2月12日晚，Telegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機(jī)器人鏈接。網(wǎng)傳消息稱該機(jī)器人泄露了國(guó)內(nèi)45億條個(gè)人信息，疑似電商或快遞物流行業(yè)數(shù)據(jù)。泄露的信息包括真實(shí)姓名、電話與住址等，數(shù)據(jù)高達(dá)435GB。

隨著消息的發(fā)酵，“快遞股”在2月15日集體出現(xiàn)閃崩，韻達(dá)、順豐等均出現(xiàn)下跌，其中圓通速遞跌幅一度近7%。

圓通方面對(duì)此事回應(yīng)稱，“‘疑似45億條信息泄露’與公司無(wú)關(guān)，公司生產(chǎn)經(jīng)營(yíng)一切正常?！钡W(wǎng)友并不買(mǎi)賬，不少網(wǎng)友表示，“與公司無(wú)關(guān)難道與個(gè)人有關(guān)嗎？”“現(xiàn)在的網(wǎng)絡(luò)這么發(fā)達(dá)，哪里還有隱私”“快遞信息真的要加強(qiáng)管控了”。

快遞、電商行業(yè)成為當(dāng)前信息數(shù)據(jù)泄露“重災(zāi)區(qū)”

事實(shí)上，快遞、電商行業(yè)出現(xiàn)信息泄露事件不止這一次。據(jù)邯鄲警方消息，早在2020年7月，圓通速遞有限公司河北省區(qū)內(nèi)部員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致40萬(wàn)條個(gè)人信息泄露。隨后，“圓通員工租售賬號(hào)導(dǎo)致40萬(wàn)條個(gè)人信息泄露”等相關(guān)話題引發(fā)網(wǎng)民熱議。

近年來(lái)電商的發(fā)展致使快遞業(yè)務(wù)量不斷增長(zhǎng)，據(jù)國(guó)家郵政局?jǐn)?shù)據(jù)統(tǒng)計(jì)，早在去年底，全國(guó)日均快遞業(yè)務(wù)量就已超3億件。因而匯集了完整個(gè)人信息的快遞、電商行業(yè)也成為了信息數(shù)據(jù)泄露的“重災(zāi)區(qū)”。

據(jù)永安在線監(jiān)測(cè)的數(shù)據(jù)顯示，在2022年1月的數(shù)據(jù)泄露事件中，快遞物流行業(yè)占比最高，達(dá)52.3%。而在2022年“雙十一”“雙十二”電商大促期間，物流行業(yè)數(shù)據(jù)泄露事件數(shù)明顯增加。

數(shù)億件快遞產(chǎn)生和積累的大量寄遞數(shù)據(jù)信息，給個(gè)人信息保護(hù)帶來(lái)嚴(yán)峻挑戰(zhàn)。綠盟科技數(shù)據(jù)安全專家陳懷源表示，電商和快遞行業(yè)的業(yè)務(wù)經(jīng)營(yíng)涉及大量高價(jià)值的個(gè)人信息，包括：姓名、電話、地址等，因此是黑客及黑灰產(chǎn)團(tuán)伙的重點(diǎn)攻擊目標(biāo)。

內(nèi)部人員是電商、快遞行業(yè)信息泄露的重要源頭。北京數(shù)字認(rèn)證股份有限公司研究院院長(zhǎng)夏魯寧認(rèn)為，“不法分子可能通過(guò)利益誘惑，誘使內(nèi)部人員違規(guī)出賣(mài)個(gè)人數(shù)據(jù)。還有可能采用技術(shù)門(mén)檻更低的方式：按照‘計(jì)件’付費(fèi)方式，雇傭社會(huì)人員直接從丟棄的快遞外包裝上收集個(gè)人信息?！?/p>

“同時(shí)，電商和快遞行業(yè)需要對(duì)接大量第三方合作伙伴以及最終用戶，互聯(lián)網(wǎng)出口眾多，自身網(wǎng)絡(luò)安全環(huán)境、員工安全意識(shí)、安全技術(shù)手段等方面都存在很大漏洞與不足，容易遭受黑客攻擊、社工、內(nèi)部員工泄密，或者合作方信息泄露等威脅?！标悜言囱a(bǔ)充道。

外部網(wǎng)絡(luò)攻擊、內(nèi)部員工和數(shù)據(jù)流通都會(huì)造成信息泄露

數(shù)字經(jīng)濟(jì)時(shí)代，在網(wǎng)絡(luò)充分聯(lián)通、攻擊技術(shù)手段不斷更新的情況下，可利用的信息類型和數(shù)量日益增加，個(gè)人信息泄露成為一種普遍而又難以避免的風(fēng)險(xiǎn)。根據(jù)賽迪智庫(kù)數(shù)據(jù)，全球幾乎所有數(shù)據(jù)泄露事件都涉及個(gè)人信息。在其統(tǒng)計(jì)的全球71起數(shù)據(jù)泄露事件中 ，涉及個(gè)人信息的有68起，姓名、聯(lián)系方式等身份標(biāo)識(shí)信息被普遍泄露，累計(jì)超過(guò)48億人次的個(gè)人信息被泄露。

可見(jiàn)，在嚴(yán)峻的安全形式威脅下，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為當(dāng)下信息行業(yè)平穩(wěn)發(fā)展的“緊箍咒”，各行各業(yè)都在對(duì)個(gè)人信息安全保護(hù)加碼的同時(shí)，為何仍然會(huì)有如此大量的個(gè)人信息被泄露，具體是如何被泄露的呢？

