原标題：信息失守！外賣平台客戶資料洩露後被倒賣，每條不(bù)到(dào)1毛錢

　　“騷擾電話太多了(le／liǎo)，讓人(rén)心裏很不(bù)舒服。”市民許昕反映，因爲(wéi / wèi)在(zài)美團訂過一(yī / yì ／yí)次外賣，他(tā)所住的(de)酒店地(dì / de)址、房間号碼、聯系電話等隐私信息被洩露。而(ér)許昕的(de)信息，這(zhè)隻是(shì)重案組37号(微信ID：zhonganzu37)獲取的(de)數千條外賣訂餐信息中的(de)一(yī / yì ／yí)條。

　　用戶每訂一(yī / yì ／yí)次外賣，就(jiù)意味着要(yào / yāo)将自己的(de)信息上(shàng)傳一(yī / yì ／yí)次。但這(zhè)些隐私信息是(shì)否足夠安全?近日，重案組37号探員在(zài)多個(gè)“電話銷售”群發現，有賣家專門出(chū)售外賣訂餐客戶的(de)信息。包括電話姓名、訂餐地(dì / de)址在(zài)内，每條信息的(de)售價不(bù)到(dào)一(yī / yì ／yí)毛錢。還有網絡運營公司借助軟件搜集用戶的(de)訂餐信息，打包後倒賣給電話銷售公司，甚至還有一(yī / yì ／yí)些外賣騎手也(yě)做起了(le／liǎo)客戶信息倒賣的(de)“生意”。

　　有專家表示，信息洩露不(bù)斷發生的(de)情況下，相應的(de)技術安全規範和(hé / huò)要(yào / yāo)求仍未出(chū)台，公民的(de)個(gè)人(rén)信息仍處于(yú)“危險期”。

▲4月20日，覃華發來(lái)的(de)2600多條外賣平台的(de)用戶信息。 文件截圖

　　萬條信息售價800元

　　“今天的(de)數據已經更新，長期出(chū)售各種數據”，4月14日下午4點，陳京宏在(zài)QQ上(shàng)推送了(le／liǎo)一(yī / yì ／yí)條消息。系統顯示這(zhè)個(gè)QQ的(de)好友超過200人(rén)。陳京宏稱，其中大(dà)多是(shì)向他(tā)買過“數據”的(de)客戶。

　　陳京宏所說(shuō)的(de)“數據”，是(shì)包括電話、地(dì / de)址在(zài)内的(de)公民隐私信息。

　　重案組37号（微信ID：zhonganzu37）聯系到(dào)陳京宏，是(shì)在(zài)一(yī / yì ／yí)個(gè)“電話銷售群”中。當重案組37号探員詢問是(shì)否有外賣訂餐用戶的(de)“數據”後，立即收到(dào)陳京宏的(de)添加申請。聊天中陳京宏透露，自己手上(shàng)有北京、上(shàng)海、廣州等一(yī / yì ／yí)線城市、來(lái)自美團等外賣平台的(de)客戶數據，10000條售價800元，5000條起售，“平均每條不(bù)到(dào)一(yī / yì ／yí)毛錢。”

　　陳京宏随後發來(lái)一(yī / yì ／yí)份截圖，顯示大(dà)量姓名、聯系方式和(hé / huò)地(dì / de)址等信息。陳京宏稱數據都是(shì)“最近三天的(de)”，但無法提取到(dào)具體下單日期。

　　當重案組37号探員提出(chū)想要(yào / yāo)獲取“數據”後，陳京宏發來(lái)了(le／liǎo)一(yī / yì ／yí)個(gè)微信群的(de)二維碼，掃碼進入後是(shì)隻有探員和(hé / huò)他(tā)兩個(gè)人(rén)的(de)微信群。在(zài)收到(dào)探員兩個(gè)200元的(de)紅包後，陳京宏退群，并留言：“15分鍾内整理好數據發給你”。

　　還不(bù)到(dào)15分鍾，陳京宏就(jiù)通過QQ發來(lái)一(yī / yì ／yí)份EXI表格，内有5000條信息。和(hé / huò)截圖内容一(yī / yì ／yí)樣，這(zhè)份表格包括姓名、電話、性别和(hé / huò)地(dì / de)址，但沒有訂餐日期。包括朝陽、密雲等區在(zài)内北京16個(gè)區的(de)數據都有涉及。

