新金融记者 王钰
导语:近日,圆通[微博]速递泄露百万客户信息单事件持续发酵。表面上,快递企业内部大力彻查,但背地里,快件单号却依旧在网上隐秘交易。大数据时代,信息安全本就岌岌可危,而令人最为不安的问题是,到底是谁在买卖快件单号?
信息仍在倒卖
“今后圆通暂停!主打中通单号。”某家快件信息倒卖网站首页中赫然显示这样的告示。
10月22日,圆通速递被爆出近百万条快件客户信息在网上公开出售。此消息一出,口诛笔伐之声一片。
圆通速递在第一时间发布致歉声明,并迅速向公安部门报案。随后,企业内部展开了全网自查自纠工作,并设立举报热线。
24日下午,圆通方面称,倒卖快件单号的不法网站已全部关停;到25日凌晨,公司内部发现的信息安全漏洞已经堵住。“同撑信息安全的保护伞,共做信息泄露的防火墙。”圆通速递新闻部发言人周晔告诉新金融记者,这样的横幅标语代表了圆通总部的决心。
然而,即便圆通速递泄露信息事件过去已有10天,但新金融记者调查发现,快件信息倒卖却依旧处在“进行时”。
11月1日下午,新金融记者在这家自称“号量巨大、行业第一无人敢称第二”的网站中看到,圆通的快件单仍在“火热”地交易中。
根据网站显示,可供售卖的快递单号每10分钟实时更新一次。在单号大厅中,只要选择收发货的省份和城市,就可以检索到想要购买单号的地址,地域几乎涵盖全国所有的省市。
新金融记者以“顾客”的身份联系这家网站的客服,尝试购买单号,被告知,“单号从每天10点半开始陆续更新,如果想要批量购买快递单号,建议每天16点以后购买,这样的话单子会比较多,而今后主打的是中通单号。中通的渠道单子可能没圆通的多,不过请客户放心,我们日后会陆续合作新的渠道。”
很明显,近日圆通信息单事件被曝光后,圆通单号少了许多。
新金融记者注意到,仅11月1日当天更新的单号总量就达到38000千余条,高峰时期网站的单号量甚至可以达到4万条以上。目前这家网站合作的渠道包括圆通、中通和申通[微博]。
不仅如此,这家网站的业务开展得还很有“规模”且分工明确。
针对交易量巨大的业务,该网站专门设有“机器人客服”、“人工客服”和“代理商接待客服”来处理顾客的咨询和疑问,并在网站底部列有各自的QQ联系方式。
诸如单号价格、如何充值、购买单号如何使用及注意事项、底单申诉等问题,分别发送序号1-11,“客服机器人”便会逐一予以回复。同时还可以转接“人工客服”,新金融记者随即与之联系,但对方显得异常忙碌,等了很久才得到回复。
“目前网站流量非常大,时不时地会卡,因为市面上现在几乎已经没单号卖了,所以网站流量近来暴涨,客服QQ几乎接近崩溃的边缘,如需加入代理的,请充值100元联系我们的代理商客服接待,我们会尽量在3小时内回复您的消息。”人工客服对迟迟才回复“顾客”表示歉意。
新金融记者还被告知,如果想看到具体单号信息,必须要先在自助充值系统里面充钱,最低额为5元,待钱入账到网站指定的支付宝[微博]账户后,就可以成为普通级别的会员进行单号购买了,每个单号的价格为0.8元。
如果一次性充值100元,就可以获得“代理商权限”, 购买单号仅需要0.3元一单,其余还能获得诸多免费“专享福利”,诸如:送群发机,送推广教材,获得为代理商编写好的广告语等。
网站客服推荐新金融记者成为代理商,并发展“下线会员”,并承诺,“只要您向网站推荐了一个客户,这个客户注册后并进行充值,我们会按照您下线会员充值金额的50%对您进行返款,款项会在三天之内给您结算到支付宝中。”
“我们送的群发机可以支持您在各类淘宝群中自动群发广告,并生成您自己的专属推荐链接,凡是通过这个链接注册到我们网站的客户,都属于您的下线会员,网站系统会自动统计您的下线数量,对您返款,月入几千元非常轻松。”客服人员对新金融记者表示。
谁在买卖
新金融记者购买了一条圆通的单号。随即,系统内自动显示出该单号的一系列信息,包括:收货人和发货人的具体地址、预计发货时间、购买单号时间。
之后,记者又收到使用提示:买到单号以后,必须先检查单号是否扫描,如有扫描的请直接在网站中举报,举报后您会收到退款。同时,记者看到网站会自动链接到一个名叫“快递100”的网站,用于检查该单号是否已经被快递公司扫描发货。
按照正常程序,在淘宝上的网购客户下单-付款-生成商品订单-卖家选择快递公司发货-生成快递单号。快递单号是在实际购买行为发生之后才能产生的,快递公司会对每一票货物生成的单号进行录入扫描,随之产生纸质的快件面单,再由快递公司派送包裹。
“快递企业参照国家邮政局的规定,扫描和录入快递信息,目的在于保证邮件的安全,以备安全机关有据可查。”申通的一位负责人告诉新金融记者,快递面单通常会有4-5联,收货人手中有一联,业务员手上的那联要交回公司统一保管。快递公司一般专门设有仓库保管回收的快递面单,由于数量太大,面单会在一定期限内到当地的监管部门或安全部门集中销毁,时间通常是半年以上。
“有些小的快递公司,为了节省成本甚至不录入扫描快递底单。也就是说,一些小快递公司内部甚至没有保存完整的客户信息数据库。”
“即使是有大规模的客户信息数据的企业,在快递公司内部,谁如果想要使用、查看数据,也是要经过授权和审批的。按照规定,使用人要写明使用目的、查看范围,再由信息部门的领导和董事长审批,这样做是为了保证客户信息被严密监控,不至于大规模泄露。”申通人士进一步说道。
对圆通快递单号大面积泄露一事,周晔对新金融记者表示:“泄露出去的人,应该是能够批量接触到信息的人。”
在很多业内人士看来,一个普通的快递员,即使是出于职业操守不良而贩卖快递信息,其每天接触到的信息单量也就在几百票,不太有可能如此及时迅速地进行大量的更新和倒卖。圆通方面发表声明称,已经初步锁定公司内部个别员工与网络不法分子共同倒卖快递单号的不法行为。
既然如此,人们不禁要问,网上目前还在大规模倒卖的快递单号是从何而来?又是谁仍在继续从事信息买卖?