信息泄露當(dāng)前有多種途徑，信息的存儲(chǔ)、流通過(guò)程中都存在泄露風(fēng)險(xiǎn)。知道創(chuàng)宇安全專家表示，當(dāng)前在快遞、電商行業(yè)個(gè)人信息泄露的方式主要有三方力量，外部網(wǎng)絡(luò)攻擊、內(nèi)部員工泄露和數(shù)據(jù)流通泄露等。

比如，在外部網(wǎng)絡(luò)攻擊上，可能出現(xiàn)API（應(yīng)用程序接口）遭遇爬蟲(chóng)攻擊，平臺(tái)被植入木馬，攻擊者利用漏洞進(jìn)行拖庫(kù)、撞庫(kù)等攻擊，企業(yè)數(shù)據(jù)庫(kù)被攻破等。內(nèi)部員工泄露則可能是公司“內(nèi)鬼”與外部犯罪分子串通，利用員工賬號(hào)、面單拍攝等方式盜取運(yùn)單信息進(jìn)行不法交易獲利。

“在數(shù)據(jù)流通過(guò)程中，企業(yè)在與合作方進(jìn)行數(shù)據(jù)往來(lái)時(shí)沒(méi)有采取數(shù)據(jù)加密等技術(shù)措施保障安全，或未對(duì)合作方的數(shù)據(jù)使用行為進(jìn)行必要管控、監(jiān)督等具體措施的構(gòu)建也會(huì)導(dǎo)致信息泄露?！敝绖?chuàng)宇安全專家說(shuō)道。

對(duì)個(gè)人而言，信息的泄露背后蘊(yùn)藏著與個(gè)人生活息息相關(guān)的風(fēng)險(xiǎn)?！皩?duì)于單條個(gè)人信息，電信詐騙、非法廣告推銷等不法分子，會(huì)用來(lái)大面積行騙。雖然得逞比例不高，但基數(shù)巨大，也使得上當(dāng)受騙的人數(shù)量眾多。”夏魯寧說(shuō)道。

一定規(guī)模、數(shù)量的個(gè)人信息被泄露后，個(gè)人信息被收集利用也會(huì)產(chǎn)生龐大的“黑市”。知道創(chuàng)宇安全專家認(rèn)為，“不法分子可以利用個(gè)人信息實(shí)施違法活動(dòng)。將所獲個(gè)人信息自身或出售給個(gè)人或公司，應(yīng)用于不法渠道以牟取高額利潤(rùn)，比如房產(chǎn)租售、小貸金融、教育培訓(xùn)、電話營(yíng)銷、培養(yǎng)網(wǎng)絡(luò)水軍等?！?/p>

“黑灰產(chǎn)”高一尺，防線要再高一丈

面對(duì)日趨復(fù)雜的數(shù)據(jù)安全形勢(shì)，我國(guó)相繼落地實(shí)施了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》“三駕馬車(chē)”，構(gòu)成我國(guó)數(shù)據(jù)安全領(lǐng)域完整的基礎(chǔ)性法律體系。對(duì)存儲(chǔ)用戶個(gè)人信息的企業(yè)而言，將數(shù)據(jù)安全管控和業(yè)務(wù)流程結(jié)合，保障數(shù)據(jù)在各種使用場(chǎng)景下的合規(guī)使用和流轉(zhuǎn)日益重要。

在當(dāng)前網(wǎng)絡(luò)充分聯(lián)通、攻擊技術(shù)手段不斷更新的情況下，“黑灰產(chǎn)”高一尺，防線要再高一丈。知道創(chuàng)宇安全專家認(rèn)為，作為信息泄露的“重災(zāi)區(qū)”，快遞、電商企業(yè)應(yīng)從技術(shù)和人的層面，持續(xù)完善用戶個(gè)人信息安全保障措施。

比如，在防止網(wǎng)絡(luò)攻擊方面，知道創(chuàng)宇安全專家建議，“可以不斷升級(jí)技術(shù)手段，在爬蟲(chóng)攻擊、植入木馬、漏洞攻擊等方面加強(qiáng)防護(hù)。同時(shí)，加快全面推廣‘隱私面單’、虛擬號(hào)碼等技術(shù)，最大程度保護(hù)個(gè)人信息?！?/p>

而“內(nèi)部員工泄密”事件也給了相關(guān)企業(yè)一定警醒，在防止內(nèi)部人員泄露方面持續(xù)加強(qiáng)管控。正如知道創(chuàng)宇安全專家提到的，“要加強(qiáng)對(duì)從業(yè)人員的教育培訓(xùn)，強(qiáng)化保護(hù)用戶信息意識(shí)，提升從業(yè)人員保護(hù)用戶信息的能力，規(guī)范人員嚴(yán)格按照標(biāo)準(zhǔn)流程開(kāi)展作業(yè)。”

此外，當(dāng)信息被買(mǎi)賣(mài)利用后，用戶的個(gè)人生活也將受到影響，甚至帶來(lái)人身、經(jīng)濟(jì)、精神方面的威脅和損失。陳懷源認(rèn)為，除了相關(guān)企業(yè)要保障信息安全之外，用戶個(gè)人也要加強(qiáng)個(gè)人信息保護(hù)意識(shí)，不輕易泄露個(gè)人信息。如釣魚(yú)網(wǎng)站、網(wǎng)調(diào)、抽獎(jiǎng)、朋友圈發(fā)布、舊手機(jī)的數(shù)據(jù)清除等。同時(shí)，在遭受個(gè)人信息泄露時(shí)，及時(shí)向泄密單位提起訴訟，要求賠償。

45億個(gè)人信息泄露,電商物流