圆通多位“内鬼”有偿租借员工账号 40万条个人信息泄露
2020-11-17 15:37:32 来源: 新京报
分享:

 

在近期的一起部督案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。据知情人士透露,此次被泄露的信息数量实际超过40万条。针对此事,圆通方面回应称,已报案,相关嫌疑人于9月落网,坚决配合打击非法售卖和使用快递用户信息的行为。

 

 

圆通多位“内鬼”有偿租借员工账号,40万条公民个人信息被泄露

 

圆通快递多位“内鬼”在一条贩卖公民个人信息的黑色产业链条上浮现。

记者独家获悉,在由邯郸市公安局反诈中心联合邯郸市永年区公安局成立的专案组近期侦办的一起部督案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。

东窗事发,始于今年8月。据邯郸警方消息,邯郸市永年区某物流公司委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。

据邯郸永年区公安局反诈中心中队长王求东梳理,嫌疑人马某杰雇佣张某行、高某桥以每日500元的费用租用某物流公司内部员工系统账号,团伙成员郭某、杜某龙通过登录租用赵某星等人的系统账号进入该物流系统,导出快递信息,团伙成员朱某钊把窃取的快递信息进行整理后交给同伙吕某硕。吕某硕又通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。

邯郸市公安局反诈中心联合邯郸市永年区公安局成立的专案组掌握大量证据和犯罪事实后,兵分三路,于9月7日将嫌疑人张某行、高某桥、马某杰抓获。警方称,该案涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额120余万元。

记者从知情人士获悉,上述的“某物流公司”为圆通,涉案的“某物流公司内部员工”为五位圆通员工。上述工作人员分别处于邯郸地区的永年、鸡泽、武安以及邢台地区的隆尧、沙河,每个地区各有一位涉案人员,被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。

据知情人士透露,如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。据该人士透露,经过警方和检察院确认,被泄露信息中,存在某个维度以“*”来匿去的“不完全信息”,例如发件人为“张三”,但发件电话却为“*”。经过统计,六个维度完整的信息约为4万五千条。据马某杰供述,他将收集到的信息打包卖出,每条信息单价约为1元。

官网介绍,圆通创立于2000年5月28日,现已成为一家集快递物流、科技、航空、金融、商贸等为一体的供应链企业。2016年10月,圆通上市。截至2019年底,圆通全网拥有分公司4000多家,服务网点和终端门店7万多个,各类转运中心133个,员工40万余人,快递服务网络覆盖全国31个省、自治区和直辖市,县级以上城市已基本实现全覆盖。目前,圆通国际网络已覆盖4大洲、150多个国家和地区,拥有自建站点50多个,海外网络代理点突破1000家。

这并非圆通首次出现内鬼。据媒体2013年12月报道,“刷钻”网站“www.17s.cm”曾在首页上公开声明与圆通公司合作,长期出售快递面单信息。圆通公司向青浦警方报案后,警方成立专案组展开调查。经分析,“17s”所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收货地址等。

警方进一步调查发现,网站注册人陈某于2011年10月起伙同张某开办网站,设立了“快递单出售”功能模块出售公民个人信息,每条信息售价0.9元,每天出售约900条。这些信息都是在圆通公司工作的“内鬼”林某提供,张某以每月500元的价格大量购买。截至案发,已经出售公民个人信息20余万条。

 

作者 李大伟

 

 

 

 

圆通回应泄露公民信息:相关嫌疑人于9月落网,欢迎客户后续举报

 

 

 

11月17日,针对圆通多位“内鬼”有偿租借员工账号,泄露公民信息一事,圆通方面回应称,已报案,相关嫌疑人于9月落网,坚决配合打击非法售卖和使用快递用户信息的行为。

圆通方面称,今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。

调查发现,疑似有网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。更多关于此案件的信息,以公安机关披露的为准。

圆通还称、信息安全无小事。圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。公司核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。

“此次案件,再次敲响了信息安全风险的警钟。公司感谢社会和媒体的监督,并对此案件暴露的问题深表歉意”。圆通方面表示,公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。

同时,着力提升加盟公司的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为,共同织牢信息安全防护网。欢迎客户发邮件或拨打热线电话举报涉嫌信息安全违法的线索。

作者 程子姣

 

 

 

01
信息泄露为何屡禁不止,圆通不能只靠举报

当你苦于广告骚扰电话响个不停却找不到原因时,不被注意的快递可能正在成为个人信息泄露的新渠道。

记者独家获悉,近日在邯郸市警方的一起部督案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。对此,圆通方面回应称,已报案,相关嫌疑人于9月落网,坚决配合打击非法售卖和使用快递用户信息的行为。未来欢迎客户发邮件或拨打热线电话举报涉嫌信息安全违法的线索。

个人信息安全问题其实已经算是“老生常谈”。在移动互联网时代,当日常生活的时时处处都需要“刷脸”、留手机号验证码、注册个人信息时,个人信息泄露几乎已经成为了大家不得不接受的生活日常,尽管深恶痛绝,但却几乎没有什么办法应对,甚至要核实信息泄露的源头,也是一件相当困难的事情。在这种情况下,圆通所提出的依靠用户主动举报,显然是个人信息防控的“下下之策”。

要知道的是,在用户选择快递下单的那一刻,契约关系也即时形成。而保护用户个人信息安全可以说是圆通公司本应遵守的基本底线和分内之责。尽管圆通方面表示,公司核心业务系统均通过了信息安全等级保护三级测评,从技术层面和管理层面着力保障信息系统的安全性。但需要看到的是,技术层面的“防火墙”只是用户信息保护的第一道关口,更为重要的防线其实还是在企业管理内部控制层面。如果企业制度上不能对员工泄露用户信息形成有效的约束,那么即使再多的保护测评,也挡不住想要从中牟利的“内鬼”。

近期,备受关注的个人信息保护法草案首次提请人大常委会审议,这意味着,个人信息保护法离最终出台又迈进了一步。这也是在继《网络安全法》之后,进一步规定了企业经营者在促进经济社会信息化健康发展、维护人民群众基本权利方面的管理责任和义务。不仅如此,在此之前,《民法典》设立专章规范隐私权和个人信息保护,《刑法修正案》增加“侵犯公民个人信息罪”等罪名,《消费者权益保护法》明确“商品和服务提供者”对消费者个人信息的保护义务。

也就是说,即使当前《个人信息保护法》还未曾出台,但对于个人信息保护已经是在法律中早已经明确的商业行为应有之底线。

在监管的大网已经开始不断完善的当下,企业的自律不可或缺。近年来,时有快递单信息泄露发生,但作为快递行业的领军龙头企业,圆通本应该在这一领域成为示范和榜样。对于内鬼,依靠警方“严惩不贷”自然是法理情理之中,但如果企业在内部风险把控时能够防患于未然,让“内鬼”在进行违法犯罪行为之前就能够意识到其中的违法违规成本,从而杜绝行为的发生,才是企业更需要努力的方向。

个人信息安全保护,在数字时代已经成为了市场中各个主体所面对的共同课题。但作为安全守卫的第一条防线,在交易行为中的“商品和服务提供者”其实承担的是第一顺位的责任。尽管在企业实际运营过程中,用户个人信息难免需要在多个部门流转,比如需要调动客服、运营以及IT等多个部门配合,但也正因此,建立制度化的合规保护机制体系,既确保数据自由流动以满足商业需求,又能履行企业保障公民合法权利的法律义务,从而彻底杜绝“内鬼”的生存空间,才是企业保护个人信息安全的最核心任务所在。

作者 沸雪

 

责任编辑:崔哲源
主编推荐
More+
LVR物流风采
More+