3億條疑似順豐用戶數據泄露 暗網交易售價兩個比特幣

　　3億條疑似順豐用戶數據泄露 暗網交易售價兩個比特幣

　　華住酒店集團數據資訊疑遭泄露的消息引發熱議。媒體報導，在暗網世界，黑客出售華住酒店5億條用戶數據，包括注冊資訊、身份證資訊以及開房記錄等，售價為8個比特幣（約5.6萬美元）或520門羅幣。

　　不過，客戶資訊外泄並估價待售的，並非只有華住酒店集團。

　　日前，有知情人士告訴《經鑒》 ，就在華住集團發生數據泄露事件的同時，作為快遞行業的巨頭，順豐也有超過3億條數據疑似流出。《經鑒》 在“暗網交易市場”網站發現，一個ID為“bijiaodiao1688”的暗網用戶在“暗網”售賣順豐快遞數據，其稱掌握了順豐快遞客戶數據總量高達3億條，售價兩個比特幣。

　　1

　　登錄資訊顯示，這位“bijiaodiao1688”的暗網用戶，注冊於2018年7月11日。“順豐3億條快遞物流獨家數據”帖文發布於2018年7月18日，交易採用比特幣進行交易。資訊記錄顯示，發布者最後在線時間為8月24日17時23分。

　　據發布者披露，這裡的3億條數據包括順豐快遞物流中，寄件人、收件人的姓名、地址、電話等個人資訊，交易可以選擇先“驗貨”，驗貨數據量10萬條，驗貨費用0.01個比特幣。

　　根據“暗網交易市場”的行情，0.01個比特幣大約為66.66美元。目前，驗貨交易仍在進行。顯示在總計100個出售總量中，已經成交了9次。

　　此外，據發布者披露，每一次驗貨交易的數據都是從3億條數據中隨機抽取。這也意味著，最多有90萬條的疑似順豐快遞用戶個人資訊流向了市場。

　　《經鑒》 從一位要求匿名的人士處獲得了這次交易的10萬條驗貨資訊。在這10萬條資訊中，確實包含了姓名、地址、電話，也即快遞必須的三樣基礎資訊，但總量只有65000多條。

　　在這6萬餘條資訊中，《經鑒》 隨機抽取條資訊進行核驗，在27個抽樣樣本中，所有地址都是真實存在的，且所有電話號碼也均存在。

　　通過在線地圖查詢，上述27個樣本顯示的地址，也都在現實中存在。換句話說，沒有明顯證據表明，這些個人資訊是不真實的。

　　通過數據分析，《經鑒》 對省級地址進行了歸類。分析發現，湖北省出現的次數最多，次數達到50011次；廣東省次之，出現的次數達到8117次；江蘇省以7446次排名第三。

　　2

　　這些數據是如何泄露的？為何在樣本數據中，湖北省成了資訊泄露的重災區？《經鑒》 注意到，2018年5月，湖北荊州市法院公布了一起順豐數據泄露案件，涉及順豐快遞代理商及多名員工。

　　報導稱：2017年4月，湖北省荊州市警方成功截斷一個非法獲取、販賣及使用公民個人訊息的犯罪鏈。涉案人員分布在河北、湖北、內蒙古等地，有快遞員、倉管員、安保經理、倉儲代理商等。其犯罪過程是：首先由快遞公司的倉管在內部客戶訊息系統中查詢客戶快遞訊息，每月提供4000多條，可賺8000多元人民幣。然後，快遞公司員工將訊息出賣，被用來推銷偽劣保健品或假冒收藏品等。

　　此案中，涉嫌被泄漏公民到個人資訊達千萬餘條，涉及金額高達200餘萬元。

　　這確實令人擔憂，從千萬餘條的個人資訊泄露，到暗網流傳的疑似順豐3億條數據交易，順豐快遞的數據安全隱患到底有多大？

　　事實上，這並不是順豐快遞爆出的唯一一次資訊泄露事件。遠至2013年，順豐在深圳福田總部，研發工程師嚴某利用職務之便，從順豐公司數據庫中直接導出客戶個人資訊，進行出售。從快遞員到倉庫管理員、倉儲代理商，研發人員，順豐資訊泄露來源涉及到順豐的不同系統模塊。

　　就前述在“3億條順豐快遞物流獨家數據”發布10多天后，7月31日，這位id為“bijiaodiao1688”的暗網用戶，再度發布出售順豐數據的帖子。文中稱：這些數據為順豐2017年的數據，且是獨家數據。

　　據報價，上述2000萬條數據售價為0.5比特幣（大約3500美元），購買者可支付0.1比特幣（約704美元）驗貨。截至8月29日，該暗網用戶已經完成3筆驗貨成交。按數據量級推算，最多有1200萬條疑似順豐數據流入市場。

　　3

　　那麽，暗網標價出售的“3億順豐數據”是否來自順豐？順豐公司相關負責人在接受《經鑒》採訪時表示，早在7月份，順豐公司就已經關注到暗網用戶發布的相關資訊，並獲識了相關數據。

　　順豐上述負責人表示：經過他們核實，這些並不是順豐的數據。

　　不過，雖然該負責人否認了這些外泄數據來自順豐公司，但其並未說明到底來自哪裡。按照順豐上述負責人的說法，順豐在獲知上述數據的當月，即向深圳警方報案。但截至發稿，順豐方面未能提供相關案件的最新進展。

　　8月30日下午，《經鑒》隨機聯繫了近百個聯繫人，大部分人因各種原因未能受訪，在願意接受採訪的16個人中，有15人承認是順豐客戶，地址電話姓名也基本吻合。

　　值得一提的是，2018年8月7日，順豐發布公告稱，全資子公司將參與大數據合資公司的設立，公告顯示，大數據公司名稱為廣東數程科技有限公司，法定代表人為順豐創始人王衛，注冊資本為1億人民幣，主營互聯網數據服務在內的相關業務。不難看出，通過“數據”挖掘金礦，仍然是順豐快遞的生意經。

　　隻不過，若此次數據泄露屬實，或對順豐的數據商業化過程蒙上陰影。

責任編輯：王瀟燕