4月14日,陈景红提供了5000条外卖用户的个人信息,包括酒店等公共场所。文件截图
“骚扰电话太多了,让人很不舒服。” 市民许昕反映,因在外卖平台点外卖,酒店地址、房间号、联系电话等隐私信息被泄露。而许昕的信息,这只是记者获得的数千条外卖订单信息之一。
用户每次点外卖,就意味着上传自己的信息。但是这些私人信息是否足够安全?近日,新京报记者卧底多个“电话销售”群,发现有专门售卖外卖顾客信息的卖家。包括电话名称和订购地址,每条信息的售价不到一毛钱。还有网络运营公司利用软件收集用户的订单信息,打包后转售给电话营销公司,甚至一些外卖骑手开始了倒卖客户信息的“生意”。
记者在网上随机调查发现,在部分QQ群中,有人在售卖饿了么、百度外卖、美团等外卖平台的客户信息。
在线订餐平台美团的一位客服人员表示,美团内部的信息管理非常严格,但用户点餐信息涉及商家、骑手等多个环节,不能排除其他因素可能导致信息泄露。 .
有专家表示,商业企业应完善信息管理机制,及时更新信息保护方式,建立深度保护机制。
10000条信息售价800元
“今天的数据更新了,各种数据卖了好久。” 4月14日下午4点,陈景红在QQ上推送了一条消息。系统显示,这个QQ有200多个好友。陈景红说,大部分都是从他那里购买“数据”的客户。
陈景红所说的“数据”是公民的私人信息,包括电话号码和地址。
新京报记者联系到“电话销售组”的陈景红。聊天中,陈景洪透露,自己有来自北京、上海、广州等一线城市和外卖平台的客户数据。1万片的售价为800元,5000片的起步价“平均每片不到一毛钱”。
陈景红随后发了一张截图,上面显示了姓名、联系方式和地址等大量信息。陈景红表示,数据都是“最近三天”,但无法提取具体的订单日期。
4月14日,陈景红共发送姓名、电话、地址等信息表5000份。手机截图
当记者要求看“资料”时,陈景红发来了一个微信群的二维码。扫码后,是一个只有记者和他的微信群。陈景洪留言:“15分钟内整理好资料发给你。”
不到15分钟,陈景洪就通过QQ给记者发来了一份包含5000条信息的Excel电子表格。和截图一样,表格包括姓名、电话、性别和地址,但没有订单日期。包括朝阳、密云等区,涉及北京16个区的数据。
记者从表中随机抽取100个电话号码进行核实。其中,有61个有效号码,33位业主确认表格中的信息准确无误,并确认过去一两个月曾在外卖平台订餐。“是的,这是地址。” 地址显示为CBD公寓的杨女士,在听到记者报道的地址后表示,她前一天晚上在外卖平台的一家烧烤店点了餐。
据记者粗略统计,这5000人中有一部分来自宾馆、酒店、商场等公共场所。
地址显示为房山区一家五星级酒店房间的周女士回忆,4月13日入住酒店时,她曾使用外卖平台点餐,但记不起订单内容和具体业务。” 超额预订。”
记者随后再次联系陈景红,询问为什么会有无效号码。陈景红表示,“部分数据可能已经被替换”。每次询问数据来源,对方都会刻意回避。经过反复追问,陈景红最终表示,“数据由系统内部人员提取,每天更新约4万条记录”。
陈景洪透露京宏软件下载,这些数据每天中午更新一次,“到了晚上肯定会售罄”。
事实上,卖外卖顾客信息的不止陈景红一人。记者卧底多个电话营销组发现,至少有3名卖家都声称有外卖的客户数据。该卖家在QQ上昵称“彩虹”,声称拥有全国数据,每万件售价600元,其中除了用户姓名和电话地址外,还包括订单信息。
新京报记者发现,部分卖家自称有美团、饿了么、百度外卖的客户信息,每万件的价格从700元到2000元不等。
外卖骑手李德发送的用户订单。手机截图
软件自动“抓取”客户信息
