比“用戶隱私被賣”更惡劣，美團(tuán)銷售主管竊取商戶信息獲刑

　　比“用戶隱私被賣”更惡劣，美團(tuán)銷售主管竊取商戶信息獲刑。有媒體爆出網(wǎng)上可買到美團(tuán)外賣的客戶資料，包含電話姓名、訂餐地址在內(nèi)的隱私資料，每條價(jià)格不到1毛錢。根據(jù)記者調(diào)查，報(bào)價(jià)最低的甚至可以到1萬條個(gè)人隱私僅需800元。

　　在記者購買這些隱私的過程中，“商家”不但沒問其購買用途，還向其炫耀自己資料的真實(shí)性、可靠性，“數(shù)據(jù)是由美團(tuán)系統(tǒng)內(nèi)部人員提取的，每天更新4萬條左右，每天中午更新一次，晚上就能賣完”。

　　這些數(shù)據(jù)是怎么來的，是用戶無意間泄露的，還是美團(tuán)公司有內(nèi)鬼？內(nèi)鬼的權(quán)限有多高，我們在美團(tuán)訂餐還安全嗎？我們應(yīng)該怎么保護(hù)自己的隱私？

　　針對這些網(wǎng)友關(guān)心的問題，展開了調(diào)查。

　　90后“內(nèi)鬼”做到美團(tuán)銷售主管 去年底已被判刑

　　在中國裁判文書網(wǎng)上進(jìn)行搜索，發(fā)現(xiàn)今年3月份剛剛公布的判例：

　　廣東省陽江市江城區(qū)人民檢察院于2017年11月，對被告人方某、藍(lán)某提起起訴。方某出生于1992年，在犯案前任職于互誠信息技術(shù)公司，職位為陽江地區(qū)銷售主管?；フ\信息是原美團(tuán)網(wǎng)和大眾點(diǎn)評(píng)合并之后注冊的法律實(shí)體，可以被認(rèn)為是法律意義上的“美團(tuán)網(wǎng)”。

　　起訴書指控，被告人方某為了個(gè)人目的，想獲取陽江及廣州地區(qū)的美團(tuán)大眾點(diǎn)評(píng)網(wǎng)（下文簡稱美團(tuán)）商戶信息，于是利用自己是銷售主管的工作之便，將自己的登陸賬號(hào)和密碼交給藍(lán)某，指使藍(lán)某竊取美團(tuán)公司的商戶信息。

　　被告人藍(lán)某通過方某的美團(tuán)賬號(hào)密碼，登陸公司內(nèi)網(wǎng)盤古、apollo系統(tǒng)，利用自己編寫的程序大量獲取系統(tǒng)中的商戶個(gè)人信息，竊取包括姓名、聯(lián)系方式、地址在內(nèi)的敏感信息。

　　竊取行為自7月27日開始至8月2日，持續(xù)約7天，兩被告獲取大量商戶機(jī)密資料。由于案發(fā)時(shí)間較短，兩人還未來得及出售或轉(zhuǎn)移，即被民警控制。

　　12月1日，法院宣判，因?yàn)榍址腹駛€(gè)人信息罪，方某被判6個(gè)月有期徒刑，緩刑一年；藍(lán)某被判7個(gè)月有期徒刑，緩刑一年。

　　讓我覺得詭異的是，自該判決書3月22日公開，到現(xiàn)在整整一個(gè)月，向來嗅覺靈敏的媒體居然沒有爆出任何消息。（原因如何，我不敢瞎說）

　　專家解析報(bào)道：美團(tuán)資料外泄有兩種主要途徑

　　就新京報(bào)的深度報(bào)道，采訪了個(gè)人隱私方面的安全專家李先生，李先生表示：從目前黑產(chǎn)行業(yè)流傳的個(gè)人信息來源看，主要來自“內(nèi)鬼違規(guī)泄露”和“黑客技術(shù)獲取”兩條路徑。

　　首先是內(nèi)鬼泄露，以新京報(bào)的報(bào)道為例，要想達(dá)到“每天更新4萬條、每天中午更新”這種量級(jí)和頻率，只有掌握美團(tuán)系統(tǒng)較高權(quán)限的內(nèi)部員工（高級(jí)內(nèi)鬼），才能做到這種效果。如果是黑客攻擊，即使是嚴(yán)重漏洞，也僅僅可能一次獲取大量數(shù)據(jù)，不可能做到定期更新。（因?yàn)椴豢赡苊刻旌诳投既ス粢淮?，這樣太容易被發(fā)現(xiàn)了）

