申通被曝13信息安全漏洞 黑客借此竊取3萬(wàn)多客戶信息 獲利3萬(wàn)余元被判7個(gè)月 以后快遞出漏洞擬最高罰5萬(wàn) 漏洞標(biāo)題: 國(guó)內(nèi)快遞行業(yè)某個(gè)疑似通用軟件配置不當(dāng)引發(fā)大量信息泄露(目前測(cè)試五個(gè)快遞公司) 危害等級(jí): 高 漏洞狀態(tài): 已交由第三方合作機(jī)構(gòu)(cncert國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)處理 上月���,國(guó)務(wù)院法制辦就《快遞條例》向社會(huì)征求意見(jiàn)�����。其中要求����,快遞企業(yè)應(yīng)建立電子數(shù)據(jù)管理制度,確保用戶信息安全。發(fā)生或者可能發(fā)生用戶信息泄露���、毀損�����、丟失的情況時(shí)�����,快遞企業(yè)應(yīng)當(dāng)立即采取補(bǔ)救措施��。違反上述規(guī)定的�����,處1萬(wàn)元以上5萬(wàn)元以下的罰款�����。 你個(gè)人信息安全嗎��? 黑客利用申通快遞公司的管理系統(tǒng)漏洞���,侵入該公司服務(wù)器���,非法獲取了3萬(wàn)余條個(gè)人信息,之后非法出售�����。審查此案的上海市青浦區(qū)檢察院檢察官告訴《法制晚報(bào)》記者��,買這些信息的人�,多數(shù)是為了行騙��。 據(jù)檢察官透露��,黑客是看到著名安全網(wǎng)“烏云網(wǎng)”公布的申通公司系統(tǒng)漏洞后作案的�。 記者隨后搜索“烏云網(wǎng)”發(fā)現(xiàn),2013年以來(lái)�,該網(wǎng)站至少公布了申通公司與信息泄露隱患有關(guān)的漏洞報(bào)告13篇,涉及系統(tǒng)弱口令���、服務(wù)器目錄���、管理后臺(tái)、快遞短信等各個(gè)方面���,其中9份報(bào)告被標(biāo)注的危害等級(jí)為“高”�。 案件詳情3個(gè)月竊3萬(wàn)余條客戶信息 根據(jù)上海市青浦區(qū)檢察院指控,2014年9月至11月��,鞠某為非法牟利��,利用申通K8速運(yùn)管理系統(tǒng)漏洞�,非法侵入申通快遞有限公司服務(wù)器,下載包含公民個(gè)人信息的快遞面單信息3萬(wàn)余條����。后通過(guò)網(wǎng)絡(luò)出售給他人,非法獲利3萬(wàn)余元�����。 其中�,2014年9月,任某在鞠某的安排下��,利用申通K8速運(yùn)管理系統(tǒng)漏洞非法侵入申通快遞有限公司服務(wù)器����,下載包含公民個(gè)人信息的快遞面單信息2000余條并提供給鞠某。后鞠某通過(guò)網(wǎng)絡(luò)將信息出售給他人�����,并向任某支付報(bào)酬2000余元。 經(jīng)過(guò)審理�,上海市青浦區(qū)法院認(rèn)定了檢方指控的事實(shí)。2015年4月2日�����,法院以非法獲取公民個(gè)人信息罪判處鞠某有期徒刑7個(gè)月���,并處罰金1萬(wàn)元;8月24日�,法院以同樣的罪名判處任某拘役4個(gè)月,并處罰金4000元�����。 QQ群公開(kāi)叫賣被申通發(fā)現(xiàn) 日前����,上海市青浦區(qū)檢察院承辦案件的檢察官喬青接受了《法制晚報(bào)》記者(法晚微信ID:fzwb_52165216)采訪。 “任某是鞠某的親戚���,他不懂電腦技術(shù)����,主要是給鞠某打下手。入侵服務(wù)器拿回的信息都是一張一張的圖片����,任某幫鞠某把圖片上的信息,一條一條輸?shù)奖砀窭�������!?/p> “任某整理好申通公司的客戶信息后����,以QQ群為平臺(tái),在群里公開(kāi)叫賣���,每條信息一塊錢�����,F(xiàn)在有很多專門賣個(gè)人信息的QQ群���,賣家買家都在這個(gè)平臺(tái)出價(jià)�、付款����、收貨���!眴糖嘟榻B說(shuō)�����,這是任某第一次作案����,沒(méi)想到找到的買家竟然是潛伏在QQ群里的申通快遞法務(wù)人員���。 “申通的法務(wù)人員發(fā)現(xiàn)任某在賣申通公司的信息后,向公安機(jī)關(guān)報(bào)案�����,并提交了付款等圖片證據(jù)�。”檢察官說(shuō)���。 買賣個(gè)人信息多為了詐騙 據(jù)檢察員喬青介紹��,“我們青浦區(qū)(檢察院)每年都會(huì)辦理大量快遞公司信息泄露的案件����。因?yàn)閲?guó)內(nèi)五家大的快遞公司,包括申通���、中通����、圓通��、韻達(dá)����、順豐都設(shè)在上海青浦區(qū)����! 喬青說(shuō),這些個(gè)人信息泄露案件中�����,購(gòu)買信息的買家各不相同。 “買這些信息���,多半回去是為了詐騙���。比如,買了個(gè)人信息��,他們會(huì)知道你買的是哪家購(gòu)物網(wǎng)站的什么東西�,之后會(huì)冒充這家網(wǎng)站的客服行騙,這時(shí)候?qū)κ芎φ咧v的內(nèi)容會(huì)更有信服力������!眴糖嗾f(shuō)。 除騙子之外�,還有一些人非法購(gòu)買大量個(gè)人信息,是為了再轉(zhuǎn)手將信息賣給別人���,從中賺差價(jià)。 “第一手賣出的價(jià)格���,大約是一塊錢一條���。經(jīng)過(guò)層層加價(jià)�����,轉(zhuǎn)到最后的買家手里�����,價(jià)格會(huì)漲到兩三塊錢一條������!眴糖嗾f(shuō)�����。 延伸采訪嫌犯看到網(wǎng)曝漏洞才下手 喬青告訴記者���,審查案件過(guò)程中�,檢察官發(fā)現(xiàn)�����,任某、鞠某之所以選申通K8速運(yùn)管理系統(tǒng)下手�����,并得以利用其漏洞���,是因?yàn)樵凇盀踉凭W(wǎng)”上看到了公布出來(lái)的申通公司的系統(tǒng)漏洞����。 “烏云網(wǎng)”成立于2010年5月��,創(chuàng)始人為百度前安全專家方小頓——一位出生于1987年的國(guó)內(nèi)知名黑客��。方小頓聯(lián)合幾位安全界人士成立“烏云網(wǎng)”�,目標(biāo)是成為“自由平等”的漏洞報(bào)告平臺(tái),為計(jì)算機(jī)廠商和安全研究者提供技術(shù)上的各種參考���。 據(jù)不完全統(tǒng)計(jì)�����,“烏云網(wǎng)”公布的安全漏洞達(dá)77848個(gè)����。一位IT技術(shù)員表示:“如果黑客對(duì)‘烏云網(wǎng)’公布的漏洞有興趣�,那么只要知道企業(yè)名字和大概漏洞消息源頭,侵入這個(gè)企業(yè)����,不是難事�����! 報(bào)告詳述了破解申通步驟 記者通過(guò)梳理烏云網(wǎng)漏洞列表發(fā)現(xiàn)�,2014年7月19日,一名叫“袋鼠媽媽”的漏洞作者提交的一份名為“國(guó)內(nèi)快遞行業(yè)某個(gè)疑似通用軟件配置不當(dāng)引發(fā)大量信息泄露”的報(bào)告���,在時(shí)間點(diǎn)上與任某�����、鞠某的作案時(shí)間點(diǎn)最為吻合�����。 報(bào)告中�����,作者詳列了發(fā)現(xiàn)漏洞的步驟��,并貼出了按照他所列步驟操作后得到的信息的圖片——一份快遞單�����。 報(bào)告顯示�,作者共測(cè)試了5家快遞公司,其中包括申通��。報(bào)告的最后��,作者寫道:綜上��,個(gè)人推斷快遞行業(yè)使用的K8速運(yùn)管理系統(tǒng)會(huì)因配置不當(dāng)導(dǎo)致泄露���,有空看能否對(duì)其軟件逆向試試���,但目前大量快遞信息泄露是真實(shí)存在的。 根據(jù)青浦檢察院檢察官提供的線索���,記者登錄“烏云網(wǎng)”查詢發(fā)現(xiàn)了大量與申通快遞公司有關(guān)的系統(tǒng)安全漏洞���。 經(jīng)過(guò)記者的不完全統(tǒng)計(jì)���,2013年至今�,在申通快遞公司被公布的安全漏洞中,與“信息泄露”相關(guān)的�,有13份報(bào)告。其中2013年公布的4份��,2014年公布的5份����,2015年公布的4份。 