40万快递数据泄露 | 快递业数据资产泄露管控刻不容缓

“威胁猎人”现已更名为“永安在线”

近日，圆通回应内鬼致40万条个人信息泄露一事引起了广泛关注。据圆通官方描述，今年7月该公司监测到河北省区下属加盟网点有异常查询操作行为，调查后发现疑似个别员工与外部不法分子勾结窃取运单信息，导致信息外泄，并向当地公安报案协助调查，相关犯罪嫌疑人于9月落网。

然而，此次与圆通相关联的40万条个人信息泄露只是信息泄露事件的冰山一角。每年与快递企业相关的信息泄露事件就有200多起，从快递企业角度来讲，对数据资产泄露采取管控措施已经是刻不容缓的事情了。

1、快递行业数据泄露概况

永安在线数据资产泄露监测平台从2018年正式开始运营至今，已发现数据资产泄露风险事件超70000条，涉及到证券，银行，保险，电商，社交，快递，短视频，政府，教育等生活中的各行各业。在这其中，发现快递行业数据资产泄露风险事件787起，占比1.1%，涉及到企业包括顺丰，圆通，中通，申通，韵达，EMS，德邦等在内国内各大快递公司，其中涉及到圆通的风险事件72起，占比9.1%，泄露数据总量达到10亿+，其中涉及到个人隐私数据包括姓名，电话，住址等信息的数据量为1亿+。在这些数据泄露中，最早一起数据泄露事件可追溯至2014年。

最近一起数据泄露事件发生在2020年8月30日，卖家明确表示数据可实时更新。

按照事件发生时间先后顺序，统计到每年与圆通相关联的数据资产泄露事件分别为2018年36起，2019年15起，2020年截止至今已发生21起。

部分信息泄露事件截图

快递行业每年发生数据资产泄露事件依次为2018年272起，2019年285起，2020年至今230起，泄露数据总量已超过20亿，影响到的用户数量高达数亿。

根据永安在线数据资产泄露监测平台捕获到的数据泄露情报，我们对快递行业数据疑似泄露渠道进行统计，发现来自内部的信息泄露占比为56.17%，第三方软件服务泄露比例占17.53%。快递行业数据泄露主要是由于内部人员违规和内部安全缺陷导致，第三方软件服务、运营商泄露和短信通道泄露也成为近些年来不可忽视的泄露渠道。由于内部管控疏忽，内部员工不小心将内部敏感文件和敏感代码上传到在线网盘文库、代码托管网站的事件也屡有发生。从企业角度来说，这些渠道都需要进行监控。

数据泄露渠道统计

2、泄露后的数据流向多流向电话营销与诈骗团伙

作为数据泄露产业链重要的一环，泄露的数据向外部流动的方向将决定数据对外部的影响力，接下来我们来探讨下泄露的数据来源与其后续的传播路径。

数据泄露流向

上游：数据窃取团伙，包括公司内鬼、黑客、运营商、运营商第三方代理、短信通道服务商等。

这些人专门负责从公司的内部和外部寻找获取数据的渠道并窃取数据。在数据越来越值钱的当下，巨大的利益和极低的犯罪成本驱动着上游的数据窃取者甘愿铤而走险。

中游：数据中间商，大部分活跃在暗网、黑产论坛、Telegram、Potato等平台。

这些人负责在各种不同平台上发帖卖数据，同时负责对数据进行分类清洗，根据客户不同需求场景售卖数据。

由于政府监管压力的增大，尤其是2019年净网行动打击并关停了多家知名暗网后，迫使数据中间商转移到更加隐蔽的平台，比如服务器在国外且具有双向数据加密的聊天软件Telegram、Potato等。

下游：数据购买者，包括电话营销公司、诈骗团伙等。

这些人购买数据后，一般会进行精准营销、精准诈骗等。并可能在数据被利用完后二次倒卖这批数据，或者与其他黑产团伙交换数据。近些年来，下游数据购买者对精细化的数据需求越来越大，如宝妈数据、留学生数据、股民数据、网贷用户数据、车主数据、大学生数据、企业老板数据等等。他们利用这些精细化数据进行精准营销或精准诈骗，成功率要比撒网式营销或诈骗高很多。例如使用宝妈数据营销母婴产品；使用留学生数据，利用国内外时差对其父母进行诈骗；使用股民数据进行荐股诈骗等等。下游需求的变化直接驱动上游和中游黑灰产人员利用各种技术手段去获取各行各业用户的数据，并根据客户不同需求对数据进行整理细分，进行贩卖。

