知乎日报

每日提供高质量新闻资讯

关于快递信息泄露的那些事儿

fenggou,信息安全,鸡尾酒,电吉他,摄影。

有个关于快递的段子,大概是这么说的。

老婆:55555,天气太热了,听说有快递GG在送快递的路上热昏了,好可怜,应该让公司给他们减轻工作量blablabla

老公:你特么少在网上买衣服就算帮了他们大忙了。。。

一个小段子,想说快递员很辛苦,在特殊的季节里需要多些理解~但快递公司却让我们在这个特殊的季节里上了次火,源自这篇新闻:

其实快递泄露数据的问题前几年每年都有提示大家注意,告知大家警惕因信息泄露导致的各种姿势诈骗风险,只不过每次都没有起到什么实质改善(囧)。所以每年都可以拿这个类型案例来讲一讲,在出些全民撕快递单啥的微博推推(今年技术化了,用花露水化掉印刷字体,乌云君回家试试去)。

乌云君预警过很多类似案例了,干脆在这里在统计一下,也让大家对将来一些可能发生的风险做些功课预习。

首先,快递泄露的途径主要有三个方面:

  1. 快递公司自身与其签约快递员
  2. 电商购物网站
  3. 购物用户

第一,也就是本次案例矛头所指向的快递企业官方信息管理系统出现漏洞,导致被黑客批量“脱裤”,拿了订单信息在转手出卖给钓鱼欺诈师们进行海选。也有流传一种方式是内部人员作案的,但实际案例乌云君没怎么确定过。

乌云案例(乌云通知后厂商已经修复):

中通某处配置不当导致数万订单信息泄露(截止到今天)

详细的泄露了用户快递单的扫描图,信息历历在目,而且非常清晰。

申通快递某处泄露快递单扫描件、客户身份证、电话录音等信息

同上,也是个简单的目录遍历漏洞,根据日期记录了当日的快递单扫描件等信息,直接泄露了。

韵达快递网站注入漏洞可获取内部与用户敏感信息(可进管理后台)

这个是比较常见的SQL注射漏洞,目前在大型互联网企业的核心业务已经不太好发现了,相比这种还较为传统的IT架构企业则非常常见,也更为致命(直接查数据库)。

圆通快递95554热线电话系统比较严重的N个漏洞(Pgsql拿shell)

不光是订单数据,电话系统也可能受到影响。


第二,电商购物网站这些中间机构因为自身安全管理不当,直接泄露了订单信息而非快递信息的情况也比比皆是,这里就不列举太多,只随便取几个。

凡客诚品订单信息泄露

韵达在线订单系统泄漏淘宝订单详情和收发件人信息

酷派商城任意订单查看漏洞可导致泄漏大量用户信息


第三,就是咱们用户自己不小心泄露出去的了,第一个就是纸质快递单,微博上有各种奇技淫巧销毁这张无辜的纸,其实我真的不认为会有人翻垃圾箱。。。

(但印象中有个新闻是小区内一小伙子拾到了一张未销毁的快递单,发现都是些值钱的东西,就心生歹意装作是送快递的进入室内%……#¥#@,所以还是处理了吧,哪怕简单的撕毁丢入不同的垃圾桶或马桶冲掉)

......


好了,说了这么多这些订单、快递单号的泄露到底会造成啥影响呢?一定要实际案例,不能YY,因为好多机构都称拥有了你的敏感信息就可以对你进行诈骗攻击,骗取你的钱财,但到底怎么骗的呢?乌云的白帽子亲身经历了一次诈骗,差点相信,但想明白后立刻对所有细节进行了回忆整理,不知道各位是否接到过类似电话。

乌云案例:接到X东的客服电话之后遭遇团伙诈骗 -- WooYun(白帽子技术社区)

白话文:大概的意思捏,就是白帽子接到了某电商的客服电话,然后又准确的说出了你的名字和购物记录,你会慢慢的与他建立信任关系,然后捏造一些让你担心的事情(基本是各种原因你可能被扣款或退货),骗你去ATM输入类似“确认码”的操作取消扣款(实际就是转账金额),输入进去确定钱就被转跑啦。

另一个类似的案例:揭露一个灰机退改签的诈骗...... -- WooYun(白帽子技术社区)

换汤不换药,还是通过订单或快递单信息各种姿势骗你,让你汇款就是了


说到最后,万能的乌云君能否给各位一些安全建议呢?有是有,不过治标不治本,各位参考即可,更多还要企业自身对信息安全的第一道门给看好咯!

乌云君对各位的小建议:

  • 买花露水儿啊(笑,不知道six god会不会因这个事件而脱销,HOHO),处理掉那张纸的办法太多了,用我教你么?
  • 用假名字,“张顺丰”,“李圆通”,“赵中通”,“王韵达”等等,起码你被卖了后你知道是谁。。。
  • 现在有好多收货服务,一些小区社区内会有,你收获地址写他们的,然后去自提,方便又安全(这可不是广告),可以问问很多小区的小卖店都支持了。
  • 土豪或对自己信息真的很敏感很重视的伙伴就办个电商小号吧,买个诺基亚超长待机的机子养着,还杜绝其他手机号安全风险。
  • 有效的第三方监督机构,三角形关系才是最可靠的,自己琢磨琢磨这句话。
  • 最后一点也是最重要的一点,大家在遇到这种事情的时候还是要说出来,让更多的人重视、警惕,目的是要让企业自己重视起来。企业不重视,我们做再多的努力也是白费,要让企业看到我们用户对安全的迫切需求与渴望,这样才能加大安全的投入,实际的解决我们关心的问题!!

---------------------------------------------

网站:乌云漏洞报告平台

微博: 乌云君

微信: wooyun_org

知乎专栏: 乌云君 - 知乎专栏

联系邮箱: help@wooyun.org