随着消息的发酵,“快递股”在2月15日集体出现闪崩,韵达、顺丰等均出现下跌,其中圆通速递跌幅一度近7%。
圆通方面对此事回应称,“疑似45亿条信息泄露’与公司无关,公司生产经营一切正常。”但网友并不买账,不少网友表示,“与公司无关难道与个人有关吗?”“现在的网络这么发达,哪里还有隐私”“快递信息真的要加强管控了”。
快递、电商行业成为当前信息数据泄露“重灾区”
事实上,快递、电商行业出现信息泄露事件不止这一次。据邯郸警方消息,早在2020年7月,圆通速递有限公司河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露。随后,“圆通员工租售账号导致40万条个人信息泄露”等相关话题引发网民热议。
近年来电商的发展致使快递业务量不断增长,据国家邮政局数据统计,早在去年底,全国日均快递业务量就已超3亿件。因而汇集了完整个人信息的快递、电商行业也成为了信息数据泄露的“重灾区”。
2022年1月的数据泄露事件中,快递物流行业占比最高,达52.3%。而在2022年“双十一”“双十二”电商大促期间,物流行业数据泄露事件数明显增加。
数亿件快递产生和积累的大量寄递数据信息,给个人信息保护带来严峻挑战。绿盟科技数据安全专家陈怀源表示,电商和快递行业的业务经营涉及大量高价值的个人信息,包括:姓名、电话、地址等,因此是黑客及黑灰产团伙的重点攻击目标。
内部人员是电商、快递行业信息泄露的重要源头。不法分子可能通过利益诱惑,诱使内部人员违规出卖个人数据。还有可能采用技术门槛更低的方式:按照‘计件’付费方式,雇佣社会人员直接从丢弃的快递外包装上收集个人信息。
同时,电商和快递行业需要对接大量第三方合作伙伴以及最终用户,互联网出口众多,自身网络安全环境、员工安全意识、安全技术手段等方面都存在很大漏洞与不足,容易遭受黑客攻击、社工、内部员工泄密,或者合作方信息泄露等威胁。
外部网络攻击、内部员工和数据流通都会造成信息泄露
数字经济时代,在网络充分联通、攻击技术手段不断更新的情况下,可利用的信息类型和数量日益增加,个人信息泄露成为一种普遍而又难以避免的风险。根据赛迪智库数据,全球几乎所有数据泄露事件都涉及个人信息。在其统计的全球71起数据泄露事件中 ,涉及个人信息的有68起,姓名、联系方式等身份标识信息被普遍泄露,累计超过48亿人次的个人信息被泄露。
可见,在严峻的安全形式威胁下,网络安全问题已经成为当下信息行业平稳发展的“紧箍咒”,各行各业都在对个人信息安全保护加码的同时,为何仍然会有如此大量的个人信息被泄露,具体是如何被泄露的呢?
信息泄露当前有多种途径,信息的存储、流通过程中都存在泄露风险。知道创宇安全专家表示,当前在快递、电商行业个人信息泄露的方式主要有三方力量,外部网络攻击、内部员工泄露和数据流通泄露等。
比如,在外部网络攻击上,可能出现API(应用程序接口)遭遇爬虫攻击,平台被植入木马,攻击者利用漏洞进行拖库、撞库等攻击,企业数据库被攻破等。内部员工泄露则可能是公司“内鬼”与外部犯罪分子串通,利用员工账号、面单拍摄等方式盗取运单信息进行不法交易获利。
在数据流通过程中,企业在与合作方进行数据往来时没有采取数据加密等技术措施保障安全,或未对合作方的数据使用行为进行必要管控、监督等具体措施的构建也会导致信息泄露。
对个人而言,信息的泄露背后蕴藏着与个人生活息息相关的风险。“对于单条个人信息,电信诈骗、非法广告推销等不法分子,会用来大面积行骗。虽然得逞比例不高,但基数巨大,也使得上当受骗的人数量众多。
一定规模、数量的个人信息被泄露后,个人信息被收集利用也会产生庞大的“黑市”。不法分子可以利用个人信息实施违法活动。将所获个人信息自身或出售给个人或公司,应用于不法渠道以牟取高额利润,比如房产租售、小贷金融、教育培训、电话营销、培养网络水军等。
“黑灰产”高一尺,防线要再高一丈
面对日趋复杂的数据安全形势,我国相继落地实施了《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”,构成我国数据安全领域完整的基础性法律体系。对存储用户个人信息的企业而言,将数据安全管控和业务流程结合,保障数据在各种使用场景下的合规使用和流转日益重要。
在当前网络充分联通、攻击技术手段不断更新的情况下,“黑灰产”高一尺,防线要再高一丈。作为信息泄露的“重灾区”,快递、电商企业应从技术和人的层面,持续完善用户个人信息安全保障措施。
比如,在防止网络攻击方面,可以不断升级技术手段,在爬虫攻击、植入木马、漏洞攻击等方面加强防护。同时,加快全面推广‘隐私面单’、虚拟号码等技术,最大程度保护个人信息。
而“内部员工泄密”事件也给了相关企业一定警醒,在防止内部人员泄露方面持续加强管控。要加强对从业人员的教育培训,强化保护用户信息意识,提升从业人员保护用户信息的能力,规范人员严格按照标准流程开展作业。
此外,当信息被买卖利用后,用户的个人生活也将受到影响,甚至带来人身、经济、精神方面的威胁和损失。除了相关企业要保障信息安全之外,用户个人也要加强个人信息保护意识,不轻易泄露个人信息。如钓鱼网站、网调、抽奖、朋友圈发布、旧手机的数据清除等。同时,在遭受个人信息泄露时,及时向泄密单位提起诉讼,要求赔偿。