　　至于報(bào)道里提到的“外賣騎士出售”，李先生認(rèn)為這種情況有，但可能性不大，也就是偶發(fā)現(xiàn)象。因?yàn)椴粏问敲缊F(tuán)，所有的外賣、快遞行業(yè)都是固定分片配送，一個(gè)外賣騎士最多能接觸到上千個(gè)外賣客戶的信息，這些用戶信息即使都賣出去，也賣不了多少錢。（幾百元對于月收入七八千的騎士工資，并不具備吸引力，而且很容易被公司查獲）但也不排除有某些利欲熏心的騎士，連這點(diǎn)錢都要賺。

　　其次是黑客利用技術(shù)手段獲取。在過去幾年中，美團(tuán)曾經(jīng)多次爆出過網(wǎng)站漏洞，如果這些漏洞被黑客利用，則可能帶來大量用戶資料外泄。

　　除了內(nèi)鬼和黑客之外，有一些規(guī)則上的疏忽也可能帶來隱患。

　　例如新京報(bào)報(bào)道中提到的“代運(yùn)營公司用爬蟲收集商戶信息”，報(bào)道中的覃某表示，自己可以獲得的信息包括“姓名、性別、電話、地址，訂餐次數(shù)都有，但具體能有多少條我要查一下才知道”，報(bào)價(jià)5毛一條。

　　安全專家李先生表示，目前不少美團(tuán)商戶使用了代運(yùn)營公司，但代運(yùn)營公司對其代運(yùn)營數(shù)據(jù)的獲取是無限制的，你把店鋪交給人家運(yùn)營，那你所有的訂單信息、用戶資料都是透明的，如果像報(bào)道中提到的用爬蟲類軟件批量獲取，那暗藏的風(fēng)險(xiǎn)就會(huì)更大，不僅是報(bào)道里提到的用于營銷目的，實(shí)際上還可以用于更惡劣的用途。

　　個(gè)人隱私泄露之后：詐騙多發(fā)，數(shù)據(jù)外泄是黑產(chǎn)“原油”

　　新京報(bào)的報(bào)道中，對于購買數(shù)據(jù)的過程描述的很詳細(xì)，對于數(shù)據(jù)泄露之后的后果描述甚少。就這個(gè)問題請教了專家，專家表示，類似美團(tuán)外泄這樣的數(shù)據(jù)，是黑產(chǎn)界的“原油”，通過這些數(shù)據(jù)，可以衍生出很多安全問題。

　　比如最簡單的是，是廣告電話騷擾，你買了紙尿褲，一堆賣嬰兒用品的商家煩你；買了機(jī)油，就有一大堆汽車后服務(wù)、賣二手車的商家煩你，其令人厭煩程度，無需我多說。

　　更為進(jìn)一步的是，針對成年人的性用品傳銷、針對老年人的保健品騙局，其騙局開端，都是各個(gè)電商網(wǎng)站外泄的用戶購物行為數(shù)據(jù)。

　　2016年9月徐玉玉案之后，人民網(wǎng)曾經(jīng)報(bào)道，股民老張只要一從事股票交易，幾分鐘內(nèi)就有詐騙電話打進(jìn)來，騙子了解他交易的股票類型和數(shù)量，明顯是有備而來。

　　類似這樣的案例被媒體報(bào)道多起，只要大型電商公司的數(shù)據(jù)外泄，總會(huì)有各種詐騙案件出現(xiàn)。

　　專家支招，如何防止數(shù)據(jù)外泄

　　安全專家表示，像美團(tuán)這樣的大型公司，應(yīng)該把保護(hù)用戶隱私放在首位，用戶的數(shù)據(jù)放在你的網(wǎng)站上，其實(shí)是用戶賦予的莫大信任。

　　但嚴(yán)酷的現(xiàn)實(shí)是，包括美團(tuán)在內(nèi)的很多網(wǎng)站無論是硬件安全措施，還是軟件規(guī)則，都存在種種不足之處，在這種情況底下，專家建議：

　　1、盡量不要賦予類似的電商網(wǎng)站過多權(quán)限，不要透露太多個(gè)人信息。例如，點(diǎn)外賣的時(shí)候，完全可以用“王先生、李先生”這樣的化名下單，這樣既不影響外賣的正常收取，也不會(huì)透露太多個(gè)人信息。

　　2、如果遇到可疑的安全事件，一定要第一時(shí)間報(bào)警，不要姑息。在中國裁判文書網(wǎng)上發(fā)現(xiàn)，有人在網(wǎng)上購買1條外賣地址、900多條用戶信息，就被法院判處7個(gè)月徒刑。

　　3、對于美團(tuán)這樣的公司來講，一定要對隱私泄露提起足夠重視，不要試圖掩蓋和敷衍，一定要追查到底。

     2898站長資源平臺(tái)網(wǎng)站排行榜：http://www.afrimangol.com/ranklist.htm