圆通内鬼泄露40万条客户信息!公司担什么责?
2020-11-18 12:06 来自:成都商报红星新闻
昨日,有媒体报道称,邯郸警方在近期的一起部督案件中,发现不法分子与圆通速递多个“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。知情人士透露,此次被泄露的信息数量超过40万条。
11月17日早间,圆通速递回应称,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案,相关犯罪嫌疑人于9月落网。更多案件信息以公安机关披露的为准。
圆通速递称,对于此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。同时,也会着力提升加盟公司的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为。
律师表示,即使倒卖信息主体是员工,但快递公司因保管客户信息不当,管理不严而存在连带责任,信息被泄露的用户可向快递公司提出民事赔偿要求。
受用户信息被倒卖事件影响,圆通速递今日开盘急跌2.28%,不过其股价随后拉升。11月17日收报13元/股,上涨2.12%,总市值为410.78亿元。
邯郸警方:
公民信息每条1元
涉案金额120万余元
近日,在由邯郸市公安局反诈中心联合邯郸市永年区公安局成立的专案组近期侦办的一起部督案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。
红星资本局获悉,该非法获取、贩卖公民个人信息团伙的五个层级结构:嫌疑人马某杰雇佣张某行、高某桥,以每日500元的费用租用圆通内部员工系统账号,团伙成员郭某、杜某龙通过登录租用赵某星等人的系统账号进入物流系统,导出快递信息,团伙成员朱某钊把窃取的快递信息进行整理后交给同伙吕某硕,吕某硕通过微信、QQ等方式将信息卖到全国及东南亚等电信诈骗高发区。
警方称,涉案嫌疑人涉及河北、河南、山东等全国多个省市,造成1300余万条公民的个人信息泄露,涉案金额120余万元。
据悉,涉案的五位圆通员工分别处于邯郸地区的永年、鸡泽、武安以及邢台地区的隆尧、沙河,每个地区各有一位涉案人员,被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。据马某杰供述,他将收集到的信息打包卖出,每条信息单价约为1元。
邯郸市公安局网安支队联合永年网安大队、刑警大队成立专案组展开侦查,兵分三路至邢台市沙河市某乡村、沙河市某居民小区、河南省中牟县某村镇,于9月7日一举将嫌疑人张某行、高某桥、马某杰抓获。目前,该案还在进一步侦办中。
圆通回应:
7月监测后主动报案
犯罪嫌疑人9月落网
11月17日早间,圆通通过官方微博回应称,今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。
调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案,并全力配合调查。相关犯罪嫌疑人于9月落网。更多关于此案件的信息,以公安机关披露的为准。
圆通速递称,对此案件暴露的问题深表歉意。公司将持续通过“制度+技术”手段,完善信息安全风控系统,对内部账号进行实时监控,主动发现违法违规行为。同时,着力提升加盟网点的依法经营意识和信息安全意识,并更好配合公安机关,严厉打击涉及用户信息安全的违法行为。圆通还公布了邮箱和电话供社会广大人员监督。
这不是圆通第一次遭遇客户信息泄露,快递行业也不只圆通一家出现类似的事故。
2012年11月,有媒体报道称,包括申通、圆通、中通等多家快递公司的快递单号的信息被大面积泄露,单号被放到网上公开售卖,价格从0.4到2元不等。贩卖单号的网站同时提供各快递公司空白底单并赠送复写纸。
2013年10月,有媒体曝光,近百万条圆通快递单个人信息不仅可在网络上购买到,单号数据信息还能24小时刷新。
2018年7月至2019年5月,被告人李某程利用爬虫软件从圆通速递公司网站非法窃取圆通速递公司快递催收件和丢失件等问题快件信息,卖给案外人林某健(因犯侵犯公民个人信息罪,已被福建省龙岩市新罗区法院判决),非法获利人民币100万余元。
发现员工账号异常操作
风控平台自动告警
圆通表示,这个案件最先是由信息安全风控系统发现了异常。
圆通相关负责人向红星资本局介绍,信息安全风控平台对信息系统的各类操作进行常态化监控,及时发现各类违规行为,主动预警可能的信息泄露事件。比如用户行为分析预警,对员工操作行为进行多维度画像,通过动态行为分析及时对可能存在的风险进行预警;风险告警和阻断,自动监控各类信息系统中的高风险行为,根据自定义规则及时对风险行为进行告警,同时对存在的高风险行为进行风险告警并自动进行阻断等,“本次的安全事件即为风控平台主动发现员工账号存在异常操作后自动告警处理。”
制度方面,圆通成立了专门的信息安全部门,设立系统安全员、网络安全员、安全管理员等岗位,关键岗位实行A、B 岗制度。圆通制定了信息安全组织管理办法、客户信息安全管理制度、信息安全事件管理规定等;投入大量人力逐步完善内部合规建设,包括信息安全管理办法和客户隐私保护相关法律法规内容;内部建立了纪律监督小组,对外聘请了专业的战略合作伙伴,严格把好客户信息的加密、审计和防御。此外还在地方公安、网安的协助下,逐步优化和完善信息安全制度、流程。
律师:
保管客户信息不当
快递公司应被追责
关注网络信息安全多年的王晓影律师向红星资本局表示,如果消费者的个人信息通过快递单号的途径泄露出去,消费者可以向快递公司提起诉讼,要求赔偿。
消费者至少有两个主体可以控告,一是倒卖快递单号和个人信息的快递公司员工。《中华人民共和国刑法》第二百五十三条规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
此外,即使倒卖信息主体是员工,但快递公司因保管客户信息不当,管理不严而存在连带责任,也将会被告上法庭。因快递公司对客户的个人信息有保密责任,按照合同法,泄密将会被追究责任。
邹辉律师表示,用户收发快递必须实名制,快递公司必须严格保护公民个人信息。《民法典》设立专章规范隐私权和个人信息保护,《刑法修正案》增加“侵犯公民个人信息罪”等罪名,《网络安全法》确立个人信息保护的原则,《消费者权益保护法》明确“商品和服务提供者”对消费者个人信息的保护义务。根据相关法律,信息被泄露的用户可向快递公司提出民事赔偿要求。
(记者 吴丹若)