新金融记者从上述网站客服处得知,目前90%的淘宝店家都存在为争信誉的“刷钻”行为。因此,交易量是淘宝评定店家信誉的一个重要指标,为了能多刷钻,卖家的发货记录成为众多淘宝电商“下功夫”的对象。
很明显,淘宝上的“刷钻店家”,以及各类“代理贩子”是这类售卖快递单号网站的最大客户。
“淘宝上的订单,往往看到的买家信息就是一串英文字母或数字,消费者下单时候填写的用户信息与快递单上的真实信息并非完全一致。因此淘宝很难去逐一核对快递的收货人信息、地址与订单上是否吻合。很多商家可以利用网上买来的订单,修改地址,制造虚假交易的情况。” 在中国互联网协会信用评价中心法律顾问赵占领看来,淘宝的信用评价和交易体系的漏洞给各类不法分子以可乘之机。
正是如此,才有了新金融记者在上述售卖单号的网站中遇到的情形。作为“淘宝商家”,买来的单号在快递公司进行扫描、真正发货之前才能使用,以便根据需要自行修改订单上发货地址、发货时间。也就是说,一旦单号被快递公司扫描、发货以后,他人的快递单号,将不再能成为“自己的交易订单”。
“快递单有电子面单和纸质面单,事实上,淘宝上的大量电子面单在到我们快递环节之前就已经泄露出去了,这个比例还是很大的。”周晔对新金融记者“吐槽”道。
对此,赵占领表示,虽然没有具体的统计数据,但目前国内倒卖快递信息的网站俨然已成为一类“灰色产业”。据相关媒体报道,专门从事快递单号倒卖的网站和QQ群数以百计,至少形成了百万以上的产业。
这类网站往往有专业团伙运作,没有经营性网站备案号和许可证,而是采用国际域名注册,租用境外服务器。因此,国内域名管理制度很难查到其真正控制人,最多也只是通过防火墙屏蔽。其运营成本仅在几千元左右,但由于售卖的快递信息海量,牟利巨大。
“除了淘宝个体电商,一些数据挖掘公司也会大量购买这些快递单号数据。他们会根据快递单上的住址、购买产品类型来分析不同地域客户的产品偏好,用于商业挖掘、精准营销和广告推送服务。”赵占领对新金融记者表示。
“有人买才有人卖”
赵占领进一步指出,上述商业机构网上买信息的行为,涉及非法获取个人信息,会构成犯罪;利用买来的个人信息发送商业性广告,也构成对别人生活安全权的侵犯。
根据中华人民共和国交通运输部2013 年第1号令中通过的《快递市场管理办法》中第二十七、二十八条规定:经营快递业务的企业和从业人员不得违法提供从事快递服务过程中知悉的用户信息。
“如果是圆通公司内部员工倒卖客户信息给第三方的行为,就涉及非法提供个人信息犯罪,应追究刑事责任。快递公司有义务对掌握的客户信息进行保密,保证信息不能丢失损毁,客户与快递企业存在合同关系,虽不是故意泄露个人信息,但由于公司监管、技术上的漏洞,快递企业也要承担相应的违约责任。”赵占领说道。
快递咨询网首席顾问徐勇在接受新金融记者采访时表示,此次圆通泄露客户信息事件引起社会高度关注,警示意义重大。事件原因有多方面,如果是信息系统存在缺陷,被黑客攻击抓取数据,快递公司和电商都要自查,加强防火墙设置,责任和骂名加在任何一方都有失公允;公安和法律部门也要加强制定立案和量刑的标准,不能再出现以往抓到个人小量贩卖快递信息,因情节轻微、证据不足、无法量刑就无故释放的情况;网站监管、全社会的诚信体系也要建立起来。
“各方面都要去查、严厉打击、公布于众,不仅是贩卖信息的人,更要去查谁在大量买信息,有人买才有人敢卖。”徐勇表示。