　　重案組37号探員從表格中随機選取100個(gè)電話号碼進行驗證。其中有效号碼61個(gè)，33名機主确認表格中的(de)信息準确，并确認自己近一(yī / yì ／yí)、兩個(gè)月内，在(zài)美團訂過餐。“對，是(shì)這(zhè)個(gè)地(dì / de)址”，地(dì / de)址顯示爲(wéi / wèi)CBD某公寓的(de)楊女士在(zài)聽到(dào)探員報出(chū)的(de)地(dì / de)址後稱，她前一(yī / yì ／yí)天晚上(shàng)在(zài)美團的(de)一(yī / yì ／yí)家燒烤店訂過餐。

　　重案組37号探員粗略統計，在(zài)這(zhè)份5000人(rén)名單中，有一(yī / yì ／yí)部分來(lái)自于(yú)賓館、酒店、商場等公共場所。

　　一(yī / yì ／yí)位地(dì / de)址顯示爲(wéi / wèi)房山區某五星級酒店某号房的(de)周女士回憶，她在(zài)4月13日入住該酒店時(shí)，曾使用美團外賣平台訂過餐，但記不(bù)清訂餐内容和(hé / huò)具體商家，“訂得太多了(le／liǎo)。”

　　探員随後再次聯系陳京宏，詢問爲(wéi / wèi)何會有無效号碼。陳京宏稱“有些數據可能更換過”。每次問到(dào)數據的(de)來(lái)源，對方都會有意回避。再三追問下，陳京宏最後表示“數據是(shì)由美團系統内部人(rén)員提取的(de)，每天更新4萬條左右。”

　　陳京宏透露，這(zhè)些數據每天中午會更新一(yī / yì ／yí)次，“到(dào)晚上(shàng)肯定能銷完”。

　　實際上(shàng)，售賣美團外賣客戶信息的(de)不(bù)止陳京宏一(yī / yì ／yí)個(gè)。重案組37号探員在(zài)多個(gè)電話銷售群發現，至少有三名賣家均稱自己有美團外賣的(de)客戶數據。QQ昵稱爲(wéi / wèi)“彩虹”的(de)賣家稱可以(yǐ)自己有全國(guó)範圍的(de)數據，每萬條價格爲(wéi / wèi)600元，除了(le／liǎo)用戶姓名和(hé / huò)電話地(dì / de)址外，還包括訂餐信息。

　　重案組37号探員發現，也(yě)有一(yī / yì ／yí)些賣家稱也(yě)有餓了(le／liǎo)麽、百度外賣的(de)客戶信息，每萬條價格從700元到(dào)2000元不(bù)等。

▲陳京宏稱向記者發來(lái)5000條用戶信息。 手機截圖

　　軟件自動“扒”客戶信息

　　除了(le／liǎo)這(zhè)些直接以(yǐ)賣家的(de)身份售賣信息外，一(yī / yì ／yí)條更爲(wéi / wèi)隐秘的(de)外賣顧客信息獲取渠道(dào)浮出(chū)水面。重案組37号（微信ID：zhonganzu37）調查發現，一(yī / yì ／yí)些代理運營外賣店的(de)網絡公司也(yě)在(zài)售賣信息。

　　“平時(shí)總是(shì)接到(dào)一(yī / yì ／yí)些推銷電話、廣告短信，我覺得我的(de)信息洩露的(de)夠嚴重了(le／liǎo)，沒辦法，電話也(yě)不(bù)好再換。”市民許昕告訴重案組37号探員，因爲(wéi / wèi)在(zài)美團定過一(yī / yì ／yí)次外賣，他(tā)所住的(de)酒店地(dì / de)址、房間号碼、聯系電話等隐私信息成了(le／liǎo)“公開的(de)秘密”。而(ér)這(zhè)隻是(shì)探員獲取的(de)數千條外賣訂餐信息中的(de)一(yī / yì ／yí)條。

　　某網絡運營公司的(de)工作人(rén)員覃華平時(shí)的(de)業務是(shì)負責幫忙代開（運營）美團店鋪。他(tā)同時(shí)稱，可以(yǐ)想辦法搞到(dào)成都的(de)美團訂餐客戶信息。

　　爲(wéi / wèi)什麽隻有成都的(de)？覃華表示，自己在(zài)其他(tā)城市沒有代運營的(de)美團店鋪，而(ér)這(zhè)些數據都是(shì)從自己代運營的(de)店鋪裏用軟件爬取的(de)。

