比“用戶隱私被賣”更惡劣，美團銷售主管竊取商戶信息獲刑

　　比“用戶隱私被賣”更惡劣，美團銷售主管竊取商戶信息獲刑。有媒體爆出網(wǎng)上可買到美團外賣的客戶資料，包含電話姓名、訂餐地址在內(nèi)的隱私資料，每條價格不到1毛錢。根據(jù)記者調(diào)查，報價最低的甚至可以到1萬條個人隱私僅需800元。

　　在記者購買這些隱私的過程中，“商家”不但沒問其購買用途，還向其炫耀自己資料的真實性、可靠性，“數(shù)據(jù)是由美團系統(tǒng)內(nèi)部人員提取的，每天更新4萬條左右，每天中午更新一次，晚上就能賣完”。

　　這些數(shù)據(jù)是怎么來的，是用戶無意間泄露的，還是美團公司有內(nèi)鬼？內(nèi)鬼的權(quán)限有多高，我們在美團訂餐還安全嗎？我們應(yīng)該怎么保護自己的隱私？

　　針對這些網(wǎng)友關(guān)心的問題，展開了調(diào)查。

　　90后“內(nèi)鬼”做到美團銷售主管 去年底已被判刑

　　在中國裁判文書網(wǎng)上進行搜索，發(fā)現(xiàn)今年3月份剛剛公布的判例：

　　廣東省陽江市江城區(qū)人民檢察院于2017年11月，對被告人方某、藍某提起起訴。方某出生于1992年，在犯案前任職于互誠信息技術(shù)公司，職位為陽江地區(qū)銷售主管。互誠信息是原美團網(wǎng)和大眾點評合并之后注冊的法律實體，可以被認為是法律意義上的“美團網(wǎng)”。

　　起訴書指控，被告人方某為了個人目的，想獲取陽江及廣州地區(qū)的美團大眾點評網(wǎng)（下文簡稱美團）商戶信息，于是利用自己是銷售主管的工作之便，將自己的登陸賬號和密碼交給藍某，指使藍某竊取美團公司的商戶信息。

　　被告人藍某通過方某的美團賬號密碼，登陸公司內(nèi)網(wǎng)盤古、apollo系統(tǒng)，利用自己編寫的程序大量獲取系統(tǒng)中的商戶個人信息，竊取包括姓名、聯(lián)系方式、地址在內(nèi)的敏感信息。

　　竊取行為自7月27日開始至8月2日，持續(xù)約7天，兩被告獲取大量商戶機密資料。由于案發(fā)時間較短，兩人還未來得及出售或轉(zhuǎn)移，即被民警控制。

　　12月1日，法院宣判，因為侵犯公民個人信息罪，方某被判6個月有期徒刑，緩刑一年；藍某被判7個月有期徒刑，緩刑一年。

　　讓我覺得詭異的是，自該判決書3月22日公開，到現(xiàn)在整整一個月，向來嗅覺靈敏的媒體居然沒有爆出任何消息。（原因如何，我不敢瞎說）

　　專家解析報道：美團資料外泄有兩種主要途徑

　　就新京報的深度報道，采訪了個人隱私方面的安全專家李先生，李先生表示：從目前黑產(chǎn)行業(yè)流傳的個人信息來源看，主要來自“內(nèi)鬼違規(guī)泄露”和“黑客技術(shù)獲取”兩條路徑。

　　首先是內(nèi)鬼泄露，以新京報的報道為例，要想達到“每天更新4萬條、每天中午更新”這種量級和頻率，只有掌握美團系統(tǒng)較高權(quán)限的內(nèi)部員工（高級內(nèi)鬼），才能做到這種效果。如果是黑客攻擊，即使是嚴重漏洞，也僅僅可能一次獲取大量數(shù)據(jù)，不可能做到定期更新。（因為不可能每天黑客都去攻擊一次，這樣太容易被發(fā)現(xiàn)了）

