圆通10亿快递信息泄露，暗网售价1比特币

近日“暗网”相继曝出A站、12306、摩拜、51Job等国内巨头的个人数据信息。2018年6月12日晚，Acfun（A站）发布公告称遭遇黑客攻击，近千万条用户数据外泄。6月19日，暗网一位ID“f666666”的用户开始兜售圆通10亿条快递数据，该用户表示售卖的数据为2014年下旬的数据，数据信息包括寄（收）件人姓名，电话，地址等信息，10亿条数据已做去重处理，数据重复率低于20%，数据被该用户以1比特币打包出售（支持用户对数据真实性进行验货）。

图1：数据出售界面

快递业的网络安全风险不容忽视

目前，我国快递企业超过2万家，从业人员突破200万，各类营业网点达到21.7万处，在实现城市全覆盖的同时，快递乡镇网点覆盖率超过86%，全行业日均服务突破3亿人次。快递业的繁荣，与“新零售”的迅速发展密切相关，在线的购物模式，让消费者足不出户便可轻松完成购买行为。而快递企业在助“新零售”走完这“最后一公里”时，也掌握了大量的消费者信息。为了实现对消费者数据的保护，快递企业对安全风险管控的能力就变得十分重要。

我们通过对“新零售”不同领域企业在2018年6.18期间的互联网资产、安全事件和脆弱性这三类数据进行计算、分析，实现对产业链薄弱环节的定位与主要网络风险的发现。

表1：“新零售”八大领域安全值评价 数据来源《新零售生态网络安全报告》

快递业在所细分的八个领域中，风险值为512，在采样企业中属于平均水平，而与全国平均值相比（全国均值约800，风险值越低则风险越高），有更大的差距。风险趋势136为八个领域中最高，意味着相比上一个月，风险状况已有较大的改善。

表2：快递业互联网资产情况 数据来源《新零售生态网络安全报告》

快递业互联网的资产情况，同样让我们感到意外，数据显示(见表2)，平均每个快递企业的主机数为5414，远高于八大领域企业的平均数1844，并且云迁移企业的比例达到了55%。可见，无论是互联网资产规模还是it理念，快递业都是靠前的，不仅是人们印象中的劳动密集型行业，我们更不能忽视其面临的网络安全风险。其实，黑客早已发现了这一点，在2018年618期间，采样的快递企业中被网络攻击的占比达到40%，平均每家企业遭受151次攻击。在对安全漏洞、网络攻击、隐私保护、恶意代码、僵尸网络、IP黑名单这六个维度的网络风险数据分析后，我们发现，75%的快递企业存在安全漏洞，88%有隐私保护问题。

表3：快递业网络风险概况 数据来源《新零售生态网络安全报告》

数据泄漏的法律风险

2018年2月7日国务院第198次常务会议通过了《快递暂行条例》，自2018年5月1日起施行。条例中规定“出售、泄露或者非法提供快递服务过程中知悉的用户信息”的视情节轻重将会处以1-5万、5-10万不等的罚款，并可以责令停业整顿直至吊销其快递业务经营许可证。

而对新零售企业来说，信息泄漏意味着要面临更大风险，2018年5月1日实施的《信息安全技术个人信息安全规范》，从国家标准层面，明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向。而在2018年5月25日正式生效的GDPR，被称为欧盟“史上最严”条例，若被处罚，企业将面临全球总收入的4%或2000万欧元取其高的最高处罚。