　　“姓名、性别、電話、地(dì / de)址，訂餐次數都有，但具體能有多少條我要(yào / yāo)查一(yī / yì ／yí)下才知道(dào)。” 覃華說(shuō)。他(tā)給出(chū)的(de)報價比之(zhī)前的(de)賣家貴了(le／liǎo)幾倍，每條5毛錢。覃華随後解釋稱，可以(yǐ)保證準确率，而(ér)且就(jiù)是(shì)這(zhè)兩天的(de)。

　　4月20日，覃華發來(lái)一(yī / yì ／yí)份顯示總計有2605條信息的(de)電腦截圖。之(zhī)後又發來(lái)另一(yī / yì ／yí)份截圖：2609。“剛剛又有四個(gè)客人(rén)訂餐，數字随時(shí)會漲”，覃華說(shuō)，“尾數算是(shì)送的(de)，你轉1300元給我就(jiù)好。”

　　約半個(gè)小時(shí)後，重案組37号探員看到(dào)了(le／liǎo)這(zhè)份總共2609條的(de)信息清單，其範圍更加廣泛。通過查篩關鍵詞結果顯示，地(dì / de)址顯示爲(wéi / wèi)酒店的(de)共有83條，網吧共有47條，醫院29條，會所1條。

　　探員從酒店中随機抽取54條撥打發現，除了(le／liǎo)30條關機或無人(rén)接聽等無法聯系，3條信息不(bù)符外，有21位機主确認自己近期用該地(dì / de)址在(zài)美團上(shàng)訂過餐。

　　其中在(zài)和(hé / huò)酒店住戶王先生的(de)信息确認中，探員故意給出(chū)一(yī / yì ／yí)個(gè)不(bù)完整的(de)地(dì / de)址，但随即被對方糾正并補充。而(ér)王先生給出(chū)的(de)地(dì / de)址正是(shì)信息清單中的(de)地(dì / de)址。

　　在(zài)這(zhè)份信息清單中還有16個(gè)來(lái)自網吧的(de)地(dì / de)址，不(bù)少地(dì / de)址甚至精确到(dào)某家網吧的(de)機位号。重案組37号探員逐一(yī / yì ／yí)核實發現，除了(le／liǎo)其中4位機主電話無法接通外，其餘12位機主均表示自己确實使用該地(dì / de)址訂過餐。

　　“一(yī / yì ／yí)般做店鋪運營會買這(zhè)些信息，轉化率很高。” 覃華說(shuō)，他(tā)獲取這(zhè)些信息是(shì)通過将自己的(de)軟件挂在(zài)一(yī / yì ／yí)些美團商家後台，從中爬取，“系統不(bù)可能發現”。

　　“如果是(shì)商家的(de)信息就(jiù)更好弄了(le／liǎo)，全國(guó)随便哪個(gè)地(dì / de)方，一(yī / yì ／yí)晚上(shàng)我能給你搞定一(yī / yì ／yí)個(gè)城市的(de)所有商家信息，包括店主姓名、店名、地(dì / de)址、手機号碼。”覃華說(shuō)。

　　重案組37号探員提出(chū)是(shì)否會被平台系統監控到(dào)，覃華表示監控不(bù)到(dào)，“這(zhè)個(gè)東西你不(bù)用讓商家知道(dào)，隻要(yào / yāo)有電腦，在(zài)家就(jiù)可以(yǐ)操作。”

　　覃華随後發來(lái)一(yī / yì ／yí)份該軟件的(de)監控截圖，從截圖列表中可以(yǐ)看到(dào)用戶姓名、電話、注冊日期、最近消費、儲值餘額等信息。“2800元可使用一(yī / yì ／yí)年。”覃華說(shuō)，但他(tā)拒絕透露該軟件的(de)名稱。

▲4月20日，陳京宏稱用戶信息由美團系統内部人(rén)員提取。 手機截圖

　　外賣騎手“出(chū)賣”訂單

　　重案組37号（微信ID：zhonganzu37）調查中發現，還有“數據”賣家發來(lái)兩份武漢和(hé / huò)北京地(dì / de)區的(de)送餐員的(de)信息截圖，詢問是(shì)否需要(yào / yāo)。重案組37号探員在(zài)随後的(de)調查中發現，作爲(wéi / wèi)外賣用戶信息的(de)終端接觸者，包括部分美團騎手在(zài)内的(de)一(yī / yì ／yí)些送餐員，也(yě)在(zài)利用用戶信息牟利。

　　4月18日，重案組37号探員通過電話找到(dào)美團外賣騎手李德，詢問對方是(shì)否可以(yǐ)售賣用戶的(de)訂餐信息。對方表示可以(yǐ)，但價格稍高，一(yī / yì ／yí)元一(yī / yì ／yí)條。