除了这些作为卖家直接销售信息之外,一个更隐秘的获取外卖客户信息的渠道已经浮出水面。新京报记者发现,一些经营外卖店的网络公司也在售卖信息。
秦华是一家网络运营公司的工作人员,平时负责帮忙开(经营)外卖店。他还表示,可以想办法获取成都某外卖平台的客户信息。
为什么只在成都?秦华表示,他在其他城市没有代他经营的外卖店,这些数据是从代经营的店里用软件爬取的。
“姓名、性别、电话号码、地址、点单次数都有,但我得查具体数字才能知道。” 秦华说道。他给出的报价比之前的卖家贵好几倍,每件5美分。秦华接着解释说,准确率是可以保证的,也就这两天而已。
4月20日,秦华发了一张电脑截图,显示总共有2605条消息,然后又发了一张截图,消息数变成了2609条。“刚才还有四位顾客点餐,这个数字随时会上升。”秦华说。“最后一个号码是礼物。”
大约半小时后,记者看到了这份2609条信息的清单,范围更广。关键词搜索结果显示,酒店地址83个,网吧47个,医院29个,会所1个。
记者随机抽取酒店打来的54个电话发现,除30个因关机或无人接听而联系不上、3个不匹配外,有21个业主确认近期使用该地址下单外卖平台上的食物。
其中,记者在与酒店居民王先生确认信息时,故意给出不完整的地址,但随即被对方更正补充。王先生给出的地址就是信息列表中的地址。
这份信息列表中还有16个网吧的地址,很多地址甚至精确到某个网吧的座位号。记者一一核实发现,除了4名无法连接的业主外,其余12名业主均表示确实使用该地址点餐。
“一般来说,门店运营都会购买这些信息,转化率非常高。” 秦华说,他是通过把自己的软件挂在一些外卖平台的后台,然后爬出来得到这个信息的。“可能找不到系统”。
“如果是商业信息就更好了,在全国任何地方,我都能一夜之间为你搞到一个城市的所有商业信息,包括店主姓名、店名、地址、手机号码。” 秦华说道。
记者询问是否会被平台系统监控。秦华表示无法监控。“这件事情不用让企业知道,只要有电脑,在家就能操作。”
秦华随后给记者发了一张软件的监控截图。从截图列表中可以看到用户的姓名、电话号码、注册日期、近期消费、储值余额等信息。“2800元可以用一年。” 秦华说着,却拒绝透露软件的名字。
外卖骑手“卖”单
新京报记者调查发现,还有“数据”卖家发了两张武汉和北京外卖员信息的截图,询问是否需要。新京报记者在后续调查中发现,作为外卖用户信息的终端接触者,包括部分外卖骑手在内的部分送餐司机也在利用用户信息牟利。
4月18日,记者通过电话找到快递员李德,询问是否可以出售用户的订单信息。对方说可以,只是价格略高,一块一块。
“这个信息可以保证是同一天,订单上的所有信息都可以给你,包括点了哪顿饭,点了哪顿饭。” 李德说。
谈好价格后,立德立即向记者发送了4月18日35位客户的订单信息。该信息分为两种,一种是骑手APP截图,另一种是打印的纸质收据。
次日,李德主动询问记者是否还需要订单信息,又发了34份外卖订单。其中一份订单显示,朝阳区某小区三期的张女士曾在沙拉店点餐,订单包括三文鱼卷等四种餐食。张女士向记者证实,该订单确实是她下令的。
记者先后核实了20条订单信息。除了3位车主无法确认外,其他车主均表示订单信息属实。
外卖信息泄露争议不断
“我通常会接到一些销售电话和广告短信,我认为我的信息已经被泄露得够厉害了,我对此无能为力,要换手机并不容易。” 市民许昕告诉记者,因为点了一次外卖,所以就住在自己住的地方。酒店地址、房间号码和联系电话等私人信息成为“公开的秘密”。
新京报记者梳理发现,不少外卖平台用户都有过信息泄露的经历,甚至引发争议。
