整理后交给同伙吕某硕。吕某硕又通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。
邯郸市公安局反诈中心联合邯郸市永年区公安局成立的专案组掌握大量证据和犯罪事实后,兵分三路,于9月7日将嫌疑人张某行、高某桥、马某杰抓获。警方称,该案涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额120余万元。
资料图,图文无关(来源:摄图网)
新京报称,记者从知情人士获悉,上述的“某物流公司”为圆通,涉案的“某物流公司内部员工”为五位圆通员工。上述工作人员分别处于邯郸地区的永年、鸡泽、武安以及邢台地区的隆尧、沙河,每个地区各有一位涉案人员,被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。
据知情人士透露,如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。据该人士透露,经过警方和检察院确认,被泄露信息中,存在某个维度以“*”来匿去的“不完全信息”,例如发件人为“张三”,但发件电话却为“*”。经过统计,六个维度完整的信息约为4万五千条。据马某杰供述,他将收集到的信息打包卖出,每条信息单价约为1元。
并非首次被曝有“内鬼”
官网信息显示,圆通创立于2000年5月28日,现已成为一家集快递物流、科技、航空、金融、商贸等为一体的供应链企业。2016年10月,圆通上市。截至2019年底,圆通全网拥有分公司4000多家,服务网点和终端门店7万多个,各类转运中心133个,员工40万余人,快递服务网络覆盖全国31个省、自治区和直辖市,县级以上城市已基本实现全覆盖。目前,圆通国际网络已覆盖4大洲、150多个国家和地区,拥有自建站点50多个,海外网络代理点突破1000家。
而这并不是圆通首次被曝有“内鬼”、发生个人信息泄露了。2013年11月,《法治周末》曾报道,圆通被曝泄露快递信息。
“快递单号每天上午11点左右开始陆续添加到网站里,到下午13点能更新8000至9000个,到17点大概有2至3万个单号更新。所以买家一般在下午16点左右来买单号是最好的,因为这个时候单号最全,几乎所有的收货城市都会有。”一名刷单店主头头是道地告诉记者。
这家小店,在淘宝众多利用快递信息刷单的店中并不出众,但却始终保持着一定的人气。究其秘诀,便是其赖以成名的镇店之宝“新鲜单号”。这些来自各家快递公司的快递单号,一经出炉便被部分淘宝店家买走。而其中,圆通的快递信息自然也是抢手货。
该店客服告诉记者,虽然同样是1元1条的快递信息,但自家店的单号刷新速度可谓“行业领先”,甚至已经超越了消费者收件的速度。
2013年12月,新民晚报报道称,“刷钻”网站“www.17s.cm”曾在首页上公开声明与圆通公司合作,长期出售快递面单信息。圆通公司向青浦警方报案后,警方成立专案组展开调查。经分析,“17s”所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收货地址等。
警方进一步调查发现,网站注册人陈某于2011年10月起伙同张某开办网站,设立了“快递单出售”功能模块出售公民个人信息,每条信息售价0.9元,每天出售约900条。这些信息都是在圆通公司工作的“内鬼”林某提供,张某以每月500元的价格大量购买。截至案发,已经出售公民个人信息20余万条。
|