新華網 正文
外賣送餐資訊被指在網上售賣 萬條資訊售價800元
2018-04-23 07:53:37 來源: 新京報
關注新華網
微博
Qzone
評論
圖集

  原標題:外賣送餐資訊被指在網上售賣

  記者調查發現有網絡商家、外賣騎手出售外賣訂餐客戶個人資訊;專家表示防范資訊泄露應“多管齊下”

  4月14日,陳京宏提供的5000條外賣訂餐用戶個人資訊中,包括酒店等公共場所。文件截圖

  4月14日,陳京宏發來包括姓名、電話、地址在內的資訊表格,共5000條。手機截圖

  外賣騎手李德發來的一張用戶訂單。手機截圖

  “騷擾電話太多了,讓人心裏很不舒服。”市民許昕反映,因為在一外賣平臺訂過一次外賣,他所住的酒店地址、房間號碼、聯繫電話等隱私資訊被泄露。而許昕的資訊,這只是記者獲取的數千條外賣訂餐資訊中的一條。

  用戶每訂一次外賣,就意味著要將自己的資訊上傳一次。但這些隱私資訊是否足夠安全?近日,新京報記者臥底多個“電話銷售”群發現,有賣家專門出售外賣訂餐客戶的資訊。包括電話姓名、訂餐地址在內,每條資訊的售價不到一毛錢。還有網絡運營公司借助軟件搜集用戶的訂餐資訊,打包後倒賣給電話銷售公司,甚至還有一些外賣騎手也做起了客戶資訊倒賣的“生意”。

  記者隨機在網上調查發現,在一些QQ群裏,有人叫賣餓了麼、百度外賣、美團等外賣平臺的客戶資訊。

  網絡訂餐平臺美團一位客服人員表示,美團內部對于資訊的管理非常嚴格,但用戶訂單資訊涉及商家、騎手等多個環節,不排除有其他因素導致資訊泄露。

  有專家表示,商業公司應完善資訊管理機制,及時更新資訊保護手段,建立深層防護機制。

  萬條資訊售價800元

  “今天的數據已經更新,長期出售各種數據”,4月14日下午4點,陳京宏在QQ上推送了一條消息。係統顯示這個QQ的好友超過200人。陳京宏稱,其中大多是向他買過“數據”的客戶。

  陳京宏所説的“數據”,是包括電話、地址在內的公民隱私資訊。

  新京報記者聯繫到陳京宏,是在一個“電話銷售群”中。聊天中陳京宏透露,自己手上有北京、上海、廣州等一線城市、來自外賣平臺的客戶數據,10000條售價800元,5000條起售,“平均每條不到一毛錢。”

  陳京宏隨後發來一份截圖,顯示大量姓名、聯繫方式和地址等資訊。陳京宏稱數據都是“最近三天的”,但無法提取到具體下單日期。

  當記者提出想要看下“數據”後,陳京宏發來了一個微信群的二維碼,掃碼進入後是只有記者和他兩個人的微信群。陳京宏留言:“15分鐘內整理好數據發給你”。

  還不到15分鐘,陳京宏就通過QQ給記者發來一份Excel表格,內有5000條資訊。和截圖內容一樣,這份表格包括姓名、電話、性別和地址,但沒有訂餐日期。包括朝陽、密雲等區在內,北京16個區的數據都有涉及。

  記者從表格中隨機選取100個電話號碼進行驗證。其中有效號碼61個,33名機主確認表格中的資訊準確,並確認自己近一兩個月內,在某外賣平臺訂過餐。“對,是這個地址”,地址顯示為CBD某公寓的楊女士在聽到記者報出的地址後稱,她前一天晚上在某外賣平臺的一家燒烤店訂過餐。

  記者粗略統計,在這份5000人名單中,有一部分來自于賓館、酒店、商場等公共場所。

  一位地址顯示為房山區某五星級酒店某號房的周女士回憶,她在4月13日入住該酒店時,曾使用外賣平臺訂過餐,但記不清訂餐內容和具體商家,“訂得太多了。”

  記者隨後再次聯繫陳京宏,詢問為何會有無效號碼。陳京宏稱“有些數據可能更換過”。每次問到數據的來源,對方都會有意回避。再三追問下,陳京宏最後表示“數據是由係統內部人員提取的,每天更新4萬條左右。”

  陳京宏透露,這些數據每天中午會更新一次,“到晚上肯定能銷完”。

  實際上,售賣外賣客戶資訊的不止陳京宏一個。記者臥底多個電話銷售群發現,至少有三名賣家均稱自己有外賣的客戶數據。QQ昵稱為“彩虹”的賣家稱自己有全國范圍的數據,每萬條價格為600元,除了用戶姓名和電話地址外,還包括訂餐資訊。

