從順豐系列數(shù)據(jù)泄露事件 看我國(guó)企業(yè)IT系統(tǒng)建設(shè)的安全軟肋

8月26日,順豐速遞湖南分公司宋某在深圳南山區(qū)人民法院受審,被指控罪名為:侵犯公民個(gè)人信息罪。泄露過(guò)程粗暴而簡(jiǎn)單:宋某將公司業(yè)務(wù)系統(tǒng)的賬號(hào)密碼出售給他人,導(dǎo)致大量客戶個(gè)人信息泄露。筆者翻閱了公開(kāi)披露的司法文書(shū),發(fā)現(xiàn)宋某事件并不是個(gè)例,即使作為快遞行業(yè)的領(lǐng)頭羊,順豐也無(wú)可避免的出現(xiàn)過(guò)多次客戶信息泄露事件。

為了支撐超大規(guī)模分布、實(shí)時(shí)性極高的調(diào)度要求,順豐實(shí)施了強(qiáng)大的IT系統(tǒng)建設(shè),然而多次數(shù)據(jù)泄露事件卻無(wú)情的揭露了這家物流巨頭在數(shù)據(jù)安全管理方面的顯著問(wèn)題,不單是順豐,這也是我國(guó)成長(zhǎng)中的IT系統(tǒng)建設(shè)的縮影:先建基礎(chǔ)信息系統(tǒng),再逐步完善IT架構(gòu)的建設(shè)思路,為如今頻發(fā)的數(shù)據(jù)泄露事件埋下了深坑。

本文只從技術(shù)角度對(duì)泄露事件進(jìn)行分析,并提出一些可行的解決思路,希望可以起到拋磚引玉的作用。筆者能力所限,如果存在謬誤還望大家不吝賜教。

案情回顧

本文列舉五個(gè)典型案例,由點(diǎn)及面,分析順豐可能存在的安全隱患。

案例1. 公司網(wǎng)站賬號(hào)密碼泄露

2016年8月26日,湖南省長(zhǎng)沙市順豐速遞有限公司宋任宇,將個(gè)人所掌握的公司網(wǎng)站賬號(hào)及密碼出售他人,造成泄露的順豐用戶個(gè)人信息大量泄露。

案例2. 編寫(xiě)惡意程序批量下載客戶信息

2016年7月東莞市石碣分部倉(cāng)管員陳洋伙同楊維保,利用楊維保編寫(xiě)的APP軟件批量下載客戶個(gè)人信息,一年間盜取10萬(wàn)余條。

案例3. 內(nèi)部人員大批量查詢客戶信息

2015年深圳多名順豐客戶接到詐騙電話,接舉報(bào),順豐公司反查單號(hào)發(fā)現(xiàn)有員工一月間查詢客戶記錄高達(dá)2.8萬(wàn)條,并多次利用他人賬號(hào)查詢信息。

案例4. 通過(guò)購(gòu)買(mǎi)內(nèi)部辦公系統(tǒng)地址、賬號(hào)及密碼,侵入系統(tǒng)盜取信息

2013年,楊某等人在互聯(lián)網(wǎng)上購(gòu)買(mǎi)順豐內(nèi)部網(wǎng)絡(luò)系統(tǒng)登錄地址、用戶名及密碼。通過(guò)無(wú)線網(wǎng)絡(luò)侵入順豐內(nèi)部辦公系統(tǒng),批量下載客戶個(gè)人信息及快遞記錄,非法販賣(mài)從中牟利。截至案發(fā),楊某等人共非法獲取個(gè)人信息180萬(wàn)余條。

案例5. 總部研發(fā)人員從數(shù)據(jù)庫(kù)直接導(dǎo)出客戶信息

2013年順豐的深圳福田總部,研發(fā)工程師嚴(yán)某利用職務(wù)之便,從順豐公司數(shù)據(jù)庫(kù)眾直接導(dǎo)出客戶個(gè)人信息,進(jìn)行出售。

從順豐IT系統(tǒng)架構(gòu)中找“嫌疑人”

我們發(fā)現(xiàn)多起案件的泄露來(lái)源涉及順豐不同系統(tǒng)模塊,在分析案例前,筆者先去了解了順豐的業(yè)務(wù)流程及核心應(yīng)用系統(tǒng)。

ASURA(阿修羅)系統(tǒng),順豐以此為核心構(gòu)建了龐大的全自動(dòng)貨物調(diào)配系統(tǒng)。每位員工分配賬號(hào),每個(gè)崗位僅開(kāi)放阿修羅系統(tǒng)相關(guān)權(quán)限,而上述5個(gè)案例卻是通過(guò)不同業(yè)務(wù)端進(jìn)入系統(tǒng)盜取數(shù)據(jù),實(shí)施犯罪。

