山东临沂女生徐某因学费被骗离世,引发公众对个人信息安全的担忧。个人信息泄露源头众多,这其中来自快递公司“内鬼”的泄露也不容忽视。
26日,一名在湖南顺丰速递公司工作的员工在深圳南山区人民法院受审,被指控侵犯公民个人信息罪,将公司系统的账号密码出售他人,导致大量个人信息泄露。实际上根据公开披露的司法文书,类似顺丰“内鬼”出售个人信息的事件屡有发生。
网上公开出售快递面单
几角钱一条
面单即快递公司所掌握的客户收件人和寄件人信息,包括姓名、地址、电话以及购买的物品种类。通过QQ平台搜索面单群,即有多个群显示出售面单信息,除了顺丰公司亦有其他多家快递公司。一个名为快递面单选购的群就公告称,每单3.5元,50单起购,一次性购买300单,价格则为每单3元。
这些信息不少是被商家买来推销自有产品,一些商家就较为青睐那些有过购买相关产品的客户信息。相应的,在面单销售中,也有专门针对某一个行业的面单群,如一个群名就为顺丰保健品数据面单群,主要用来销售通过顺丰购买保健品的客户资料。还有的人则专门在网络上求购手机行业的相关面单信息。
在南山法院受审的一名被告人曾在供述中指出,购买过壮阳药、丰胸、减肥以及保健品的客户信息很多人想购买,而他也发现顺丰快递的单号有一些规律性,即客户购买的究竟是哪一种类的物品可以通过快递单号进行判断。他因而专门购买这些指定单号的信息,再进行售卖。
在百度上,搜索面单出售信息,同样也可以出现多条有关的消息,甚至还有人求购提取顺丰面单信息的工具。由于顺丰普通员工往往只能查询订单,并没有批量下载订单的权限,因而有一款在顺丰系统内提取、批量下载客户信息的工具,显然将大大提高作案的效率。
除此之外,早前披露的案件信息显示,网络上还有人公开销售顺丰公司系统的账号与密码。去年10月,湖北枝江市人民法院一审宣判的案件显示,2013年4月至8月16日,被告人杨某通过互联网购买顺丰快递公司内部网络系统登录地址、用户名及密码,并先后邀约杨某甲、杨某乙、刘某等人,在枝江市马家店街道办事处民主大道顺丰公司附近一出租屋内,通过连接顺丰快递枝江网点无线网络进入顺丰公司内部办公系统,从该公司服务器上下载大量记录有客户姓名、地址、联系方式等内容的快递信息,并将上述信息通过网络贩卖从中牟利。截至案发,杨某等人共非法获取公民个人信息180万余个,从中牟利5万余元。
谁在盗取?
有仓管员有研发工程师
那么这些公开销售的面单信息以及账号和密码究竟来源于何处?26日,在南山区人民法院受审的被告人宋仁宇,供职于湖南省长沙市顺丰速递有限公司。从检方指控来看,自2015年8月开始,宋仁宇一方面获取了同事所拥有的公司操作平台账号与密码,同时又将个人所拥有的登陆公司虚拟网络的权限以及相关账号密码提供给信息贩子,收取了3.8万元费用。庭审中,宋仁宇的行为究竟造成多少个人信息泄露则不明确。
今年7月南山区人民法院一审宣判的另一宗案件中,显示出一名顺丰员工伙同他人,于2014年下半年到2015年7月左右,半年时间通过批量下载软件盗取顺丰客户的个人信息10多万条。
该案件中,被告人陈洋于2008年9月入职顺丰公司,成为该公司东莞市石碣分部仓管员,主要负责快递件的入出仓及问题件的处理等。直到2014年间,陈洋结识了懂得编写计算机程序的杨维保,两人商量由杨维保编写一个批量下载的工具,来从顺丰公司系统内下载个人信息。
这一工具操作简单方便,由陈洋装载在手机之中,通过手机连接公司的电脑,再打开软件,随后进入公司的系统,即可以批量下载相关的客户信息。
由于杨维保发现顺丰的单号有一定的规律性,且市场上对保健品、减肥、丰胸等面单的信息需求旺盛,他开发的这一软件还可以批量下载指定的订单信息,针对性极强。除此之外,一旦软件出现问题,杨维保还可以立即予以修复,重新投入使用。
