顺丰泄露客户信息三亿数据被泄露，你身边有没有遇到过暗网销售？

点击联系发帖人 时间：2018-09-02 16:29

顺丰泄露客户信息

不过，客户信息外泄并估价待售的，并非只有华住酒店集团。

日前，有知情人士告诉《经鉴》，就在华住集团发生数据泄露事件的同时，作为快递行业的巨头，顺丰也有超过3亿条数据疑似流出。《经鉴》在“暗网交易市场”网站发现，一个ID为“bijiaodiao1688”的暗网用户在“暗网”售卖顺丰快递数据，其称掌握了顺丰快递客户数据总量高达3亿条，售价两个比特币。

登录信息显示，这位“bijiaodiao1688”的暗网用户，注册于2018年7月11日。“顺丰3亿条快递物流独家数据”帖文发布于2018年7月18日，交易采用比特币进行交易。信息记录显示，发布者最后在线时间为8月24日17时23分。

据发布者披露，这里的3亿条数据包括顺丰快递物流中，寄件人、收件人的姓名、地址、电话等个人信息，交易可以选择先“验货”，验货数据量10万条，验货费用0.01个比特币。

根据“暗网交易市场”的行情，0.01个比特币大约为66.66美元。目前，验货交易仍在进行。显示在总计100个出售总量中，已经成交了9次。

此外，据发布者披露，每一次验货交易的数据都是从3亿条数据中随机抽取。这也意味着，最多有90万条的疑似顺丰快递用户个人信息流向了市场。

《经鉴》从一位要求匿名的人士处获得了这次交易的10万条验货信息。在这10万条信息中，确实包含了姓名、地址、电话，也即快递必须的三样基础信息，但总量只有65000多条。

在这6万余条信息中，《经鉴》随机抽取条信息进行核验，在27个抽样样本中，所有地址都是真实存在的，且所有电话号码也均存在。

通过在线地图查询，上述27个样本显示的地址，也都在现实中存在。换句话说，没有明显证据表明，这些个人信息是不真实的。

通过数据分析，《经鉴》对省级地址进行了归类。分析发现，湖北省出现的次数最多，次数达到50011次；广东省次之，出现的次数达到8117次；江苏省以7446次排名第三。

这些数据是如何泄露的？为何在样本数据中，湖北省成了信息泄露的重灾区？《经鉴》注意到，2018年5月，湖北荆州市法院公布了一起顺丰数据泄露案件，涉及顺丰快递代理商及多名员工。

报道称：2017年4月，湖北省荆州市警方成功截断一个非法获取、贩卖及使用公民个人讯息的犯罪链。涉案人员分布在河北、湖北、内蒙古等地，有快递员、仓管员、安保经理、仓储代理商等。其犯罪过程是：首先由快递公司的仓管在内部客户讯息系统中查询客户快递讯息，每月提供4000多条，可赚8000多元人民币。然后，快递公司员工将讯息出卖，被用来推销伪劣保健品或假冒收藏品等。

此案中，涉嫌被泄漏公民到个人信息达千万余条，涉及金额高达200余万元。

这确实令人担忧，从千万余条的个人信息泄露，到暗网流传的疑似顺丰3亿条数据交易，顺丰快递的数据安全隐患到底有多大？

事实上，这并不是顺丰快递爆出的唯一一次信息泄露事件。远至2013年，顺丰在深圳福田总部，研发工程师严某利用职务之便，从顺丰公司数据库中直接导出客户个人信息，进行出售。从快递员到仓库管理员、仓储代理商，研发人员，顺丰信息泄露来源涉及到顺丰的不同系统模块。

就前述在“3亿条顺丰快递物流独家数据”发布10多天后，7月31日，这位id为“bijiaodiao1688”的暗网用户，再度发布出售顺丰数据的帖子。文中称：这些数据为顺丰2017年的数据，且是独家数据。

据报价，上述2000万条数据售价为0.5比特币（约合3500美元），购买者可支付0.1比特币（约704美元）验货。截至8月29日，该暗网用户已经完成3笔验货成交。按数据量级推算，最多有1200万条疑似顺丰数据流入市场。

那么，暗网标价出售的“3亿顺丰数据”是否来自顺丰？顺丰公司相关负责人在接受《经鉴》采访时表示，早在7月份，顺丰公司就已经关注到暗网用户发布的相关信息，并获识了相关数据。

顺丰上述负责人表示：经过他们核实，这些并不是顺丰的数据。

不过，虽然该负责人否认了这些外泄数据来自顺丰公司，但其并未说明到底来自哪里。按照顺丰上述负责人的说法，顺丰在获知上述数据的当月，即向深圳警方报案。但截至发稿，顺丰方面未能提供相关案件的最新进展。