据媒体报道,去年12月,柴先生通过“饿了么”外卖平台点了一份外卖,共计31.8元。大约10分钟后,一位自称是商人的人联系柴先生,说他点的黑胡椒猪排卖完了,需要补差价两块钱换菜。“信息很准确,我的订单信息和商家卖的什么饭菜一模一样。” 柴先生说。然后对方让柴先生报了支付宝号码,以收取两元的差额。柴先生报完号码后,发现对方给自己转账了近2000元。商家说柴先生的饭没有卖完,打电话给他的也不是店里的工作人员。柴先生怀疑自己的订单信息被泄露。
此外,今年3月,哈尔滨的李先生在点外卖后,经常接到陌生人打来的电话,询问如何找到“小姐”。苦恼的李先生终于发现自己的电话号码被外卖骑手泄露,并称其为“上门小姐”。
一位网友在“时光行旅”网站上也发文称,他为男友订了美团外卖后,被陌生人加到微信中。对方知道他的名字和完整地址,但他不认识他。经过数次追问,对方承认该信息是一位送外卖的朋友提供的,目的是帮助他摆脱订单。
新京报记者就信息泄露事件拨打了美团客服电话。一位客服人员表示,美团内部对信息的管理非常严格,不会泄露用户的隐私。但是,用户订单信息涉及多个环节。商家和骑手都会有用户信息,不包括送错餐、订单单据丢失等干扰因素。
个人信息仍处于“危险期”
网络安全专家、白帽交易所创始人赵武表示,信息泄露事件不断,但尚未出台相应的技术安全规范和要求,公民个人信息仍处于“危险期”。
对于外卖平台涉嫌泄露客户隐私的问题,赵武分析称外卖平台程序可能存在漏洞。例如,API(应用程序接口)未经认证,网络入侵者可以根据订单序列号抓取用户信息。历史上类似的案例很多,比如一些招聘网站的简历大规模泄露。
第二种可能是与商家合作的第三方泄露信息。例如,一些商家会进行积分、返利、优惠券等活动,这些活动一般由第三方公司进行。他们会在活动中收集用户信息,而且他们的数据保护没有平台那么严格,所以很容易被入侵。“之前12306网站的信息泄露就是这种情况。” 赵武说道。
赵武介绍京宏软件下载,我国《网络安全法》去年6月正式实施,总体指导要求已经明确,但尚未出台相应的具体技术安全规范,尤其是对商业企业的信息监管没有非常具体的要求。
如何防止信息泄露,赵武表示,一方面,国家应尽快出台网络安全保护的具体规定,并严格立法要求企业对安全事件负责,尤其是涉及隐私的数据泄露。 ,必须有惩罚和赔偿机制,不允许企业增加类似于霸王免责声明的“黑客攻击造成的数据泄露不承担责任”。同时,严格控制企业方对数据的使用,一旦发生事故,就会受到处罚。
另一方面,商业企业应及时更新信息保护方式,建立深度保护机制。在做数据分析和使用的时候,可以先把客户的敏感信息隐藏起来,换成虚拟ID;然后通过加密的方式对他们的私人信息进行加密。做好二级保护。
此外,赵武表示,商业公司还应该完善信息管理机制,“比如技术加密的算法是什么,什么样的人可以访问用户数据,建立详细的技术标准和规范。”
广东众安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔介绍,《刑法修正案》(七)制定了侵犯公民个人信息罪的立法,规定国家机关或者财政、电信、交通、教育、医疗等单位工作人员,违反国家规定,出售或者非法提供本单位在履行职责或者为他人提供服务过程中获取的公民个人信息的,情节严重的,处三年以下有期徒刑或者拘役,可以并处并处罚金。窃取或者以其他方式非法获取上述信息的,情节严重的,依照前款的规定处罚。
此外,《网络安全法》还明确,网络运营者应当采取技术措施等必要措施,保障其收集的个人信息的安全,防止信息泄露、毁损、丢失。个人信息发生或可能发生泄露、毁损、丢失时,应立即采取补救措施,并及时告知用户,并按规定向有关主管部门报告。(新京报)
发表评论