信息來源:中國信息產業(yè)網
漏洞標題:國內快遞行業(yè)某個疑似通用軟件配置不當引發(fā)大量信息泄露(目前測試五個快遞公司)
危害等級:高
漏洞狀態(tài):已交由第三方合作機構(cncert國家互聯(lián)網應急中心)處理
上月����,國務院法制辦就《快遞條例》向社會征求意見����。其中要求,快遞企業(yè)應建立電子數據管理制度���,確保用戶信息安全����。發(fā)生或者可能發(fā)生用戶信息泄露�����、毀損�、丟失的情況時,快遞企業(yè)應當立即采取補救措施�。違反上述規(guī)定的,處1萬元以上5萬元以下的罰款�����。
你個人信息安全嗎?
黑客利用申通快遞公司的管理系統(tǒng)漏洞����,侵入該公司服務器,非法獲取了3萬余條個人信息��,之后非法出售��。審查此案的上海市青浦區(qū)檢察院檢察官告訴《法制晚報》記者�����,買這些信息的人����,多數是為了行騙��。
據檢察官透露����,黑客是看到著名安全網“烏云網”公布的申通公司系統(tǒng)漏洞后作案的���。
記者隨后搜索“烏云網”發(fā)現(xiàn)���,2013年以來,該網站至少公布了申通公司與信息泄露隱患有關的漏洞報告13篇�����,涉及系統(tǒng)弱口令���、服務器目錄�����、管理后臺�、快遞短信等各個方面�����,其中9份報告被標注的危害等級為“高”。
案件詳情3個月竊3萬余條客戶信息
根據上海市青浦區(qū)檢察院指控���,2014年9月至11月,鞠某為非法牟利�����,利用申通K8速運管理系統(tǒng)漏洞��,非法侵入申通快遞有限公司服務器��,下載包含公民個人信息的快遞面單信息3萬余條����。后通過網絡出售給他人,非法獲利3萬余元����。
其中,2014年9月�,任某在鞠某的安排下,利用申通K8速運管理系統(tǒng)漏洞非法侵入申通快遞有限公司服務器��,下載包含公民個人信息的快遞面單信息2000余條并提供給鞠某����。后鞠某通過網絡將信息出售給他人�,并向任某支付報酬2000余元���。
經過審理�,上海市青浦區(qū)法院認定了檢方指控的事實�。2015年4月2日,法院以非法獲取公民個人信息罪判處鞠某有期徒刑7個月��,并處罰金1萬元;8月24日��,法院以同樣的罪名判處任某拘役4個月���,并處罰金4000元����。
QQ群公開叫賣被申通發(fā)現(xiàn)
日前���,上海市青浦區(qū)檢察院承辦案件的檢察官喬青接受了《法制晚報》記者采訪���。
“任某是鞠某的親戚,他不懂電腦技術��,主要是給鞠某打下手。入侵服務器拿回的信息都是一張一張的圖片�,任某幫鞠某把圖片上的信息,一條一條輸到表格里�����?����!?
“任某整理好申通公司的客戶信息后���,以QQ群為平臺,在群里公開叫賣����,每條信息一塊錢。現(xiàn)在有很多專門賣個人信息的QQ群��,賣家買家都在這個平臺出價����、付款、收貨���?����!眴糖嘟榻B說����,這是任某第一次作案,沒想到找到的買家竟然是潛伏在QQ群里的申通快遞法務人員�����。
“申通的法務人員發(fā)現(xiàn)任某在賣申通公司的信息后����,向公安機關報案,并提交了付款等圖片證據����。”檢察官說��。
買賣個人信息多為了詐騙
據檢察員喬青介紹��,“我們青浦區(qū)(檢察院)每年都會辦理大量快遞公司信息泄露的案件。因為國內五家大的快遞公司���,包括申通�����、中通�����、圓通、韻達�、順豐都設在上海青浦區(qū)?�!?
