45亿条个人信息疑似泄露 电商物流行业数据安全警钟再次敲响

【环球网科技报道记者林】2月12日晚，Telegram各大频道突然大面积转发一个隐私查询机器人的链接。根据网上的消息，该机器人在中国泄露了45亿条个人信息，怀疑是电子商务或快递物流行业的数据。泄露的信息包括真实姓名、电话和地址，数据高达435GB。

随着消息的发酵，2月15日“快递股”集体崩盘，大云、顺丰均跌停，其中YTO快递一度下跌近7%。

童渊对此回应称，“‘疑似45亿信息泄露’与公司无关，公司生产经营一切正常。”但网友并不买账。不少网友表示，“是不是跟公司和个人有关？”“现在网络这么发达，隐私在哪里？”“快递信息确实需要加强。”

快递、电商行业成为信息和数据泄露的重灾区。

事实上，快递和电商行业已经不止一次发生信息泄露事件。据邯郸警方介绍，早在2020年7月，河北YTO快递有限公司内部员工与外部不法分子勾结，利用员工账号和第三方非法工具窃取运单信息，导致40万条个人信息泄露。随后，“童渊员工租售账号泄露40万条个人信息”等相关话题引发网友热议。

近年来，电话运营商的发展带动了快递业务的不断增长。据国家邮政局统计，早在去年年底，我国日均快递业务量就超过了3亿件。因此，收集了完整个人信息的快递、电商行业也成为信息数据泄露的“重灾区”。

永安在线监测的数据显示，2022年1月的数据泄露事件中，快递物流行业占比最高，达到52.3%。2022年“双十一”、“双十二”电商促销期间，物流行业数据泄露事件明显增多。

数以亿计的快递数据和信息给个人信息的保护带来了严峻的挑战。吕蒙技术数据安全专家陈怀远表示，电子商务和快递行业的业务运营涉及大量高价值的个人信息，包括姓名、电话号码和地址，因此是黑客和黑灰团伙的重点目标。

内部人员是电商、快递行业信息泄露的重要来源。北京数字认证有限公司研究院院长夏鲁宁认为，“不法分子可能通过利益的诱惑，诱使内部人员违规出售个人数据。也可以采取更低的技术门槛：按照‘计件’支付方式，雇佣社工直接从废弃的快递包装中收集个人信息。”

“同时，电商和快递行业需要连接大量的第三方合作伙伴和终端用户。互联网出口多，自身网络安全环境、员工安全意识、安全技术手段都存在很大的漏洞和不足，容易受到黑客攻击、社会人员攻击、内部员工攻击。泄露，或者合伙人的信息泄露。”陈怀远补充道。

外部网络攻击，内部员工，数据流通都会造成信息泄露。

在数字经济时代，随着网络的全连接和攻击技术的不断更新，可获得的信息种类和数量与日俱增，个人信息泄露成为一种常见且不可避免的风险。根据CCID智库的数据，世界上几乎所有的数据泄露都涉及个人信息。在全球71起数据泄露事件中，68起涉及个人信息，姓名、联系方式等身份信息普遍泄露，超过48亿条个人信息被泄露。

由此可见，在严峻的安全形式威胁下，网络安全已经成为了“紧箍咒”

目前，信息泄露的方式很多，在信息存储和流通过程中存在泄露风险。我知道于闯安全专家表示，快递、电商行业个人信息泄露主要有三种方式，外部网络攻击、内部员工泄露、数据流通泄露。

比如外网攻击，可能存在对API(应用程序接口)的爬虫攻击，平台植入木马，攻击者利用漏洞拖拽撞库，企业数据库被攻破。内部员工泄露可能是公司“内鬼”与外部不法分子勾结，利用员工账号、当面照片等手段窃取运单信息进行非法交易获利。

“在数据流通过程中，企业在与合作伙伴沟通时未能采取数据加密等技术措施确保安全，或者未能对合作伙伴的数据使用行为采取必要的控制和监督等措施，也会导致信息泄露。”了解于闯安全的专家说。

对于个人来说，信息泄露的背后是与个人生活息息相关的风险。“为了一条个人信息，会利用电信诈骗、非法广告推广等犯罪手段大规模行骗。虽然成功率不高，但是基数巨大，也使得大量的人上当受骗。”夏鲁宁说。

个人信息泄露到一定规模和数量后，个人信息的收集和利用也会形成一个巨大的“黑市”。明知于闯安全专家认为“犯罪分子可以利用个人信息进行非法活动。将获取的个人信息出售给个人或公司，应用于非法渠道获取高额利润，如房产租售、小贷金融、教育培训、电话营销、培训网络水军等。”

“黑灰产”高一尺，防线高一丈。

面对日益复杂的数据安全形势，我国先后实施了《网络安全法》《数据安全法》755“三驾马车”，构成了我国数据安全领域完整的基本法律体系。对于存储用户个人信息的企业来说，将数据安全管控与业务流程相结合，确保数据在各种使用场景下的合规使用和流转，变得越来越重要。

在当前网络全连接、攻击技术不断更新的情况下，“黑灰产”高一尺，防线就高一丈。知道于闯安全专家认为，作为信息泄露的“重灾区”，快递和电商企业应该从技术和人文层面不断完善对用户个人信息的安全措施。

比如在防范网络攻击方面，我知道于闯安全专家建议“可以不断升级技术手段，在爬虫攻击、木马植入、漏洞攻击等方面加强防护。同时，加快‘隐私单’、虚拟号码等技术的全面推广，最大程度保护个人信息。”

“内部员工泄密”事件也让相关企业有了一定的警惕，在防止内部人员泄密方面继续加强管控。正如于闯安全专家提到的，“要加强对员工的教育培训，强化保护用户信息的意识，提高员工保护用户信息的能力，规范人员严格按照标准流程开展操作。”

此外，当信息被买卖时，用户的个人生活也会受到影响，甚至带来人身、经济和精神上的威胁和损失。陈怀远认为，除了相关企业要保证信息安全，用户也要加强个人信息保护意识，不要轻易泄露个人信息。如钓鱼网站、上网调、抽奖、发布朋友圈、旧手机数据清除等。同时，一旦发生个人信息泄露，及时向泄露单位提起诉讼，要求赔偿。