你在用美团吗?知道美团外卖用户信息泄露了吗!

紫迎征信 2020-01-13 07:52:55

点击上方“蓝字”可关注我们哦!

 

你是否还在感叹脸书的信息失守问题?

你是否还在纠结今天吃什么外卖?

Ohh~

你的美团信息已经失守啦!~

......



1

事件的开始


4月23日,重案组37号的一篇《信息失守!外卖平台客户资料泄露后被倒卖,每条不到1毛》,再度将用户信息安全提上台面。


用户每订一次外卖,就意味着要将自己的信息上传一次。但这些隐私信息是否足够安全?重案组37号探员在多个“电话销售”群发现,有卖家专门出售外卖订餐客户的信息。包括电话姓名、订餐地址在内,每条信息的售价不到一毛钱。还有网络运营公司借助软件搜集用户的订餐信息,打包后倒卖给电话销售公司,甚至还有一些外卖骑手也做起了客户信息倒卖的“生意”。

2

万条信息售价800元,每条均价不足一毛


重案组37号在一个“电话销售群”中联系到陈某。当重案组37号探员询问是否有外卖订餐用户的“数据”后,立即收到添加申请。对方在聊天中表示,手上有北京、上海、广州等一线城市、来自美团等外卖平台的客户数据,100100条售价800元,5000条起售,“平均每条不到一毛钱”。


当重案组37号探员提出想要获取“数据”后,陈某发来了一个微信群的二维码,扫码进入后是只有探员和他两个人的微信群。在收到探员两个200元的红包后,陈某退群,并留言:“15分钟内整理好数据发给你”。


还不到15分钟,陈某就通过QQ发来一份EXI表格,内有5000条信息。和截图内容一样,这份表格包括姓名、电话、性别和地址,但没有订餐日期。包括朝阳、密云等区在内北京16个区的数据都有涉及。



重案组37号探员从表格中随机选取100个电话号码进行验证。其中有效号码61个,33名机主确认表格中的信息准确,并确认自己近一、两个月内,在美团订过餐。“对,是这个地址”,地址显示为CBD某公寓的杨女士在听到探员报出的地址后称,她前一天晚上在美团的一家烧烤店订过餐。


探员随后再次联系陈某,询问为何会有无效号码。陈某称“有些数据可能更换过”。每次问到数据的来源,对方都会有意回避。再三追问下,陈某最后表示“数据是由美团系统内部人员提取的,每天更新4万条左右。”


陈某透露,这些数据每天中午会更新一次,“到晚上肯定能销完”。


实际上,售卖美团外卖客户信息的不止陈某一个。重案组37号探员在多个电话销售群发现,至少有三名卖家均称自己有美团外卖的客户数据。QQ昵称为“彩虹”的卖家称可以自己有全国范围的数据,每万条价格为600元,除了用户姓名和电话地址外,还包括订餐信息。


重案组37号探员发现,也有一些卖家称也有饿了么、百度外卖的客户信息,每万条价格从700元到2000元不等

3

软件自动“扒”客户信息


除了这些直接以卖家的身份售卖信息外,一条更为隐秘的外卖顾客信息获取渠道浮出水面。重案组37号调查发现,一些代理运营外卖店的网络公司也在售卖信息


某网络运营公司的工作人员覃某平时的业务是负责帮忙代开(运营)美团店铺。他同时称,可以想办法搞到成都的美团订餐客户信息。


为什么只有成都的?覃某表示,自己在其他城市没有代运营的美团店铺,而这些数据都是从自己代运营的店铺里用软件爬取的。


姓名、性别、电话、地址,订餐次数都有,但具体能有多少条我要查一下才知道。” 覃某说。他给出的报价比之前的卖家贵了几倍,每条5毛钱。覃某随后解释称,可以保证准确率,而且就是这两天的。


4

外卖骑手“出卖”订单


重案组37号调查中发现,还有“数据”卖家发来两份武汉和北京地区的送餐员的信息截图,询问是否需要。重案组37号探员在随后的调查中发现,作为外卖用户信息的终端接触者,包括部分美团骑手在内的一些送餐员,也在利用用户信息牟利


4月18日,重案组37号探员通过电话找到美团外卖骑手李某,询问对方是否可以售卖用户的订餐信息。对方表示可以,但价格稍高,一元一条。


“这些信息可以确保是当天的,而且订单上的所有信息都可以给你,包括从哪家订的餐,订了哪些餐。”李某说。


谈好价格后,李某随即发来了4月18日35位顾客的订餐信息。这些信息分为两种,一种是美团骑手APP的截图,还有一种是打印的纸质小票。


第二天,李某家主动询问探员是否还需要订单信息,并又发来34份外卖的订餐单。其中一份订单显示,朝阳区某小区的张女士曾在美团某沙拉店商家订过餐,订餐内容包括三文鱼卷在内一共四种。经张女士确认,该订单确实是她点的。


重案组37号探员先后核实20个订单信息,除了3位机主无法确认外,其他机主均表示订单信息真实。

5

结语

网络安全专家、白帽汇创始人赵武表示,目前信息泄露不断发生,但相应的技术安全规范和要求仍未出台,公民的个人信息仍处于“危险期”。


对于外卖平台涉嫌泄露客户隐私的问题,赵武分析称,有可能是外卖平台程序存在漏洞,比如API(应用程序编程接口)没有做认证,网络入侵者可以根据订单序列号爬取用户信息。历史上出现过很多起类似案例,例如一些招聘网站的简历大规模泄露等。


第二种可能是跟商家合作的第三方泄露信息。比如有的商家会搞一些积分、返利、赠券等活动,这些活动一般是第三方公司承做。他们在活动中会搜集用户的信息,而本身对数据的保护不如平台严密,因此很容易被入侵。


如何防范信息泄露,赵武表示,一方面国家应该尽快出台网络安全保护具体细则,严格立法要求企业对安全事故负责,尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制,不允许企业增加“黑客攻击导致的数据泄露不承担责任”类似的霸王免责条款。同时,严格管束企业方对数据的利用情况,出一次事,处罚一次。


另一方面,商业公司要及时更新信息保护手段,建立深层防护机制,在做数据分析和使用时,可以先将客户的敏感信息隐去,用虚拟ID代替;再将其隐私信息通过加密的手段做二次防护。


文章引用来源:新京报(北京)