快递的隐私问题一直是制约这个行业健康发展的主要障碍之一,即便可以抵御黑客攻击、采用加密面单,却怎料是“家贼难防”……
系菜鸟驿站服务商联合作案
近期,杭州市萧山区公安分局在“净网2018”专项行动中抓获一个非法获取公民信息团伙。该团伙利用自己是菜鸟驿站服务商的身份,将破解后的“菜鸟驿站”APP安装进物流网点手持终端(俗称巴枪)中,同时植入恶意控件。截获菜鸟驿站服务器发送到巴枪的数据,回传到自己的服务器。
初步统计,截止2018年6月,被窃取的菜鸟驿站快递数据超过1000万条,而且绝大部分数据来自各大高校的网点,服务群体主要是大学生。泄露的信息包括单号、姓名、手机号等等。
在发现网点使用的巴枪被安装恶意程序之后,菜鸟网络第一时间报警处理。经过调查,起初嫌疑人张某、卢某希望将菜鸟驿站APP的数据同步到自己的微信公众号。于是,卢某联系他人对菜鸟驿站APP进行破解,同时开发了恶意控件。随后他们便将破解版APP和恶意控件发送给多个地区的菜鸟驿站服务商,批量安装进驿站终端巴枪。
在调查结束之后,菜鸟网络已经对涉及的漏洞进行了封堵。
物流终端APP安全、系统安全存隐患
此前发生的快递信息泄露,基本是单个物流公司出现。而菜鸟驿站主要为广大淘宝、天猫用户服务,接入的快递公司多,涉及用户量更大、覆盖面更广,安全性也显得更加重要。快递服务商联合作案的情况,再次暴露物流体系中的安全隐患。黑客攻击尚且可以通过技术手段来抵御,而服务商在本案中显然成为犯罪分子能够获取大规模数据的关键,直接为犯罪分子打开了大门。
此外,手持终端使用的APP漏洞、系统漏洞也是关键。具体这次犯罪分子利用的漏洞虽然没有公布,但从警方给出的截图来看,巴枪使用的安卓系统依然是比较旧的安卓版本,本身也就存在一定的安全风险。