這些漏洞報(bào)告中�,被標(biāo)注危害等級(jí)為“高”的,有9份����。 漏洞標(biāo)題: 申通快遞某系統(tǒng)存弱口令,可導(dǎo)致信息泄露 危害等級(jí): 高 漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞 漏洞標(biāo)題: 申通快遞某處注入 內(nèi)部信息泄露 申通 危害等級(jí): 高 漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞 漏洞標(biāo)題: 申通快遞公司后臺(tái)權(quán)限繞過(guò)大量用戶資料泄露 危害等級(jí): 高 漏洞狀態(tài): 未聯(lián)系到廠商或者廠商積極忽略 漏洞標(biāo)題: 申通快遞某處泄露快遞單掃描件��、客戶身份證�、電話錄音等信息 危害等級(jí): 中 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 漏洞標(biāo)題: 申通快遞短信服務(wù)泄漏敏感信息 危害等級(jí): 中 漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞 漏洞標(biāo)題: 申通快遞E3集群系統(tǒng)和客服管控系統(tǒng)管理信息泄露 危害等級(jí): 高 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 漏洞標(biāo)題: 申通快遞辦公系統(tǒng)任意登錄并可使用其內(nèi)部功能(直接泄露登錄密碼) 危害等級(jí): 低 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 漏洞標(biāo)題: 申通快遞某管理后臺(tái)存在漏洞,可能泄露內(nèi)部敏感信息 危害等級(jí): 高 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 漏洞標(biāo)題: 申通快遞某系統(tǒng)存在SQL注入(泄露大量客戶快遞信息) 危害等級(jí): 高 漏洞狀態(tài): 漏洞已經(jīng)通知廠商但是廠商忽略漏洞 漏洞標(biāo)題: 申通快遞某站從弱口令到getshell再到業(yè)務(wù)數(shù)據(jù)泄露 危害等級(jí): 高 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 漏洞標(biāo)題: 申通某服務(wù)器目錄遍歷導(dǎo)致泄露大量用戶信息 危害等級(jí): 高 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 漏洞標(biāo)題: 申通快遞權(quán)限設(shè)計(jì)不當(dāng)可獲取修改全站用戶收貨地址(大量敏感信息泄露) 危害等級(jí): 低 漏洞狀態(tài): 廠商已經(jīng)確認(rèn) 申通信息安全漏洞至少13處 消費(fèi)維權(quán) 客戶可索賠但比較難 北京市惠誠(chéng)律師事務(wù)所律師陳楠告訴《法制晚報(bào)》記者(法晚微信ID:fzwb_52165216)�,如果快遞客戶遭遇詐騙并掌握證據(jù)證明詐騙受害系因快遞公司信息泄露引起���,且快遞公司在信息泄露這一問(wèn)題上有過(guò)錯(cuò),那么����,受害人可以對(duì)快遞公司追究賠償責(zé)任。 但陳律師坦言�����,在現(xiàn)實(shí)中����,這種索賠會(huì)很艱難。 “你很難證明自己被騙是因?yàn)榭爝f公司信息泄露導(dǎo)致�。除非黑客被抓了,買信息的騙子也被抓了����,他們都承認(rèn)犯罪事實(shí),你還知道他們被抓且認(rèn)罪����,才有可能。” “但實(shí)際上�����,往往是快遞客戶在A地���,竊取信息的黑客在B地��,買信息的人在C地����,實(shí)施詐騙的人在D地����。你人在A地�,怎么可能會(huì)知道千里之外的B地,有個(gè)非法獲取個(gè)人信息的刑事案件和你有關(guān)��?”他說(shuō)�����。 | 
