申通被曝信息安全漏洞 黑客借此窃取3万多客户信息

编辑:站酷工作室 发布于2018-09-18 12:03

申通被曝出的13个信息安全漏洞

  漏洞标题: 国内快递行业某个疑似通用软件配置不当引发大量信息泄露(目前测试五个快递公司)

  危害等级: 高

  漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

  上月,国务院法制办就《快递条例》向社会征求意见。其中要求,快递企业应建立电子数据管理制度,确保用户信息安全。发生或者可能发生用户信息泄露、毁损、丢失的情况时,快递企业应当立即采取补救措施。违反上述规定的,处1万元以上5万元以下的罚款。

  你个人信息安全吗?

  黑客利用申通快递公司的管理系统漏洞,侵入该公司服务器,非法获取了3万余条个人信息,之后非法出售。审查此案的上海市青浦区检察院检察官告诉《法制晚报》记者,买这些信息的人,多数是为了行骗。

  据检察官透露,黑客是看到著名安全网“乌云网”公布的申通公司系统漏洞后作案的。

  记者随后搜索“乌云网”发现,2013年以来,该网站至少公布了申通公司与信息泄露隐患有关的漏洞报告13篇,涉及系统弱口令、服务器目录、管理后台、快递短信等各个方面,其中9份报告被标注的危害等级为“高”。

  案件详情 3个月窃3万余条客户信息

  根据上海市青浦区检察院指控,2014年9月至11月,鞠某为非法牟利,利用申通K8速运管理系统漏洞,非法侵入申通快递有限公司服务器,下载包含公民个人信息的快递面单信息3万余条。后通过网络出售给他人,非法获利3万余元。

  其中,2014年9月,任某在鞠某的安排下,利用申通K8速运管理系统漏洞非法侵入申通快递有限公司服务器,下载包含公民个人信息的快递面单信息2000余条并提供给鞠某。后鞠某通过网络将信息出售给他人,并向任某支付报酬2000余元。

  经过审理,上海市青浦区法院认定了检方指控的事实。2015年4月2日,法院以非法获取公民个人信息罪判处鞠某有期徒刑7个月,并处罚金1万元;8月24日,法院以同样的罪名判处任某拘役4个月,并处罚金4000元。

  QQ群公开叫卖被申通发现

  日前,上海市青浦区检察院承办案件的检察官乔青接受了《法制晚报》记者采访。

  “任某是鞠某的亲戚,他不懂电脑技术,主要是给鞠某打下手。入侵服务器拿回的信息都是一张一张的图片,任某帮鞠某把图片上的信息,一条一条输到表格里。”

  “任某整理好申通公司的客户信息后,以QQ群为平台,在群里公开叫卖,每条信息一块钱。现在有很多专门卖个人信息的QQ群,卖家买家都在这个平台出价、付款、收货。”乔青介绍说,这是任某第一次作案,没想到找到的买家竟然是潜伏在QQ群里的申通快递法务人员。

  “申通的法务人员发现任某在卖申通公司的信息后,向公安机关报案,并提交了付款等图片证据。”检察官说。

  买卖个人信息多为了诈骗

  据检察员乔青介绍,“我们青浦区(检察院)每年都会办理大量快递公司信息泄露的案件。因为国内五家大的快递公司,包括申通、中通、圆通、韵达、顺丰都设在上海青浦区。”

  乔青说,这些个人信息泄露案件中,购买信息的买家各不相同。

  “买这些信息,多半回去是为了诈骗。比如,买了个人信息,他们会知道你买的是哪家购物网站的什么东西,之后会冒充这家网站的客服行骗,这时候对受害者讲的内容会更有信服力。”乔青说。

  除骗子之外,还有一些人非法购买大量个人信息,是为了再转手将信息卖给别人,从中赚差价。

  “第一手卖出的价格,大约是一块钱一条。经过层层加价,转到最后的买家手里,价格会涨到两三块钱一条。”乔青说。

  延伸采访 嫌犯看到网曝漏洞才下手

  乔青告诉记者,审查案件过程中,检察官发现,任某、鞠某之所以选申通K8速运管理系统下手,并得以利用其漏洞,是因为在“乌云网”上看到了公布出来的申通公司的系统漏洞。

  “乌云网”成立于2010年5月,创始人为百度前安全专家方小顿——一位出生于1987年的国内知名黑客。方小顿联合几位安全界人士成立“乌云网”,目标是成为“自由平等”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考。

  据不完全统计,“乌云网”公布的安全漏洞达77848个。一位IT技术员表示:“如果黑客对‘乌云网’公布的漏洞有兴趣,那么只要知道企业名字和大概漏洞消息源头,侵入这个企业,不是难事。”

  报告详述了破解申通步骤