　　“這(zhè)些信息可以(yǐ)确保是(shì)當天的(de)，而(ér)且訂單上(shàng)的(de)所有信息都可以(yǐ)給你，包括從哪家訂的(de)餐，訂了(le／liǎo)哪些餐。”李德說(shuō)。

　　談好價格後，李德随即發來(lái)了(le／liǎo)4月18日35位顧客的(de)訂餐信息。這(zhè)些信息分爲(wéi / wèi)兩種，一(yī / yì ／yí)種是(shì)美團騎手APP的(de)截圖，還有一(yī / yì ／yí)種是(shì)打印的(de)紙質小票。

　　第二天，李德主動詢問探員是(shì)否還需要(yào / yāo)訂單信息，并又發來(lái)34份外賣的(de)訂餐單。其中一(yī / yì ／yí)份訂單顯示，朝陽區某小區3期的(de)張女士曾在(zài)美團某沙拉店商家訂過餐，訂餐内容包括三文魚卷在(zài)内一(yī / yì ／yí)共四種。經張女士确認，該訂單确實是(shì)她點的(de)。

　　重案組37号探員先後核實20個(gè)訂單信息，除了(le／liǎo)3位機主無法确認外，其他(tā)機主均表示訂單信息真實。

　　外賣信息洩露糾紛不(bù)斷

　　重案組37号（微信ID：zhonganzu37）梳理發現，不(bù)少外賣平台用戶都有過信息被洩露的(de)經曆，甚至因此引發糾紛。

　　據媒體報道(dào)，去年12月份，柴先生通過“餓了(le／liǎo)麽”點餐平台訂了(le／liǎo)一(yī / yì ／yí)份外賣，共計31.8元。約10分鍾後，一(yī / yì ／yí)名自稱商家的(de)人(rén)聯系柴先生稱，他(tā)訂的(de)黑椒豬排賣完了(le／liǎo)，換菜需要(yào / yāo)補兩塊錢的(de)差價。“信息很準确，我訂單的(de)信息，商家賣的(de)什麽餐，一(yī / yì ／yí)模一(yī / yì ／yí)樣。”柴先生說(shuō)。随後對方讓柴先生報一(yī / yì ／yí)下支付寶數字以(yǐ)便收取兩塊錢的(de)差價。在(zài)報過數字後，柴先生發現對方已經轉走了(le／liǎo)自己近2000元。商家表示柴先生的(de)餐并沒有賣完，給他(tā)打電話的(de)也(yě)不(bù)是(shì)店裏的(de)工作人(rén)員。柴先生懷疑自己的(de)訂餐信息被洩露。

　　此外，今年3月份，哈爾濱李先生在(zài)訂過一(yī / yì ／yí)次外賣後，頻繁接到(dào)陌生人(rén)電話詢問如何找“小姐”。不(bù)勝其擾的(de)李先生最後發現，自己的(de)電話是(shì)被一(yī / yì ／yí)名外賣騎手洩露的(de)，并将其備注爲(wéi / wèi)“小姐上(shàng)門”。

　　網站網友“時(shí)光漫步支旅”也(yě)曾發帖稱，自己給男朋友點了(le／liǎo)一(yī / yì ／yí)份美團外賣後，随後被一(yī / yì ／yí)位陌生人(rén)加了(le／liǎo)微信。對方知道(dào)自己的(de)姓名和(hé / huò)詳細地(dì / de)址，但自己并不(bù)認識他(tā)。幾經追問之(zhī)下，對方承認信息是(shì)送外賣的(de)朋友給的(de)，目的(de)是(shì)想幫他(tā)脫單。

　　重案組37号探員以(yǐ)信息被洩露用戶的(de)身份撥打美團客服電話，一(yī / yì ／yí)位客服人(rén)員表示，美團内部對于(yú)信息的(de)管理非常嚴格，不(bù)會洩露用戶的(de)隐私。但用戶訂單信息涉及多個(gè)環節，商家和(hé / huò)騎手會有用戶信息，且不(bù)包括送錯餐以(yǐ)及訂餐小票弄丢等幹擾因素。

　　此外重案組37号探員注意到(dào)，發生于(yú)2011年底的(de)“互聯網洩密門”也(yě)波及美團，當時(shí)美團曾發短信緻用戶：“近日多個(gè)網站用戶數據洩露，經核實，您的(de)賬戶信息已洩露，請盡快修改美團網密碼，以(yǐ)防賬戶被盜。”

