浙江又出一个“吉利系”IPO,估值60亿
浙江又出一个“吉利系”IPO,估值60亿
苏州,将迎一个半导体检测IPO
苏州,将迎一个半导体检测IPO
特斯拉再降1万!Model Y迎全球最低价,新款蠢蠢欲动
特斯拉再降1万!Model Y迎全球最低价,新款蠢蠢欲动
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
立即打开APP
丁小球
私信
34

美团销售主管窃取商户信息获刑,比“用户隐私被卖”更甚

2018-04-24
包括美团在内的很多网站无论是硬件安全措施,还是软件规则,都存在种种不足之处

猎云注:从目前黑产行业流传的个人信息来源看,主要来自“内鬼违规泄露”和“黑客技术获取”两条路径。除了内鬼和黑客之外,有一些规则上的疏忽也可能带来隐患。文章来源:黑奇士(ID:hqssima)作者:simaziyu

4月23日,有媒体爆出网上可买到美团外卖的客户资料,包含电话姓名、订餐地址在内的隐私资料,每条价格不到1毛钱。根据编辑调查,报价最低的甚至可以到1万条个人隐私仅需800元。

在编辑购买这些隐私的过程中,“商家”不但没问其购买用途,还向其炫耀自己资料的真实性、可靠性,“数据是由美团系统内部人员提取的,每天更新4万条左右,每天中午更新一次,晚上就能卖完”。

这些数据是怎么来的,是用户无意间泄露的,还是美团公司有内鬼?内鬼的权限有多高,我们在美团订餐还安全吗?我们应该怎么保护自己的隐私?

针对这些网友关心的问题,黑奇士展开了调查。

90后“内鬼”做到美团销售主管 去年底已被判刑

黑奇士在中国裁判文书网上进行搜索,发现今年3月份刚刚公布的判例:

广东省阳江市江城区人民检察院于2017年11月,对被告人方某、蓝某提起起诉。方某出生于1992年,在犯案前任职于互诚信息技术公司,职位为阳江地区销售主管。互诚信息是原美团网和大众点评合并之后注册的法律实体,可以被认为是法律意义上的“美团网”。

1

(江城区人民法院)

起诉书指控,被告人方某为了个人目的,想获取阳江及广州地区的美团大众点评网(下文简称美团)商户信息,于是利用自己是销售主管的工作之便,将自己的登陆账号和密码交给蓝某,指使蓝某窃取美团公司的商户信息。

被告人蓝某通过方某的美团账号密码,登陆公司内网盘古、apollo系统,利用自己编写的程序大量获取系统中的商户个人信息,窃取包括姓名、联系方式、地址在内的敏感信息。

窃取行为自7月27日开始至8月2日,持续约7天,两被告获取大量商户机密资料。由于案发时间较短,两人还未来得及出售或转移,即被民警控制。

12月1日,法院宣判,因为侵犯公民个人信息罪,方某被判6个月有期徒刑,缓刑一年;蓝某被判7个月有期徒刑,缓刑一年。

让我觉得诡异的是,自该判决书3月22日公开,到现在整整一个月,向来嗅觉灵敏的媒体居然没有爆出任何消息。(原因如何,我不敢瞎说)

专家解析报道:美团资料外泄有两种主要途径

就新京报的深度报道,黑奇士采访了个人隐私方面的安全专家李先生,李先生表示:从目前黑产行业流传的个人信息来源看,主要来自“内鬼违规泄露”和“黑客技术获取”两条路径。

首先是内鬼泄露,以新京报的报道为例,要想达到“每天更新4万条、每天中午更新”这种量级和频率,只有掌握美团系统较高权限的内部员工(高级内鬼),才能做到这种效果。如果是黑客攻击,即使是严重漏洞,也仅仅可能一次获取大量数据,不可能做到定期更新。(因为不可能每天黑客都去攻击一次,这样太容易被发现了)

至于报道里提到的“外卖骑士出售”,李先生认为这种情况有,但可能性不大,也就是偶发现象。因为不单是美团,所有的外卖、快递行业都是固定分片配送,一个外卖骑士最多能接触到上千个外卖客户的信息,这些用户信息即使都卖出去,也卖不了多少钱。(几百元对于月收入七八千的骑士工资,并不具备吸引力,而且很容易被公司查获)但也不排除有某些利欲熏心的骑士,连这点钱都要赚。

其次是黑客利用技术手段获取。在过去几年中,美团曾经多次爆出过网站漏洞,如果这些漏洞被黑客利用,则可能带来大量用户资料外泄。

除了内鬼和黑客之外,有一些规则上的疏忽也可能带来隐患。

例如新京报报道中提到的“代运营公司用爬虫收集商户信息”,报道中的覃某表示,自己可以获得的信息包括“姓名、性别、电话、地址,订餐次数都有,但具体能有多少条我要查一下才知道”,报价5毛一条。

安全专家李先生表示,目前不少美团商户使用了代运营公司,但代运营公司对其代运营数据的获取是无限制的,你把店铺交给人家运营,那你所有的订单信息、用户资料都是透明的,如果像报道中提到的用爬虫类软件批量获取,那暗藏的风险就会更大,不仅是报道里提到的用于营销目的,实际上还可以用于更恶劣的用途。

个人隐私泄露之后:诈骗多发,数据外泄是黑产“原油”

新京报的报道中,对于购买数据的过程描述的很详细,对于数据泄露之后的后果描述甚少。黑奇士就这个问题请教了专家,专家表示,类似美团外泄这样的数据,是黑产界的“原油”,通过这些数据,可以衍生出很多安全问题。

比如最简单的是,是广告电话骚扰,你买了纸尿裤,一堆卖婴儿用品的商家烦你;买了机油,就有一大堆汽车后服务、卖二手车的商家烦你,其令人厌烦程度,无需我多说。

更为进一步的是,针对成年人的性用品传销、针对老年人的保健品骗局,其骗局开端,都是各个电商网站外泄的用户购物行为数据。

2016年9月徐玉玉案之后,人民网曾经报道,股民老张只要一从事股票交易,几分钟内就有诈骗电话打进来,骗子了解他交易的股票类型和数量,明显是有备而来。

类似这样的案例被媒体报道多起,只要大型电商公司的数据外泄,总会有各种诈骗案件出现。

专家支招,如何防止数据外泄

黑奇士采访的安全专家表示,像美团这样的大型公司,应该把保护用户隐私放在首位,用户的数据放在你的网站上,其实是用户赋予的莫大信任。

但严酷的现实是,包括美团在内的很多网站无论是硬件安全措施,还是软件规则,都存在种种不足之处,在这种情况底下,专家建议:

1、尽量不要赋予类似的电商网站过多权限,不要透露太多个人信息。例如,点外卖的时候,完全可以用“王先生、李先生”这样的化名下单,这样既不影响外卖的正常收取,也不会透露太多个人信息。

2、如果遇到可疑的安全事件,一定要第一时间报警,不要姑息。黑奇士在中国裁判文书网上发现,有人在网上购买1条外卖地址、900多条用户信息,就被法院判处7个月徒刑。

3、对于美团这样的公司来讲,一定要对隐私泄露提起足够重视,不要试图掩盖和敷衍,一定要追查到底。

猎云网APP阅读全文

体验更加

猎云网

微信扫码关注猎云网

  1. 猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权;
  2. 转载时须在文章头部明确注明出处、保留官方微信、作者和原文链接,如:转自猎云网(微信号: lieyunjingxuan )字样;
  3. 猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
  4. 联系猎云,请加微信号:jinjilei
猜你喜欢
长按图片可以分享给好友
×