  新京報記者發現,一些賣家稱有美團、餓了麼、百度外賣的客戶資訊,每萬條價格從700元到2000元不等。

  軟件自動“扒”客戶資訊

  除了這些直接以賣家的身份售賣資訊外,一條更為隱秘的外賣顧客資訊獲取渠道浮出水面。新京報記者調查發現,一些代理運營外賣店的網絡公司也在售賣資訊。

  某網絡運營公司的工作人員覃華平時的業務是負責幫忙代開(運營)外賣店鋪。他同時稱,可以想辦法搞到成都的某外賣平臺訂餐客戶資訊。

  為什麼只有成都的?覃華表示,自己在其他城市沒有代運營的外賣店鋪,而這些數據都是從自己代運營的店鋪裏用軟件爬取的。

  “姓名、性別、電話、地址,訂餐次數都有,但具體能有多少條我要查一下才知道。”覃華説。他給出的報價比之前的賣家貴了幾倍,每條5毛錢。覃華隨後解釋稱,可以保證準確率,而且就是這兩天的。

  4月20日,覃華發來一份顯示總計有2605條資訊的電腦截圖,之後又發來另一份截圖,資訊數量變為2609。“剛剛又有四個客人訂餐,數字隨時會漲”,覃華説,“尾數算是送的。”

  約半個小時後,記者看到了這份總共2609條的資訊清單,其范圍更加廣泛。通過查篩關鍵詞結果顯示,地址顯示為酒店的共有83條,網吧共有47條,醫院29條,會所1條。

  記者從酒店中隨機抽取54條撥打發現,除了30條關機或無人接聽等無法聯繫,3條資訊不符外,有21位機主確認自己近期用該地址在外賣平臺上訂過餐。

  其中在和酒店住戶王先生的資訊確認中,記者故意給出一個不完整的地址,但隨即被對方糾正並補充。而王先生給出的地址正是資訊清單中的地址。

  在這份資訊清單中還有16個來自網吧的地址,不少地址甚至精確到某家網吧的機位號。記者逐一核實發現,除了其中4位機主電話無法接通外,其余12位機主均表示自己確實使用該地址訂過餐。

  “一般做店鋪運營會買這些資訊,轉化率很高。” 覃華説,他獲取這些資訊是通過將自己的軟件挂在一些外賣平臺的商家後臺,從中爬取,“係統不可能發現”。

  “如果是商家的資訊就更好弄了,全國隨便哪個地方,一晚上我能給你搞定一個城市的所有商家資訊,包括店主姓名、店名、地址、手機號碼。”覃華説。

  記者提出是否會被平臺係統監控到,覃華表示監控不到,“這個東西你不用讓商家知道,只要有電腦,在家就可以操作。”

  覃華隨後給記者發來一份該軟件的監控截圖,從截圖列表中可以看到用戶姓名、電話、注冊日期、最近消費、儲值余額等資訊。“2800元可使用一年。”覃華説,但他拒絕透露該軟件的名稱。

  外賣騎手“出賣”訂單

  新京報記者調查中發現,還有“數據”賣家發來兩份武漢和北京地區的送餐員的資訊截圖,詢問是否需要。新京報記者在隨後的調查中發現,作為外賣用戶資訊的終端接觸者,包括部分外賣騎手在內的一些送餐員,也在利用用戶資訊牟利。

  4月18日,記者通過電話找到外賣騎手李德,詢問對方是否可以售賣用戶的訂餐資訊。對方表示可以,但價格稍高,一元一條。

  “這些資訊可以確保是當天的,而且訂單上的所有資訊都可以給你,包括從哪家訂的餐,訂了哪些餐。”李德説。

  談好價格後,李德隨即給記者發來了4月18日35位顧客的訂餐資訊。這些資訊分為兩種,一種是騎手APP的截圖,還有一種是列印的紙質小票。

  第二天,李德主動詢問記者是否還需要訂單資訊,並又發來34份外賣的訂餐單。其中一份訂單顯示,朝陽區某小區3期的張女士曾在某沙拉店商家訂過餐,訂餐內容包括三文魚卷在內一共四種。張女士向記者確認,該訂單確實是她點的。

  記者先後核實20個訂單資訊,除了3位機主無法確認外,其他機主均表示訂單資訊真實。

  外賣資訊泄露糾紛不斷

  “平時總是接到一些推銷電話、廣告短信,我覺得我的資訊泄露得夠嚴重了,沒辦法,電話也不好再換。”市民許昕告訴記者,因為訂過一次外賣,他所住的酒店地址、房間號碼、聯繫電話等隱私資訊成了“公開的秘密”。

  新京報記者記者梳理髮現,不少外賣平臺用戶都有過資訊被泄露的經歷,甚至因此引發糾紛。

  據媒體報道,去年12月份,柴先生通過“餓了麼”點餐平臺訂了一份外賣,共計31.8元。約10分鐘後,一名自稱商家的人聯繫柴先生稱,他訂的黑椒豬排賣完了,換菜需要補兩塊錢的差價。“資訊很準確,我訂單的資訊,商家賣的什麼餐,一模一樣。”柴先生説。隨後對方讓柴先生報一下支付寶數字以便收取兩塊錢的差價。在報過數字後,柴先生發現對方已經轉走了自己近2000元。商家表示柴先生的餐並沒有賣完,給他打電話的也不是店裏的工作人員。柴先生懷疑自己的訂餐資訊被泄露。

