近日,有消息爆出称国内45亿条个人信息被泄露且已出现公开查询渠道,数据包大小达435.35GB,疑似数据来源为国内各大电商平台及物流企业。泄漏的快递数据包含了用户真实姓名、电话与住址等重要敏感个人信息,如此大规模的数据泄露引起了广大用户的恐慌和关注。事情发酵后,据中证报2月15日消息,快递股出现闪崩。
随着新兴数字技术的快速发展,数据成为第五类生产要素,赋能千行百业,为推动数字化经济高速发展做出了重要贡献。与此同时,数据泄露风险愈发凸显,成为关乎个人权益、企业发展甚至国家安全的重要变量。
在大数据的驱动下,线上购物、移动支付、智慧物流等数字化场景与日常生活生产深度融合,电商平台和快递企业掌握着消费者的个人信息数据,是拥有庞大群体规模及海量数据的重要阵地之一。如同医疗、金融等行业,电商平台及快递行业的高价值数据也成了黑灰产的“香饽饽”,数据泄漏事件屡屡发生。
一张快递面单覆盖的个人敏感信息非常多,不法分子能够直接从面单获取到用户的姓名、手机号、地址等基本信息,还能关联获取到微信、支付宝、购物偏好、家庭成员等敏感信息;一旦这些数据被非法利用,就会滋生恶意推销、骚扰电话、网络诈骗等严重后果。
快递业务量不断增长,快递信息的泄漏却成为不定时炸弹,让消费者对个人的信息安全产生担忧。从以往发生的数据泄露事件分析,快递信息泄漏的风险敞口主要表现为以下几个方面:
① 内鬼泄漏:每位快递员经手的信息多达数万条,在高收益的驱动下,诱发了内外勾结的不当交易,快递信息被明码标价,大量倒卖;
②API风险:在物流生态中,API接口整合了仓储、电商、快递等之间的数据和服务,如果API存在漏洞或受到外部攻击,就会发生数据泄露;
③数据库漏洞:快递数据资源数量复杂庞大,数据库系统如果存在弱口令、过度拉取、登录识别等漏洞,就可以通过“攻破”数据库获取数据。
从下单购物、快递配送到签单收件,一条快递信息的流转经过了多个环节,无处不在的安全隐患,让快递数据安全岌岌可危。
2015年11月,国家邮政总局正式推行快递实名制;自此之后,关于“如何保证快递企业及从业人员遵守信息保密、快递业如何保护消费者个人隐私安全”的讨论一直没有停息。
2018年5月,我国第一部专门针对快递行业的《快递暂行条例》正式施行,《条例》明确规定:经营快递业务的企业及其他从业人员不得出售、泄漏或非法提供快递服务过程中知悉的用户信息。
2022年11月,国家邮政局印发《关于切实加强邮件快件隐私面单推广应用工作的通知》,要求加快邮件快件隐私面单推广应用,保障寄递用户个人信息安全。此外,《快递电子运单》国家标准、《寄递用户个人信息保护要求》行业标准以及《寄递服务用户个人信息安全管理规定》等相关标准规范也已经或将陆续制定出台。
多部法律法规先后出台,是国家对当前快递行业数据安全形势的正面回应,也是严厉打击买卖快递信息,保障公民个人隐私安全的决心体现。
数据泄露事件的发生,不仅会让企业付出经济上的昂贵代价;同时,企业的品牌声誉、客户信任等隐性资产也会因此大打折扣。因此,提升数据安全不仅是企业满足法律合规要求的必要义务,也是保障企业未来健康发展的必要条件 。
对于消费者个体来说,全知科技建议:消费者应提升数据保护意识,在平台规则允许下,收件人最好使用昵称或假名,地址模糊填写不要精确到门牌号,优先选择驿站存放等。
对于快递企业来说,全知科技建议:在日常运营中,企业不仅要对内部数据库系统进行动态保护,还需加强对数据内部流动及外部API接口进行风险监测,形成内外兼顾的整体、闭环管理体系,有效保护数据安全。
针对快递企业内部人员违规越权操作、账号多人共用、数据行为无痕等内部数据安全风险,全知科技 知形-应用数据风险监测系统能够帮助企业自动梳理数据账号权限,关联产出账号-人员-组织架构的数据关系;同时,系统聚焦数据行为审计、数据泄露主体溯源等功能,实现人员行为、数据去向等行为审计。
针对由快递业生态中开放、复杂的API接口环境造成的越权访问、违规爬取、过量数据暴露等外部风险行为,全知科技 知影- API风险监测系统能够帮助企业建立全量API资产清单;同时持续进行API弱点发现、数据暴露面、攻击行为监测,完整覆盖风险场景,防止风险漏判误判。
针对快递企业数据库系统未授权拉取数据库信息的异常数据行为,或者是爬虫等风险,全知科技 知踪-数据库风险监测系统以数据分类分级为基础,通过统一登录、权限访问控制、动态脱敏等技术,全面保障企业的重要敏感资产信息可用不可见,可用即可查,可查即定位,提升企业对数据的安全保护。
快递数据泄露事件频发,在如此严峻的数据安全形势下,作为拥有千亿用户数据的行业,快递企业对此绝不能“听之任之,放任不为”,应当积极建设数据安全防护体系,提高数据安全保护能力,切实保障广大用户个人信息安全。