有「內鬼」!終止交易!傑瑞淺談「圓通內鬼」事件

Hello Xxx

我是K-24時的髒辮傑瑞。

在「Supreme 石頭島中國抽籤」之際，傑瑞卻並沒有參與這場盛世狂歡，而是關注到一條新聞：圓通員工洩露40萬條個人信息，在了解原委後，覺得很有必要帶領同志們學習一下，畢竟這與個人隱私和「錢袋子」息息相關。

01無聊的知識點一：事件回顧

在今年的8月，邯鄲永年區公安局反詐中心中隊長王求東追蹤發現，幾名犯罪嫌疑人通過僱傭「內鬼」以每日500元的費用租用某物流公司內部員工系統帳號，之後再導出快遞信息、整理後通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發區，以此獲利。被洩露的信息中包括發件人地址、姓名、電話以及收件人電話、姓名、地址六個維度。如果以上述六個維度的信息共同組成一條信息來計算，此次被洩露的信息數量實際超過40萬條。據嫌疑人供述，打包賣出的信息單價約為1元。

而上述的「某物流公司」就指圓通。

邯鄲市公安局反詐中心聯合邯鄲市永年區公安局成立的專案組掌握大量證據和犯罪事實後，兵分三路，於9月7日將五名嫌疑人抓獲。警方稱，該案涉案嫌疑人涉及河北、河南、山東等全國多個省市，涉案金額120餘萬元。

那麼到這裡可能會有人要發言了，這和我有什麼關係？現在犯罪嫌疑人已經「落網」，也代表整件事情已經塵埃落地。

但是同志哥，且不論犯罪嫌疑人以「一塊錢就把你賣了」這件事，最重要的是信息洩露會導致一連串的「長尾效應」。

最基礎的，就是通過你的號碼進行簡訊或電話騷擾。簡單的例子就是「雙11」期間淘寶商家的優惠廣告。淘寶後臺服務時尚有專供商家的群發廣告軟體，只要你在這家店買過東西，並且預留了地址和號碼，那麼以後只要有活動，軟體就會自動發簡訊告知。

這種只是很普遍的營銷手段，只要商家不是經常性騷擾，就不構成違法。但是一旦你的個人信息洩露，那麼犯罪分子就有可能發送虛假廣告，並附贈帶有木馬病毒的連結，結果自行腦部。

還有，傑瑞的一個朋友小王，某天突然神秘兮兮的和我說：「哥們，我要戀愛了。」說完就舉起手機給我看簡訊，類似下面這條：

之後小王點進了網站的連結，按照流程註冊成功後，提示有「2人喜歡了你」：

小王急了，作為純情的新時代好男人，他是萬萬做不出「腳踏兩條船」的事情，他必須要給其中一個女生滿意的交代，但是查看喜歡的人要開通「VIP」，小王本著不能耽誤人家的心態，咬咬牙花錢開通了，給本就不富裕的家庭雪上加霜：

隨後，小王看到了令人崩潰的頁面：

那天深夜，小王突然對我說了一句意味深長的話：「在我們為愛情一次次失望之後，至少還有人願意騙我們，留給我們些許虛假的慰藉，也未嘗是件壞事吧。」

「把們去掉，然後說人話。」

「我又買了超級曝光。」

「......」

對於此類簡訊，最好的方法就是：

在同志們使用手機運行各類軟體的時候，也會造成信息的失洩密，比如央視就曾爆出一款名為「優學院」的移動教學軟體十多分鐘讀取近25000次手機照片和文件，堪稱「業界勞動楷模」，而且這效率簡直是「時間管理大師」。

還有「照明還得查戶口」的手電筒軟體，不僅要提取個人位置信息、存儲信息、設備信息、還要訪問我的相冊。都給禁止後，還不給安裝了。

以上都是有可能會導致信息失洩密的條件，但是有些同志表示我們不能「剁手」不去線上購物，也無法阻止這些APP軟體的權限索取。

但是同志們，屁股決定腦袋，嘴巴決定動機，這些「條件」為何會如此熱衷於去竊取用戶隱私呢？傑瑞來帶大家認清部分動機：

其一，就是對此有針對性地推送廣告。偵聽你的簡訊，通訊錄，位置信息，粘貼板，相冊，其實主要的目的是把你的各種信息進行匯總分析，拿來做用戶畫像，可以推測出你的收入情況，消費習慣，出行習慣，然後將你與其他相似的用戶打包出售給部分金融，電商，廣告公司。

大家可能某天會在與朋友交談中突然提起某件東西，當天就會在某些APP上看到信息流廣告，之後打開購物軟體又會看到它的推薦，這些就是各種應用軟體相互「拉幫結派」兢兢業業收集你的個人信息產生的「大數據」。

其二，就是利用信息進行詐騙。在這裡公布一個新的手段，就是會有騙子冒充快遞公司工作人員添加微信，並告知其快遞丟失，打算提供全額理賠，然後發送了一個連結，按照要求輸入銀行卡號和密碼，再輸入驗證碼後，卡裡的錢就會被轉走。

