美團銷售主管竊取商户信息被判刑比“用户隱私被賣”更甚

2018-04-25

獵雲注：從目前黑產行業流傳的個人信息來源看，主要來自“內鬼違規泄露”和“黑客技術獲取”兩條路徑。除了內鬼和黑客之外，有一些規則上的疏忽也可能帶來隱患。文章來源：黑奇士（ID：hqssima）作者：simaziyu

4月23日，有媒體爆出網上可買到美團外賣的客户資料，包含電話姓名、訂餐地址在內的隱私資料，每條價格不到1毛錢。根據記者調查，報價最低的甚至可以到1萬條個人隱私僅需800元。

在記者購買這些隱私的過程中，“商家”不但沒問其購買用途，還向其炫耀自己資料的真實性、可靠性，“數據是由美團系統內部人員提取的，每天更新4萬條左右，每天中午更新一次，晚上就能賣完”。

這些數據是怎麼來的，是用户無意間泄露的，還是美團公司有內鬼？內鬼的權限有多高，我們在美團訂餐還安全嗎？我們應該怎麼保護自己的隱私？

針對這些網友關心的問題，黑奇士展開了調查。

90後“內鬼”做到美團銷售主管去年底已被判刑

黑奇士在中國裁判文書網上進行搜索，發現今年3月份剛剛公佈的判例：

廣東省陽江市江城區人民檢察院於2017年11月，對被告人方某、藍某提起起訴。方某出生於1992年，在犯案前任職於互誠信息技術公司，職位為陽江地區銷售主管。互誠信息是原美團網和大眾點評合併之後註冊的法律實體，可以被認為是法律意義上的“美團網”。

（江城區人民法院）

起訴書指控，被告人方某為了個人目的，想獲取陽江及廣州地區的美團大眾點評網（下文簡稱美團）商户信息，於是利用自己是銷售主管的工作之便，將自己的登陸賬號和密碼交給藍某，指使藍某竊取美團公司的商户信息。

被告人藍某通過方某的美團賬號密碼，登陸公司內網盤古、apollo系統，利用自己編寫的程序大量獲取系統中的商户個人信息，竊取包括姓名、聯繫方式、地址在內的敏感信息。

竊取行為自7月27日開始至8月2日，持續約7天，兩被告獲取大量商户機密資料。由於案發時間較短，兩人還未來得及出售或轉移，即被民警控制。

12月1日，法院宣判，因為侵犯公民個人信息罪，方某被判6個月有期徒刑，緩刑一年；藍某被判7個月有期徒刑，緩刑一年。

讓我覺得詭異的是，自該判決書3月22日公開，到現在整整一個月，向來嗅覺靈敏的媒體居然沒有爆出任何消息。（原因如何，我不敢瞎説）

專家解析報道：美團資料外泄有兩種主要途徑

就新京報的深度報道，黑奇士採訪了個人隱私方面的安全專家李先生，李先生表示：從目前黑產行業流傳的個人信息來源看，主要來自“內鬼違規泄露”和“黑客技術獲取”兩條路徑。

首先是內鬼泄露，以新京報的報道為例，要想達到“每天更新4萬條、每天中午更新”這種量級和頻率，只有掌握美團系統較高權限的內部員工（高級內鬼），才能做到這種效果。如果是黑客攻擊，即使是嚴重漏洞，也僅僅可能一次獲取大量數據，不可能做到定期更新。（因為不可能每天黑客都去攻擊一次，這樣太容易被發現了）

至於報道里提到的“外賣騎士出售”，李先生認為這種情況有，但可能性不大，也就是偶發現象。因為不單是美團，所有的外賣、快遞行業都是固定分片配送，一個外賣騎士最多能接觸到上千個外賣客户的信息，這些用户信息即使都賣出去，也賣不了多少錢。（幾百元對於月收入七八千的騎士工資，並不具備吸引力，而且很容易被公司查獲）但也不排除有某些利慾薰心的騎士，連這點錢都要賺。

其次是黑客利用技術手段獲取。在過去幾年中，美團曾經多次爆出過網站漏洞，如果這些漏洞被黑客利用，則可能帶來大量用户資料外泄。

除了內鬼和黑客之外，有一些規則上的疏忽也可能帶來隱患。

例如新京報報道中提到的“代運營公司用爬蟲收集商户信息”，報道中的覃某表示，自己可以獲得的信息包括“姓名、性別、電話、地址，訂餐次數都有，但具體能有多少條我要查一下才知道”，報價5毛一條。

安全專家李先生表示，目前不少美團商户使用了代運營公司，但代運營公司對其代運營數據的獲取是無限制的，你把店鋪交給人家運營，那你所有的訂單信息、用户資料都是透明的，如果像報道中提到的用爬蟲類軟件批量獲取，那暗藏的風險就會更大，不僅是報道里提到的用於營銷目的，實際上還可以用於更惡劣的用途。

個人隱私泄露之後：詐騙多發，數據外泄是黑產“原油”

新京報的報道中，對於購買數據的過程描述的很詳細，對於數據泄露之後的後果描述甚少。黑奇士就這個問題請教了專家，專家表示，類似美團外泄這樣的數據，是黑產界的“原油”，通過這些數據，可以衍生出很多安全問題。

比如最簡單的是，是廣告電話騷擾，你買了紙尿褲，一堆賣嬰兒用品的商家煩你；買了機油，就有一大堆汽車後服務、賣二手車的商家煩你，其令人厭煩程度，無需我多説。

更為進一步的是，針對成年人的性用品傳銷、針對老年人的保健品騙局，其騙局開端，都是各個電商網站外泄的用户購物行為數據。

2016年9月徐玉玉案之後，人民網曾經報道，股民老張只要一從事股票交易，幾分鐘內就有詐騙電話打進來，騙子瞭解他交易的股票類型和數量，明顯是有備而來。

類似這樣的案例被媒體報道多起，只要大型電商公司的數據外泄，總會有各種詐騙案件出現。

專家支招，如何防止數據外泄

黑奇士採訪的安全專家表示，像美團這樣的大型公司，應該把保護用户隱私放在首位，用户的數據放在你的網站上，其實是用户賦予的莫大信任。

但嚴酷的現實是，包括美團在內的很多網站無論是硬件安全措施，還是軟件規則，都存在種種不足之處，在這種情況底下，專家建議：

1、儘量不要賦予類似的電商網站過多權限，不要透露太多個人信息。例如，點外賣的時候，完全可以用“王先生、李先生”這樣的化名下單，這樣既不影響外賣的正常收取，也不會透露太多個人信息。

2、如果遇到可疑的安全事件，一定要第一時間報警，不要姑息。黑奇士在中國裁判文書網上發現，有人在網上購買1條外賣地址、900多條用户信息，就被法院判處7個月徒刑。

3、對於美團這樣的公司來講，一定要對隱私泄露提起足夠重視，不要試圖掩蓋和敷衍，一定要追查到底。