  此外,今年3月份,哈爾濱李先生在訂過一次外賣後,頻繁接到陌生人電話詢問如何找“小姐”。不勝其擾的李先生最後發現,自己的電話是被一名外賣騎手泄露的,並將其備注為“小姐到府”。

  網站網友“時光漫步支旅”也曾發帖稱,自己給男朋友點了一份美團外賣後,隨後被一位陌生人加了微信。對方知道自己的姓名和詳細地址,但自己並不認識他。幾經追問之下,對方承認資訊是送外賣的朋友給的,目的是想幫他脫單。

  新京報記者就資訊泄露情況撥打美團客服電話,一位客服人員表示,美團內部對于資訊的管理非常嚴格,不會泄露用戶的隱私。但用戶訂單資訊涉及多個環節,商家和騎手會有用戶資訊,且不包括送錯餐以及訂餐小票弄丟等幹擾因素。

  個人資訊仍處“危險期”

  網絡安全專家、白帽匯創始人趙武表示,目前資訊泄露不斷發生,但相應的技術安全規范和要求仍未出臺,公民的個人資訊仍處于“危險期”。

  對于外賣平臺涉嫌泄露客戶隱私的問題,趙武分析稱,有可能是外賣平臺程式存在漏洞,比如API(應用程式編程介面)沒有做認證,網絡入侵者可以根據訂單序列號爬取用戶資訊。歷史上出現過很多起類似案例,例如一些招聘網站的簡歷大規模泄露等。

  第二種可能是跟商家合作的第三方泄露資訊。比如有的商家會搞一些積分、返利、贈券等活動,這些活動一般是第三方公司承做。他們在活動中會搜集用戶的資訊,而本身對數據的保護不如平臺嚴密,因此很容易被入侵。“此前12306網站資訊泄露就是這種情況。”趙武説。

  趙武介紹,去年6月份我國的《網絡安全法》已經正式實施,總的指導要求已經明確,但相應的具體技術安全規范仍未出臺,尤其是對商業公司的資訊監管沒有很具體的要求。

  如何防范資訊泄露,趙武表示,一方面國家應該盡快出臺網絡安全保護具體細則,嚴格立法要求企業對安全事故負責,尤其是跟隱私相關的數據泄露必須有懲罰和賠償機制,不允許企業增加“駭客攻擊導致的數據泄露不承擔責任”類似的霸王免責條款。同時,嚴格管束企業方對數據的利用情況,出一次事,處罰一次。

  另一方面,商業公司要及時更新資訊保護手段,建立深層防護機制,在做數據分析和使用時,可以先將客戶的敏感資訊隱去,用虛擬ID代替;再將其隱私資訊通過加密的手段做二次防護。

  此外趙武表示,商業公司還應完善資訊管理機制,“比如技術加密的演算法是什麼,什麼樣的人才能接觸到用戶數據,建立詳細的技術標準規范”。

  廣東中安律師事務所合夥人、深圳仲裁委員會仲裁員潘翔介紹,刑法修正案(七)對侵犯公民個人資訊罪進行了立法,規定國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人資訊,出售或非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。竊取或者以其他方法非法獲取上述資訊,情節嚴重的,依照前款的規定處罰。

  此外《網絡安全法》也明確,網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止資訊泄露、毀損、丟失。在發生或者可能發生個人資訊泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。(新京報調查記者)

  (文中許昕、陳京宏、覃華、李德為化名)

+1
【糾錯】 責任編輯: 王頔
相關新聞
  • 新一代個人網絡身份標識eID發放 可防個人資訊泄露
    近日(4月14日),公安部首批5萬張新一代身份識別卡在江西共青城免費發放。據公安部第三研究所的工作人員介紹,SIMeID貼膜卡能夠在不泄露身份資訊的前提下,線上遠端識別身份。
    2018-04-17 09:30:50
  • 九成網絡詐騙因資訊泄露 專家:急需提升隱私安全意識
    中國信息安全測評中心黨委書記吳世忠表示,資訊泄露將會給基于互聯網構建的資訊社會帶來巨大隱患。值得一提的是,近年來,手機更新換代速度越來越快,智能手機用戶平均約17個月就更換一次手機,舊手機回收也成為泄露用戶隱私的一大原因。
    2018-03-28 07:04:16
新聞評論
載入更多
走進澳大利亞國家圖書館
走進澳大利亞國家圖書館
探訪比利時魯汶大學圖書館
探訪比利時魯汶大學圖書館
草原上的“書敖包”
草原上的“書敖包”
春花盛放
春花盛放
010020010010000000000000011107681122724125