4月23日,有媒体爆出网上可买到美团外卖的客户资料,包含电话姓名、订餐地址在内的隐私资料,每条价格不到1毛钱。根据记者调查,报价最低的甚至可以到1万条个人隐私仅需800元。
在记者购买这些隐私的过程中,“商家”不但没问其购买用途,还向其炫耀自己资料的真实性、可靠性,“数据是由美团系统内部人员提取的,每天更新4万条左右,每天中午更新一次,晚上就能卖完”。
这些数据是怎么来的,是用户无意间泄露的,还是美团公司有内鬼?内鬼的权限有多高,我们在美团订餐还安全吗?我们应该怎么保护自己的隐私?
针对这些网友关心的问题,黑奇士展开了调查。
90后“内鬼”做到美团销售主管 去年底已被判刑
黑奇士在中国裁判文书网上进行搜索,发现今年3月份刚刚公布的判例:
广东省阳江市江城区人民检察院于2017年11月,对被告人方某、蓝某提起起诉。方某出生于1992年,在犯案前任职于互诚信息技术公司,职位为阳江地区销售主管。互诚信息是原美团网和大众点评合并之后注册的法律实体,可以被认为是法律意义上的“美团网”。
(江城区人民法院)
起诉书指控,被告人方某为了个人目的,想获取阳江及广州地区的美团大众点评网(下文简称美团)商户信息,于是利用自己是销售主管的工作之便,将自己的登陆账号和密码交给蓝某,指使蓝某窃取美团公司的商户信息。
被告人蓝某通过方某的美团账号密码,登陆公司内网盘古、apollo系统,利用自己编写的程序大量获取系统中的商户个人信息,窃取包括姓名、联系方式、地址在内的敏感信息。
窃取行为自7月27日开始至8月2日,持续约7天,两被告获取大量商户机密资料。由于案发时间较短,两人还未来得及出售或转移,即被民警控制。
12月1日,法院宣判,因为侵犯公民个人信息罪,方某被判6个月有期徒刑,缓刑一年;蓝某被判7个月有期徒刑,缓刑一年。
让我觉得诡异的是,自该判决书3月22日公开,到现在整整一个月,向来嗅觉灵敏的媒体居然没有爆出任何消息。(原因如何,我不敢瞎说)
专家解析报道:美团资料外泄有两种主要途径
就新京报的深度报道,黑奇士采访了个人隐私方面的安全专家李先生,李先生表示:从目前黑产行业流传的个人信息来源看,主要来自“内鬼违规泄露”和“黑客技术获取”两条路径。
首先是内鬼泄露,以新京报的报道为例,要想达到“每天更新4万条、每天中午更新”这种量级和频率,只有掌握美团系统较高权限的内部员工(高级内鬼),才能做到这种效果。如果是黑客攻击,即使是严重漏洞,也仅仅可能一次获取大量数据,不可能做到定期更新。(因为不可能每天黑客都去攻击一次,这样太容易被发现了)
至于报道里提到的“外卖骑士出售”,李先生认为这种情况有,但可能性不大,也就是偶发现象。因为不单是美团,所有的外卖、快递行业都是固定分片配送,一个外卖骑士最多能接触到上千个外卖客户的信息,这些用户信息即使都卖出去,也卖不了多少钱。(几百元对于月收入七八千的骑士工资,并不具备吸引力,而且很容易被公司查获)但也不排除有某些利欲熏心的骑士,连这点钱都要赚。
其次是黑客利用技术手段获取。在过去几年中,美团曾经多次爆出过网站漏洞,如果这些漏洞被黑客利用,则可能带来大量用户资料外泄。
除了内鬼和黑客之外,有一些规则上的疏忽也可能带来隐患。
例如新京报报道中提到的“代运营公司用爬虫收集商户信息”,报道中的覃某表示,自己可以获得的信息包括“姓名、性别、电话、地址,订餐次数都有,但具体能有多少条我要查一下才知道”,报价5毛一条。
安全专家李先生表示,目前不少美团商户使用了代运营公司,但代运营公司对其代运营数据的获取是无限制的,你把店铺交给人家运营,那你所有的订单信息、用户资料都是透明的,如果像报道中提到的用爬虫类软件批量获取,那暗藏的风险就会更大,不仅是报道里提到的用于营销目的,实际上还可以用于更恶劣的用途。
个人隐私泄露之后:诈骗多发,数据外泄是黑产“原油”
新京报的报道中,对于购买数据的过程描述的很详细,对于数据泄露之后的后果描述甚少。黑奇士就这个问题请教了专家,专家表示,类似美团外泄这样的数据,是黑产界的“原油”,通过这些数据,可以衍生出很多安全问题。
比如最简单的是,是广告电话骚扰,你买了纸尿裤,一堆卖婴儿用品的商家烦你;买了机油,就有一大堆汽车后服务、卖二手车的商家烦你,其令人厌烦程度,无需我多说。
更为进一步的是,针对成年人的性用品传销、针对老年人的保健品骗局,其骗局开端,都是各个电商网站外泄的用户购物行为数据。
2016年9月徐玉玉案之后,人民网曾经报道,股民老张只要一从事股票交易,几分钟内就有诈骗电话打进来,骗子了解他交易的股票类型和数量,明显是有备而来。
类似这样的案例被媒体报道多起,只要大型电商公司的数据外泄,总会有各种诈骗案件出现。
专家支招,如何防止数据外泄
黑奇士采访的安全专家表示,像美团这样的大型公司,应该把保护用户隐私放在首位,用户的数据放在你的网站上,其实是用户赋予的莫大信任。
但严酷的现实是,包括美团在内的很多网站无论是硬件安全措施,还是软件规则,都存在种种不足之处,在这种情况底下,专家建议:
1、尽量不要赋予类似的电商网站过多权限,不要透露太多个人信息。例如,点外卖的时候,完全可以用“王先生、李先生”这样的化名下单,这样既不影响外卖的正常收取,也不会透露太多个人信息。
2、如果遇到可疑的安全事件,一定要第一时间报警,不要姑息。黑奇士在中国裁判文书网上发现,有人在网上购买1条外卖地址、900多条用户信息,就被法院判处7个月徒刑。
3、对于美团这样的公司来讲,一定要对隐私泄露提起足够重视,不要试图掩盖和敷衍,一定要追查到底。