當有一天，詐騙分子比你自己還了解你自己，你成了他們眼中一絲不掛的「錢包」，試問同志們你們還能興高採烈地去參加「Supreme 石頭島中國」的狂歡嗎？如果還有同志哥犯迷糊以為事不關己，那麼板子落到頭上的那一天才知道痛。

02無聊的知識點二：失洩密案件

傑瑞在此僅列舉2009年至今「失洩密」事件涉及數量規模較大的。

Heartland公司每月為17萬5千家商戶提供1億次的支付和轉帳操作，絕大多數都是中小零售商。2009年1月，Heartland數據系統受到SQL注入攻擊，被安裝了間諜軟體，導致1億3千400萬信用卡數據洩露。

2010年3月20日，明尼蘇達州聖保羅市教育信貸管理公司總部330萬學生貸款者的姓名，地址，社會保險號和其他個人數據被盜。

2011年4月26日索尼公司在官方博客上表示7700多萬用戶信息被盜，甚至包括1000多萬用戶的信用卡帳號，涉及57個國家和地區。

2012年美國雲存儲服務Dropbox發生數據洩露事故，受影響的帳號超過6000萬，用戶的郵箱地址和密碼都被洩漏。

2013年10月，Court Ventures超過2億條個人信息被洩露，在「黑市」上售賣，專賣百萬個人的信息嫌疑人獲利190萬美元。

2014年1月，網絡竊賊通過黑客攻擊3名企業員工獲取1.45億eBay客戶的數據。

2015年12月，一名獨立的計算機安全研究人員發現了一個因資料庫配置不正確而在開放Internet上公開的1.91億選民的信息資料庫，該資料庫包括美國所有50個州和華盛頓州的選民的姓名，地址，生日，黨派，電話號碼和選民的電子郵件。

2016年11月，黑客攻擊了成人約會和娛樂公司Friend Finder Network，超過4.12億個帳戶暴露，其中還包括超過1500萬個未從資料庫中清除的「已刪除」帳戶。

2017年9月，Equifax的數據被黑客攻擊洩露，黑客訪問了人們的姓名，社會安全號碼，出生日期，地址，在某些情況下還獲得了駕照號碼。他們還竊取了約20萬人的信用卡號，並為約18萬人竊取了帶有個人識別信息的爭議文件。他們也獲取了英國和加拿大人的個人信息，總計超過一億四千萬。

2018年11月，萬豪國際集團承認黑客破壞其預定系統並竊取了多達5億客人的個人數據。這家連鎖酒店要求客人辦理入住手續以獲取個人信息寶庫：信用卡，地址，有時還提供護照號碼。

2019年9月，在Facebook 23億用戶中幾乎20％遭受了毀滅性打擊，在線發現了幾個未受保護的資料庫，其中包含4.19億Facebook用戶記錄。這些資料庫位於伺服器上，並且沒有密碼保護，這意味著只要有Internet連接，任何人都可以自由訪問它們。

2020年1月，一份新報告顯示，長達14年的2.5億個Microsoft客戶記錄在沒有密碼保護的情況下在線暴露，任何使用瀏覽器瀏覽資料庫的人都可以訪問該數據完全不需要身份驗證。

03無聊的知識點三：如何避免失洩密

#圓通內鬼致40萬條個人信息洩露#①各個軟體之間都會有「鏈式效應」，就是你使用某個APP產生個人信息後，會相互之間進行「共享」。而杜絕這種共享最好的辦法就是不要將「所有雞蛋放在一個籃子裡」，比如很多人為了省事，所有網站的註冊都會使用「微信登陸」「QQ登錄」等等，但「微信」「QQ」大部分都是需要實名認證的，在你登錄的時候就會造成「二次洩露」，所以不要嫌麻煩，每個網站都選擇「用其他方式登錄」。而且對於用戶名可以設置成和該軟體關聯的名字，一旦收到垃圾簡訊可以快速辨別是出自哪個APP以便投訴。

②一些有支付功能的APP，你可以單獨設置添加我的方式，列舉「微信」，添加方式可以把微信號，手機號，群聊和名片都關閉，僅開啟「二維碼」添加方式，這樣就能有效減少一些陌生人添加好友請求。

③現在的許多手機都有攔截垃圾簡訊功能，可以在手機設置裡進行開啟，還有一些垃圾簡訊後綴都會是「退訂」，以凸顯自己的正規，同步可以設置關鍵詞攔截。

④如果有人給你打電話詢問快遞的事情，一定要讓他通過正規的網點電話，現在的各大網點都是可以轉接的；如果有親戚朋友借錢，也切記要和他當面或者電話詳談，目前有技術可以合成語音和視頻，所以在電話詢問的時候可以問一些不著邊際的問題以便確認身份。

⑤最重要的就是，同志們自己不能思想麻痺，要知道自己正被「一元賤賣」，被當成一絲不掛的「錢包」，被各種軟體「監視」，這些事實能夠喚醒部分人提高隱私意識，也就足夠了。

如果你在廚房發現一隻蟑螂，那麼在你的家裡的角落至少有四萬隻蟑螂。根據這個「蟑螂理論」，圓通的事情不是個例，今天的討論題：你們有遇到過類似的事情嗎？請大家會後討論。

我是K-24時的髒辮傑瑞，散會。