8月30日下午，《经鉴》随机联系了近百个联系人，大部分人因各种原因未能受访，在愿意接受采访的16个人中，有15人承认是顺丰客户，地址电话姓名也基本吻合。

值得一提的是，2018年8月7日，顺丰发布公告称，全资子公司将参与大数据合资公司的设立，公告显示，大数据公司名称为广东数程科技有限公司，法定代表人为顺丰创始人王卫，注册资本为1亿人民币，主营互联网数据服务在内的相关业务。不难看出，通过“数据”挖掘金矿，仍然是顺丰快递的生意经。

只不过，若此次数据泄露属实，或对顺丰的数据商业化过程蒙上阴影。

顺丰公司已报警。刚刚，顺丰集团通过官方微博回应称，公司已第一时间报警，经技术手段交叉验证，暗网所售数据非顺丰数据。其次暗网所售数据均不涉及快件单号、托寄物、收发件时间等物流特征信息，其来源不明，冠以顺丰名义目的可疑。

本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。

}

一碗面要80元，出租车漫天要价，安检排队太长差点误机…你在机场是否遇到过这样的问题？“首届金跑道奖·国内机场口碑评选”正在进行！【】为机场打分，你说了算！

　　新浪财经讯 9月1日消息，今天上午，顺丰集团微博对3亿用户隐私信息泄露做出回应，称暗网所售数据非顺丰数据。

　　公司已第一时间报警，经技术手段交叉验证，暗网所售数据非顺丰数据。其次暗网所售数据均不涉及快件单号、托寄物、收发件时间等物流特征信息，其来源不明，冠以顺丰名义目的可疑。由于暗网匿名性很强，已成为网络黑市和犯罪收益的温床，存在极大隐患和风险，大家务必注意防范鉴别。

}

　　在个人信息泄露事件当中，很多时候我们只强调了事后的追惩，而忽视了事前的监督，特别是企业责任这个源头性的关键环节。

　　继华住集团5亿条公民个人信息被泄露后，顺丰3亿条快递物流数据又被人卖到了暗网上。尽管顺丰回应，暗网所售非顺丰数据。不过，有机构实测发现，网上兜售的数据真实性较高。在随机拨打的20条信息中，有17人姓名、电话、地址与文件内容一致，且也曾用过顺丰收发快递。目前，涉事的两家企业，均已选择报警。是何原因导致信息泄露，有待公安机关侦破案件后才能清楚。

　　事情至此，不少学者建议进一步加强个人信息权立法工作。的确，个人信息权作为基本人权，理应得到法律的足够重视。然而，我国现行有关个人信息保护的法律法规并不少。有数据表明，涉及个人信息的法律有52部，行政法规42部，司法解释50部，部门规章870部，团体规定43部，行业规定171部。

　　那么，为什么还会接二连三地出现信息泄露事件呢？一个重要的原因是，很多时候我们只强调了事后的追惩，把所有问题都寄希望于国家解决，或者末端治理，而忽视了事前监督，特别是企业责任这个源头性的关键环节。

　　有多位网络安全行业人士向媒体透露，华住集团信息泄露可能因为有“内鬼”主动泄露相关信息。事实上，翻看华住的记录，泄露客户信息不止一次了。2013年，汉庭酒店（华住前身）客户开房记录因被第三方存储和系统漏洞而泄露。巧合的是，在今年5月湖北荆州中院的一起侵犯公民个人信息判决中，11名顺丰员工监守自盗，被判处侵犯公民个人信息罪，分别被处以有期徒刑10个月至3年不等，涉案人员有快递员、仓管员、市场专员、安保部副经理、片区负责人等。

　　强调企业责任，并不是局限于上述的前车之鉴，而是有确实的现实依据。

　　一方面，企业越大，对用户数据保护的责任就越大。在个人与企业的“结构性不平等”中，企业不能以简单的个人信息协议作为用户信息保护合法合规的基础，而是应当认识到随着自己经营能力的扩张，自己的法律责任或是社会责任都将随之出现扩张，必须采取有效的技术措施和其他必要手段，确保企业收集的个人信息安全，防止信息泄露、损毁、丢失。

　　另一方面，企业也具有用户信息保护的有利条件。作为用户信息最直接的收集者，企业拥有设备、技术、人员和资金的优势，对信息的存储、处理、流通、筛选等流程，以及内部安全机制的优势、缺陷等都最为熟稔，这让企业具备了对用户信息保护的可行性。特别是在用户信息遭受紧急状况时，迅速进行修复、维护或保全，降低风险发生的能力。

　　徒法不足自行。直白来说，很多事情单纯依靠法治是无法解决的。大数据时代，个体面对企业，尤其是市场占有率较高的机构平台时，基本上没有信息拒绝的空间。相应地，只有通过登记注册各类信息才能享受服务，更不要说信息保护、信息自决等讨价还价的余地了。在这种情况下，强调企业在个人信息保护中的关键责任，就是从源头倒逼企业给安全设防，给用户的个人信息数据装上“安全锁”。（蔡斐西南政法大学副教授）

}

久游无息网