　　至于報道里提到的“外賣騎士出售”，李先生認為這種情況有，但可能性不大，也就是偶發(fā)現(xiàn)象。因為不單是美團，所有的外賣、快遞行業(yè)都是固定分片配送，一個外賣騎士最多能接觸到上千個外賣客戶的信息，這些用戶信息即使都賣出去，也賣不了多少錢。（幾百元對于月收入七八千的騎士工資，并不具備吸引力，而且很容易被公司查獲）但也不排除有某些利欲熏心的騎士，連這點錢都要賺。

　　其次是黑客利用技術(shù)手段獲取。在過去幾年中，美團曾經(jīng)多次爆出過網(wǎng)站漏洞，如果這些漏洞被黑客利用，則可能帶來大量用戶資料外泄。

　　除了內(nèi)鬼和黑客之外，有一些規(guī)則上的疏忽也可能帶來隱患。

　　例如新京報報道中提到的“代運營公司用爬蟲收集商戶信息”，報道中的覃某表示，自己可以獲得的信息包括“姓名、性別、電話、地址，訂餐次數(shù)都有，但具體能有多少條我要查一下才知道”，報價5毛一條。

　　安全專家李先生表示，目前不少美團商戶使用了代運營公司，但代運營公司對其代運營數(shù)據(jù)的獲取是無限制的，你把店鋪交給人家運營，那你所有的訂單信息、用戶資料都是透明的，如果像報道中提到的用爬蟲類軟件批量獲取，那暗藏的風險就會更大，不僅是報道里提到的用于營銷目的，實際上還可以用于更惡劣的用途。

　　個人隱私泄露之后：詐騙多發(fā)，數(shù)據(jù)外泄是黑產(chǎn)“原油”

　　新京報的報道中，對于購買數(shù)據(jù)的過程描述的很詳細，對于數(shù)據(jù)泄露之后的后果描述甚少。就這個問題請教了專家，專家表示，類似美團外泄這樣的數(shù)據(jù)，是黑產(chǎn)界的“原油”，通過這些數(shù)據(jù)，可以衍生出很多安全問題。

　　比如最簡單的是，是廣告電話騷擾，你買了紙尿褲，一堆賣嬰兒用品的商家煩你；買了機油，就有一大堆汽車后服務(wù)、賣二手車的商家煩你，其令人厭煩程度，無需我多說。

　　更為進一步的是，針對成年人的性用品傳銷、針對老年人的保健品騙局，其騙局開端，都是各個電商網(wǎng)站外泄的用戶購物行為數(shù)據(jù)。

　　2016年9月徐玉玉案之后，人民網(wǎng)曾經(jīng)報道，股民老張只要一從事股票交易，幾分鐘內(nèi)就有詐騙電話打進來，騙子了解他交易的股票類型和數(shù)量，明顯是有備而來。

　　類似這樣的案例被媒體報道多起，只要大型電商公司的數(shù)據(jù)外泄，總會有各種詐騙案件出現(xiàn)。

　　專家支招，如何防止數(shù)據(jù)外泄

　　安全專家表示，像美團這樣的大型公司，應(yīng)該把保護用戶隱私放在首位，用戶的數(shù)據(jù)放在你的網(wǎng)站上，其實是用戶賦予的莫大信任。

　　但嚴酷的現(xiàn)實是，包括美團在內(nèi)的很多網(wǎng)站無論是硬件安全措施，還是軟件規(guī)則，都存在種種不足之處，在這種情況底下，專家建議：

　　1、盡量不要賦予類似的電商網(wǎng)站過多權(quán)限，不要透露太多個人信息。例如，點外賣的時候，完全可以用“王先生、李先生”這樣的化名下單，這樣既不影響外賣的正常收取，也不會透露太多個人信息。

　　2、如果遇到可疑的安全事件，一定要第一時間報警，不要姑息。在中國裁判文書網(wǎng)上發(fā)現(xiàn)，有人在網(wǎng)上購買1條外賣地址、900多條用戶信息，就被法院判處7個月徒刑。

　　3、對于美團這樣的公司來講，一定要對隱私泄露提起足夠重視，不要試圖掩蓋和敷衍，一定要追查到底。

     2898站長資源平臺網(wǎng)站排行榜：http://www.afrimangol.com/ranklist.htm