对于快递行业来说，数据资产泄露这种会造成重大负面影响的威胁是必须进行全方位管控的，具体的管控方面为数据泄露渠道和数据泄露来源这两个方面。

针对数据泄露渠道的监测的需求，可以利用永安在线推出了“永安在线资产泄露监测平台”进行实时的监控，及时发现、快速定位、精准溯源，助力企业完成数据资产泄露事件处置。从数据泄露渠道来说，快递企业可以通过对外部数据泄露的实时监控，在发生数据泄露事件时以最快的数据采取应对措施，及时对相关数据来源进行溯源，避免更多的数据通过该来源泄露到外部，造成更为严重的影响。永安在线数据资产泄露监测平台有着对外部数据资产的长期监控，包括黑产常用交流、交易平台、常见网盘、代码托管平台等数据资产潜在泄露渠道，确认风险真实存在，初步定位数据资产泄露的原因，配合企业对泄露事件进行更深入的溯源调查，将数据窃取团队绳之以法。

再以数据泄露来源方面来说，虽然各快递平台已经将运单的收寄人信息进行隐藏或用虚拟号代替，但其信息在内部员工平台上可以完整的获取，例如本次圆通的信息泄露就是拥有查看完整快递信息的特权账号被他人利用造成的数据泄露。面对这种情况，除了对特权账号的跨区越权查询进行监测与拦截，还可以利用两步验证的方法对账号异地登录、大量查询等疑似异常行为进行本人操作验证，限制账号为本人使用，以避免他人使用特权账号，造成数据资产泄露。

事件背景：

2019年11月份，某电商平台收到大量买家投诉，反馈有诈骗分子冒充商家客服进行电话诈骗。诈骗分子会提供受害人的购物信息，如包括姓名、联系电话和收获地址等以骗取信任。

该电商在排查了内部人员和系统可能导致的泄露因素，并未能明确定位到数据泄露的源头。在暂无头绪的情况下，该电商平台希望通过与永安在线建立合作，解决当前数据泄露所导致的大量用户被骚扰的问题，避免用户被诈骗后会有更加恶劣的后果出现。

风险处置：

永安在线收到客户需求后即时响应，根据客户反馈的信息对所掌握的监控渠道进行排查，发现了在2019年11月份在地下网络上有黑灰产在发布电商用户订单数据的交易内容。通过进一步对业务场景的深入了解和数据比对，永安在线基本上数据泄露的源头定位在了第三方卖家的发货工具上。

1. 该电商平台经过内部排查，认为从公司内部泄露可能性较低。

2. 通过研究该电商平台的发货流程，发现用户订单信息会经过平台接口流入第三方卖家的库存及发货管理系统。如果第三方管理系统的服务器被入侵或者该公司有内部人员违规操作都可能导致用户数据泄露的发生。

3. 通过分析泄露的数据，我们发现这些订单的卖家都使用了同一款发货软件。结合与数据中间商交流时所捕获的蛛丝马迹，初步推测该事件的泄露源头为第三方卖家发货工具软件。

风险溯源：

永安在线将分析结果与该电商平台负责人及时同步，并且根据掌握线索与有关部门配合，明确定位到数据泄露原因是某第三方订单发货管理软件，由于公司对数据管理不严，其内部员工长期将用户的订单信息出售给黑灰产团伙。有关部门随后将涉嫌侵犯公民个人信息的犯罪嫌疑人抓获。

快递行业一直处于数据资产泄露的重灾区，每年与快递行业相关联的信息泄露事件超过200起。面对如此严峻的形势，快递企业应对数据资产泄露构建完善的响应机制，缩短发现数据泄露响应时间，快速定位数据泄露关键节点，以避免对外部造成严重的影响。永安在线数据资产泄露监测平台可对外部数据资产进行长期即时监控，可以有效缩短数据泄露情报发布时间，助力企业及时定位溯源数据泄露流程，修补数据资产泄露短板。

现在不仅有《网络安全法》对数据安全进行了强制性的要求，近期开始公开征求意见的《中华人民共和国个人信息保护法 (草案) 》更是明确企业作为个人信息处理者需要进行合规管理并保障个人信息安全的义务。因此，各快递企业需要采取相应的安全技术措施，并履行个人信息泄露通知和补救义务。在监管与社会双重的关注下，快递企业应在数据资产泄露管控方面进行更多的投入与防范，避免数据泄露造成商业与口碑上的双重危机。