　　美團網方面負責人(rén)接受媒體采訪時(shí)表示，由于(yú)此次用戶信息洩露事件波及了(le／liǎo)多個(gè)用戶量較大(dà)的(de)平台，如CSDN、網易郵箱等，有部分使用相關賬戶注冊美團網的(de)用戶賬戶面臨安全威脅。

　　個(gè)人(rén)信息仍處“危險期”

　　廣東中安律師事務所合夥人(rén)、深圳仲裁委員會仲裁員潘翔介紹，刑法修正案（七）對侵犯公民個(gè)人(rén)信息罪進行了(le／liǎo)立法，規定國(guó)家機關或者金融、電信、交通、教育、醫療等單位的(de)工作人(rén)員，違反國(guó)家規定，将本單位在(zài)履行職責或者提供服務過程中獲得的(de)公民個(gè)人(rén)信息，出(chū)售或非法提供給他(tā)人(rén)，情節嚴重的(de)，處三年以(yǐ)下有期徒刑或者拘役，并處或者單處罰金。竊取或者以(yǐ)其他(tā)方法非法獲取上(shàng)述信息，情節嚴重的(de)，依照前款的(de)規定處罰。

　　此外《網絡安全法》也(yě)明确，網絡運營者應當采取技術措施和(hé / huò)其他(tā)必要(yào / yāo)措施，确保其收集的(de)個(gè)人(rén)信息安全，防止信息洩露、毀損、丢失。在(zài)發生或者可能發生個(gè)人(rén)信息洩露、毀損、丢失的(de)情況時(shí)，應當立即采取補救措施，按照規定及時(shí)告知用戶并向有關主管部門報告。

　　網絡安全專家、白帽彙創始人(rén)趙武表示，目前信息洩露不(bù)斷發生，但相應的(de)技術安全規範和(hé / huò)要(yào / yāo)求仍未出(chū)台，公民的(de)個(gè)人(rén)信息仍處于(yú)“危險期”。

　　對于(yú)外賣平台涉嫌洩露客戶隐私的(de)問題，趙武分析稱，有可能是(shì)外賣平台程序存在(zài)漏洞，比如API（應用程序編程接口）沒有做認證，網絡入侵者可以(yǐ)根據訂單序列号爬取用戶信息。曆史上(shàng)出(chū)現過很多起類似案例，例如一(yī / yì ／yí)些招聘網站的(de)簡曆大(dà)規模洩露等。

　　第二種可能是(shì)跟商家合作的(de)第三方洩露信息。比如有的(de)商家會搞一(yī / yì ／yí)些積分、返利、贈券等活動，這(zhè)些活動一(yī / yì ／yí)般是(shì)第三方公司承做。他(tā)們在(zài)活動中會搜集用戶的(de)信息，而(ér)本身對數據的(de)保護不(bù)如平台嚴密，因此很容易被入侵。“此前12306網站信息洩露就(jiù)是(shì)這(zhè)種情況。”趙武說(shuō)。

       趙武介紹，去年6月份我國(guó)的(de)《網絡安全法》已經正式實施，總的(de)指導要(yào / yāo)求已經明确，但相應的(de)具體技術安全規範仍未出(chū)台，尤其是(shì)對商業公司的(de)信息監管沒有很具體的(de)要(yào / yāo)求。

　　如何防範信息洩露，趙武表示，一(yī / yì ／yí)方面國(guó)家應該盡快出(chū)台網絡安全保護具體細則，嚴格立法要(yào / yāo)求企業對安全事故負責，尤其是(shì)跟隐私相關的(de)數據洩露必須有懲罰和(hé / huò)賠償機制，不(bù)允許企業增加“黑客攻擊導緻的(de)數據洩露不(bù)承擔責任”類似的(de)霸王免責條款。同時(shí)，嚴格管束企業方對數據的(de)利用情況，出(chū)一(yī / yì ／yí)次事，處罰一(yī / yì ／yí)次。

　　另一(yī / yì ／yí)方面，商業公司要(yào / yāo)及時(shí)更新信息保護手段，建立深層防護機制，在(zài)做數據分析和(hé / huò)使用時(shí)，可以(yǐ)先将客戶的(de)敏感信息隐去，用虛拟ID代替；再将其隐私信息通過加密的(de)手段做二次防護。

　　此外趙武表示，商業公司還應完善信息管理機制，“比如技術加密的(de)算法是(shì)什麽，什麽樣的(de)人(rén)才能接觸到(dào)用戶數據，建立詳細的(de)技術标準規範”。