近日,有媒體報道圓通速遞5名員工將其內部員工系統賬號以每日500元的價格租借給外部刷單團伙,導致超過40萬條用户信息泄露。11月17日,圓通速遞發表聲明稱,此案系該公司主動發現並報案,並對此案件暴露的問題深表歉意,公司將持續通過“制度+技術”手段,完善信息安全風控系統。

近年來,雖然用户信息得到越來越多的重視,但用户信息已成為網絡黑灰產業覬覦對象,泄露事件仍時有發生。那麼,用户信息安全“防火牆”應該如何搭建?

用户信息成網絡黑灰產業“唐僧肉”

根據圓通速遞的聲明,今年7月底,該公司總部實時運行的風控系統監測到,河北省區下屬加盟網點有兩個賬號存在非該網點運單信息的異常查詢,判斷為明顯的異常操作,於第一時間關閉風險賬號,同時立即成立由質控、安保、信息中心、網管等部門及河北省區組成的調查組,對此事件開展取證調查。調查發現,疑似有加盟網點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致信息外泄,其中存在敏感字段信息約為4.3萬條。公司隨後向當地公安部門報案,並全力配合調查。

據悉,此案件嫌疑人馬某傑僱傭圓通速遞員工以每日500元的費用租用其內部員工系統賬號,由另外的團伙成員登錄租用的系統賬號,進入該物流系統,導出快遞信息,再把竊取的快遞信息進行整理,通過微信、QQ等方式倒賣。

此次被泄露的信息包括髮件人地址、姓名、電話以及收件人電話、姓名、地址6個維度。據馬某傑供述,他將收集到的信息打包賣出,每條信息單價約為1元。

“經常接到詐騙電話,把我的名字、地址、最近網購的東西、發件地址都説得一字不差,我就好奇他們哪兒來的我的信息?”家住北京市西三環的白領邱女士最近向記者吐槽。記者瞭解到,掌握如此準確信息的詐騙電話,很多人都接到過,感覺自己的信息已經成了“唐僧肉”。

運營管理面臨挑戰

實際上,快遞公司員工充當“內鬼”泄露用户信息的案例並不少見。2019年9月,南京警方破獲的一起案件中,13名嫌疑人,有6名快遞員利用職務之便竊取供職快遞公司用户數據,涉案金額1200萬元。

泰和泰律師事務所律師廖懷學告訴《工人日報》記者,根據相關法律法規,個人信息的判斷標準是身份識別性,即只要能夠直接或者間接識別特定個人的真實身份信息都屬於個人信息。快遞單上所顯示的發件人信息、收件人信息都屬於個人信息的範疇。“快遞公司或與用户或與商家之間存在服務合同關係,無論從哪種關係看,都應對用户個人信息履行保密義務。”

那麼,快遞企業為何成為用户信息泄露的重災區?他們保障用户信息安全有哪些節點?廖懷學認為,快遞服務涉及收寄、分揀、運輸、投遞等多個環節,在此過程中接觸用户信息的人員範圍廣泛,容易出現監管死角,快遞寄遞處理流程和管理制度存在優化完善空間。

一位不願透露姓名的快遞業內人士告訴記者,實行快遞實名制後,快遞企業掌握了用户的身份信息,這些信息較為敏感,價值也高,容易引發網絡黑灰產業覬覦。而掌握這些信息的快遞企業在網絡服務方面需要對系統進行安全性升級改造,這不僅面臨較為嚴峻的技術挑戰,成本也很高。

快遞行業專家趙小敏則認為,許多快遞企業在“防火牆”技術上沒有問題,技術每年也有很大的投入,關鍵還是運營管理方面仍面臨不小的挑戰。

用户也要具備信息保護意識

此次內部員工泄露用户信息的事件發生後,圓通表示,將持續對員工內部賬號進行實時監控,主動發現違法違規行為。同時,着力提升加盟網點的依法經營意識和信息安全意識,更好地配合公安機關,嚴厲打擊涉及用户信息安全的違法行為。

“在技術措施方面,應加強安全驗證建設,在採用傳統的賬號密碼驗證外輔之以其他驗證方式。加強信息系統的權限管理,僅向員工分配滿足工作需要的最小操作權限和最小的可訪問信息範圍。 此外,還可通過隱藏單面防止信息泄露,對用户個人信息進行編碼隱藏處理。”廖懷學認為,在制度措施方面,快遞公司應建立個人信息保護內控機制,與內部員工簽訂保密協議,嚴格落實違約懲戒機制;應明確公司內部各部門、各崗位的信息安全責任,嚴禁無關人員進出快遞處理、存放場地;可安排專業人員對收寄、分揀、運輸、投遞等環節的信息處理進行安全監控。

北京盈科(上海)律師事務所高級合夥人陳曉薇則認為,公民在日常生活中要具備保護個人信息的意識。比如説,快遞的收貨地址最好選擇公開場合或者代收服務站,不要填寫詳細地址,扔快遞包裝前將重要信息塗抹或者撕掉。一旦發現個人信息被泄露,及時向相關部門投訴舉報或向公安部門報案。