1400万用户快递隐私裸奔,从业者:不奇怪
1400万用户信息被窃取和售卖,在从业人员看来竟然“不是新闻”。
“在快递行业,这种事情已经持续了好多年了,无法根治。”15日,李康神情淡然地对记者表示。李之前经营了一家区域性的快递公司,曾与独立快递公司和电商网站均有合作。在他看来,用户信息被泄露不足为怪。
快递公司拥有的用户信息包括收货和发货双方的姓名、地址、手机号码以及快递物品。李康表示,这些信息一般分两种形态存在,一种是保存在快递公司的服务器中,另一种就是面单(快递单)。
“无论哪一种方式,都容易被泄露。”李康说。
快递业数据乱象
电商的发展带来快递行业的突飞猛进,也使得快递公司成为继互联网巨头之后拥有用户个人真实信息数量最多的角色之一。目前,顺丰已经开始利用大数据布局O2O业务,即通过对某个区域的订单结构分析,针对性建店(嘿客)和上架商品。
大数据概念方兴未艾,用户的姓名、手机号码、地址等成为大数据的最基础组成部分。而随着电商、互联网金融的发展,企业在收集这些用户信息时更加快捷、全面,并对这些数据进行存储和分析,从而实现商业目的。但数据安全却常常成为部分企业忽视的一环。
李康表示,大数据是把双刃剑,用好了可以提高效率,被不法分子利用了,后果则不堪设想,而在目前国内的快递行业中,数据安全受到的重视并不足够。
据李康介绍,除了申通、中通、圆通、汇通、韵达(以下简称“四通一达”)和顺丰外,各区域还分散着数万家大大小小的快递公司,并且管理极不规范,而用户信息正是在这张漏洞百出的网络中“裸奔”。
李康曾经以100多万元买断快递公司某个区域的加盟权,负责该区域的快递公司发单和收单业务。配送订单时,快递公司的用户信息会明文同步至李康公司的电脑上,并且这部分数据可以长时间存储。另一方面,订单配送完返回的面单(显示用户信息)也集中在加盟公司中。他称,和电商网站的合作,也是类似的模式,电商的数据和快递公司共享。
李康表示,一些大型快递公司都有规定,面单要定时集中销毁,电脑中的数据也要定时清理,但在实际操作中,这些规定很难有约束力。比如说,这些数据就存在一台电脑的硬盘里,一个快递员就可以随时调取;面单处理更是一个问题,每年数万份纸质面单,存放也是一个问题,有的卖了废品,有的则直接卖给“客户”。
有的公司也会要求安装防火墙,甚至上线安全系统,但对于快递公司而言,这是很大的成本。由于目前行业平均利润率只有10%左右,各个快递公司也只是象征性地购买一些便宜的防火墙软件,至于互联网公司常用的加密技术,大部分快递公司更不会考虑。
互联网安全专家在接受21世纪经济报道采访时也表示,快递行业数据安全防护水平普遍较差,体现在网站漏洞多、修复不及时、运维人员安全意识薄弱(使用弱口令)等方面。
而造成这种问题的主要原因是,绝大多数快递公司没有专业安全运维团队,甚至没有对网站做基本的安全防护,有的快递公司网站干脆委托给外包公司运营。
这使得网站漏洞长期得不到修复,例如安全公司多次预警的Struts2代码执行等高危漏洞,仍有快递公司网站没有进行修复。,弱口令问题在快递行业也非常突出,在近日曝光的快递业数据泄露事件中,犯罪嫌疑人就是利用弱口令进入快递公司网站服务器的管理后台,从而窃取了用户数据库。
落后的安全技术配置,以及不规范的管理制度,使得快递行业成为近几年用户信息泄露的重灾区,线上极容易被黑客攻破。今年3月份,杭州一名大学生仅仅是在做网络安全测试时,即攻破了一家快递公司的网站。
李康表示,数据买家一般是一些网店店主,也有部分做零售的大企业,他们拿到这部分数据后主要用于营销。对于买家而言,两三角钱一份面单的价格可以接受,快递公司也顺便“废物”利用,增加收入。
“大数据”之忧
据统计,除了快递行业,国内医疗卫生、教育培训、旅游酒店、生活房产、人才招聘等行业的网络安全问题也尤其严重,这些行业网站存在漏洞和被植入后门的比例都相对较高,而且也是黑客重点攻击的目标。
由于上述行业的用户数据涉及大量个人隐私信息,例如健康状况、个人简历、联络信息、出行记录等,一旦被黑客攻击,数据泄露的危害完全不亚于快递数据泄露事件,而此前曝光的2000万条酒店开房记录已经敲响了警钟。就在不久前,某市医疗保健网站被白帽子发现高危漏洞,涉及150万孕产妇的信息在网上裸奔,此类数据都可能随时被黑客窃取。
一边是数据的不断集中,大数据应用逐步落地;一边则是越来越多的数据泄露案件。金融科技领域专家表示,主要还是从技术和管理制度两方面进行预防。
目前数据可以简单分为金融数据、隐私数据和商业数据,一般金融数据的安全问题比较受关注,比如银行和第三方支付公司,近两年都在技术和管理制度方面比较成熟;而隐私数据因为没有直接涉及到用户的资产安全,关注度较低;商业数据则多针对B端,行业内人比较关注。
对于隐私数据而言,目前国内还未有典型案例。用户通过各种账号登录互联网,有多个环节会留下痕迹。通过浏览器登录时,缓存如果没有及时清除,黑客很容易便可攻破而获取数据;然后数据传输时,如果不加密,信息同样会被拦截;一步存储,很多企业均是明文(不加密)存储,只要黑客攻破,很容易获取数据。另一方面,即使加密存储,黑客一旦获取权限人的信息,同样可以获取数据。
高龙飞称,目前国内的大部分企业依然是传统的安全管理办法,技术上通过防火墙、加密等技术预防,以金字塔结构设置权限,通过管理制度进行防范,并且在网络环境和物理环境上都对大数据业务进行隔离。
便捷性和安全性这对矛盾会一直持续下去。但在某些信息方面,的确已经有相关规定,禁止网站记录用户信息。举例来说,银联对于信用卡的网络支付有规定,网站禁止记录用户的信用卡密码、有效期和CVV码(信用卡验证码)。但这种禁止记录的做法是否能推广至整个行业很难说,比如在电商领域,禁止平台方记录用户的消费轨迹,必然会引起平台方的反弹