除了前述这些普通员工利用多种途径出售个人信息之外,具有较大便利的则是研发工程师。去年2月,福田区人民法院一审宣判的一宗案件中,显示顺丰公司的研发工程师利用工作之便大量出售个人信息。
法院审理认定的内容显示,2012年8月,被告人严某入职顺丰速运有限公司,任研发工程师。2013年10月份开始,被告人严某利用其任研发工程师的职务便利,从顺丰速运有限公司的数据库里导出客户信息资料(包括个人姓名、住址、联系电话)到互联网上其自己的网盘内,回到住处后将网盘内的客户信息资料数据下载保存到自己的电脑上,再进行出售。
严某出售的个人信息每条价格在0.2-0.5元之间,截至2014年6月,不足一年的时间,严某获利达到36万元人民币。依此推算,严某出售的个人信息达到百万条。
个人信息售出后
通常被用来营销或诈骗
这些个人信息被出售之后,一部分被用来实施诈骗。如前述顺丰东莞石碣分部仓管员陈洋一案案发,就是源于客户信息被盗取销售后用于诈骗。
顺丰公司安保经理在一份报案材料中指出,2015年3月份公司接到客户投诉,反映信息被泄露,收货方收到诈骗电话,冒充顺丰、寄方实施诈骗。
其中一个2015年3月14日由深圳发往湖北襄阳市的快递,3月23日收货方投诉称接到了诈骗电话,3月24日寄货方投诉认为顺丰客户资料被泄露。
该公司遂予以核查,发现公司内部有员工曾查询过该笔单号,该公司通过该员工的公号进行反查,发现这一账号在3月查询过2.8万条客户资料,这才予以报案,追查出公司内鬼使用多名同事账号下载客户信息。
2014年福建省安溪县人民法院作出的一审判决显示,被告人苏某某于2013年1月至8月间,在安溪县凤城镇江滨花园9号楼1605室租房内,以每条0.02元-0.03元的价格多次在网上向他人购买“顺丰快递”、“宅急送”等快递公司的快件单据扫描件,从而获得快递单上的公民姓名、住址及联系方式等信息。这些信息被其用于茶叶营销。
疑问
顺丰公司内部管理上有漏洞?
顺丰东莞员工陈洋一案中,除了陈洋本人的贪欲之外,实则反映出了顺丰管理上的一些漏洞。从该公司多名员工的证言上可以看出,顺丰内部的阿修罗系统只能在公司内网登陆,同时每两个月要更换一次密码。
一名员工还证实,2015年5月份之前他曾有权限查看运单图片,获得运单信息,但之后就没有该类权限。另一员工的证言显示,对于单张的运单图片,可以另存到电脑上进行打印,不能同时下载多张运单图片和其他信息。这均表明,顺丰公司在通过多种手段来预防客户个人信息的大面积泄露。
但前述作案的员工陈洋,有证人证实其权限低,无法查看所有运单信息。不过陈洋以个人账号很多图片看不清,要进行补录工单等为由,多次向公司财务以及相关部门主管索要账号进行登录,轻松逾越了公司的有关规定。同时,顺丰内部系统虽然设定了批量下载的限制,但是陈洋亦通过第三方软件轻松突破了这样的限制,实现了个人信息的批量下载,显示出内部系统上安全性仍有欠缺。
定性
非法获取公民信息是犯罪行为
刑法中明确规定侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
前述多宗案件中,窃取、销售面单信息的人员大多均被处以非法获取公民个人信息罪,判处有期徒刑,并处以罚金。除此之外,对于前述顺丰东莞员工陈洋利用其他软件入侵顺丰系统,批量下载客户个人信息的行为,南山区人民法院一审以非法获取计算机信息系统罪对陈洋予以定罪,判处其有期徒刑四年,处罚金8000元。
对于开发软件的杨维保,则被判处提供侵入、非法控制计算机信息系统的程序、工具罪,判处有期徒刑四年,处罚金人民币8000元。