喬青說���,這些個人信息泄露案件中���,購買信息的買家各不相同。
“買這些信息����,多半回去是為了詐騙。比如,買了個人信息�����,他們會知道你買的是哪家購物網站的什么東西��,之后會冒充這家網站的客服行騙���,這時候對受害者講的內容會更有信服力��?!眴糖嗾f�����。
除騙子之外�����,還有一些人非法購買大量個人信息����,是為了再轉手將信息賣給別人,從中賺差價����。
“第一手賣出的價格����,大約是一塊錢一條�����。經過層層加價�,轉到最后的買家手里,價格會漲到兩三塊錢一條�。”喬青說�。
延伸采訪 嫌犯看到網曝漏洞才下手
喬青告訴記者,審查案件過程中����,檢察官發(fā)現(xiàn)��,任某����、鞠某之所以選申通K8速運管理系統(tǒng)下手,并得以利用其漏洞�����,是因為在“烏云網”上看到了公布出來的申通公司的系統(tǒng)漏洞。
“烏云網”成立于2010年5月�,創(chuàng)始人為百度前安全專家方小頓——一位出生于1987年的國內知名黑客。方小頓聯(lián)合幾位安全界人士成立“烏云網”���,目標是成為“自由平等”的漏洞報告平臺����,為計算機廠商和安全研究者提供技術上的各種參考���。
據不完全統(tǒng)計���,“烏云網”公布的安全漏洞達77848個。一位IT技術員表示:“如果黑客對‘烏云網’公布的漏洞有興趣���,那么只要知道企業(yè)名字和大概漏洞消息源頭�,侵入這個企業(yè)��,不是難事�。”
報告詳述了破解申通步驟
記者通過梳理烏云網漏洞列表發(fā)現(xiàn)�,2014年7月19日�,一名叫“袋鼠媽媽”的漏洞作者提交的一份名為“國內快遞行業(yè)某個疑似通用軟件配置不當引發(fā)大量信息泄露”的報告���,在時間點上與任某���、鞠某的作案時間點最為吻合。
報告中��,作者詳列了發(fā)現(xiàn)漏洞的步驟����,并貼出了按照他所列步驟操作后得到的信息的圖片——一份快遞單。
報告顯示�����,作者共測試了5家快遞公司����,其中包括申通���。報告的最后��,作者寫道:綜上����,個人推斷快遞行業(yè)使用的K8速運管理系統(tǒng)會因配置不當導致泄露,有空看能否對其軟件逆向試試����,但目前大量快遞信息泄露是真實存在的。
根據青浦檢察院檢察官提供的線索����,記者登錄“烏云網”查詢發(fā)現(xiàn)了大量與申通快遞公司有關的系統(tǒng)安全漏洞。
經過記者的不完全統(tǒng)計��,2013年至今����,在申通快遞公司被公布的安全漏洞中,與“信息泄露”相關的��,有13份報告���。其中2013年公布的4份�����,2014年公布的5份�����,2015年公布的4份����。
這些漏洞報告中,被標注危害等級為“高”的�,有9份。
漏洞標題:申通快遞某系統(tǒng)存弱口令����,可導致信息泄露
危害等級:高
漏洞狀態(tài):漏洞已經通知廠商但是廠商忽略漏洞
漏洞標題:申通快遞某處注入內部信息泄露申通
危害等級:高
漏洞狀態(tài):漏洞已經通知廠商但是廠商忽略漏洞
漏洞標題:申通快遞公司后臺權限繞過大量用戶資料泄露
危害等級:高
漏洞狀態(tài):未聯(lián)系到廠商或者廠商積極忽略
漏洞標題:申通快遞某處泄露快遞單掃描件、客戶身份證���、電話錄音等信息
危害等級:中
漏洞狀態(tài):廠商已經確認
漏洞標題:申通快遞短信服務泄漏敏感信息
危害等級:中
漏洞狀態(tài):漏洞已經通知廠商但是廠商忽略漏洞
漏洞標題:申通快遞E3集群系統(tǒng)和客服管控系統(tǒng)管理信息泄露
危害等級:高
漏洞狀態(tài):廠商已經確認
漏洞標題:申通快遞辦公系統(tǒng)任意登錄并可使用其內部功能(直接泄露登錄密碼)
危害等級:低
漏洞狀態(tài):廠商已經確認
漏洞標題:申通快遞某管理后臺存在漏洞����,可能泄露內部敏感信息
危害等級:高
漏洞狀態(tài):廠商已經確認
漏洞標題:申通快遞某系統(tǒng)存在SQL注入(泄露大量客戶快遞信息)
危害等級:高
漏洞狀態(tài):漏洞已經通知廠商但是廠商忽略漏洞
漏洞標題:申通快遞某站從弱口令到getshell再到業(yè)務數據泄露
危害等級:高
漏洞狀態(tài):廠商已經確認
漏洞標題:申通某服務器目錄遍歷導致泄露大量用戶信息
危害等級:高
漏洞狀態(tài):廠商已經確認
漏洞標題:申通快遞權限設計不當可獲取修改全站用戶收貨地址(大量敏感信息泄露)
危害等級:低
漏洞狀態(tài):廠商已經確認
申通信息安全漏洞至少13處
消費維權
客戶可索賠但比較難
北京市惠誠律師事務所律師陳楠告訴《法制晚報》記者���,如果快遞客戶遭遇詐騙并掌握證據證明詐騙受害系因快遞公司信息泄露引起��,且快遞公司在信息泄露這一問題上有過錯�����,那么�,受害人可以對快遞公司追究賠償責任�。
但陳律師坦言,在現(xiàn)實中�����,這種索賠會很艱難���。
“你很難證明自己被騙是因為快遞公司信息泄露導致�。除非黑客被抓了�����,買信息的騙子也被抓了�,他們都承認犯罪事實,你還知道他們被抓且認罪�,才有可能?����!?
“但實際上���,往往是快遞客戶在A地�,竊取信息的黑客在B地,買信息的人在C地����,實施詐騙的人在D地。你人在A地���,怎么可能會知道千里之外的B地�,有個非法獲取個人信息的刑事案件和你有關?”他說��。