下圖中橙色方框內(nèi)是順豐內(nèi)網(wǎng)系統(tǒng),以ASURA為核心,關(guān)聯(lián)營(yíng)運(yùn)貨物跟蹤、客戶關(guān)系管理、數(shù)據(jù)存儲(chǔ)中心、呼叫調(diào)度中心等若干業(yè)務(wù)系統(tǒng)。

黃線部分是順豐的主要業(yè)務(wù)流程:快件收發(fā)、快件中轉(zhuǎn)、快件派送。

綠線是各個(gè)網(wǎng)點(diǎn)與及GPS服務(wù)與ASURA系統(tǒng)間的訪問(wèn)交互,用于管理查詢快件信息和分配工作。

紫線的訪問(wèn)路徑支撐順豐的網(wǎng)絡(luò)或電話服務(wù),用于客服處理用戶問(wèn)題、投訴、查詢等個(gè)性化需求。

順藤摸瓜,通過(guò)分析模塊間的訪問(wèn)路徑,我們能夠分析出可能存在的數(shù)據(jù)泄露軌跡。

綠線中的“嫌疑人”

整個(gè)順豐業(yè)務(wù)的主線,也是有最多機(jī)會(huì)接觸到用戶數(shù)據(jù)的一條路徑。涉及到的角色有三類(lèi):快遞員、倉(cāng)庫(kù)管理員和信息錄入員。

快遞員是接觸用戶的第一只手。按照管轄區(qū)域分配,快遞員可以接觸到該區(qū)域用戶所填寫(xiě)的面單,利用“巴槍”(HHT手持設(shè)備)進(jìn)行接/發(fā)單記錄。每個(gè)快遞員會(huì)分配一個(gè)賬號(hào),可以通過(guò)“巴槍”查詢庫(kù)管分配到的運(yùn)單信息,包括客戶個(gè)人信息。粗略估計(jì),一名快遞員一天的收發(fā)件數(shù)量在60-70個(gè)左右,加之順豐嚴(yán)格的“收一派二”制度(收件1小時(shí)內(nèi),送件2小時(shí)內(nèi)),快件在快遞員手上逗留的時(shí)間有限,如果竊取,必然是小規(guī)模的數(shù)據(jù)量。另一方面,順豐快遞收入較同行業(yè)水平普遍高出1到3倍,確實(shí)沒(méi)太大必要靠販賣(mài)數(shù)據(jù)“掙外快”.

第二類(lèi)有機(jī)會(huì)接觸到用戶信息的就是倉(cāng)管員和信息記錄員。信息記錄員負(fù)責(zé)把面單信息與掃描到ASURA中的數(shù)據(jù)信息進(jìn)行比對(duì),修改掃描錯(cuò)誤的單子,因此擁有運(yùn)單信息的查詢和修改權(quán)限。由于此崗位的工作時(shí)間一般為下午2點(diǎn)到晚上10點(diǎn),于是某些順豐錄入員為求工作方便,在家通過(guò)遠(yuǎn)程VPN遠(yuǎn)程登陸公司系統(tǒng)完成工作。異地登錄存在安全隱患,同時(shí)相比快遞員,信息記錄員收入較低,并且有部分為兼職和外包人員。案例1中的宋某疑似就是一名信息錄入員,具體會(huì)在后面詳細(xì)說(shuō)明。

倉(cāng)管員同樣會(huì)接觸到數(shù)據(jù)。他們與快遞員擁有類(lèi)似的“巴槍”,但兩者權(quán)限不同。倉(cāng)管巴槍用于快件出入倉(cāng)、運(yùn)輸裝車(chē)、問(wèn)題件處理等環(huán)節(jié)。一般情況下,倉(cāng)管的賬號(hào)只能讀取該分站點(diǎn)的物流信息,不能讀取用戶信息,但倉(cāng)管可以以運(yùn)單圖片不清楚為由,向上級(jí)申請(qǐng)高權(quán)限賬號(hào),即可以從ASURA中查詢數(shù)據(jù),如下圖

紫線中可排除“嫌疑人”

紫色訪問(wèn)路徑主要應(yīng)對(duì)用戶查詢開(kāi)通。接線員可以用ASURA對(duì)某單進(jìn)行查詢,但查詢結(jié)果只顯示快件狀態(tài),來(lái)電號(hào)碼和用戶信息基本無(wú)從獲取。

紅線

紅線中的“嫌疑人”

紅線表示ASURA與其他統(tǒng)計(jì)分析系統(tǒng)的交互或數(shù)據(jù)處理。工程師是這個(gè)環(huán)節(jié)的重要實(shí)施人員,在這個(gè)環(huán)節(jié)中,通過(guò)測(cè)試庫(kù)和統(tǒng)計(jì)平臺(tái)他們可以輕易獲取大量真實(shí)用戶信息。這成為一個(gè)很危險(xiǎn)的數(shù)據(jù)泄露點(diǎn)。案件5就是這樣一個(gè)真實(shí)案例。

好了,我們以各崗位職責(zé)為線索,通過(guò)梳理所有可接觸數(shù)據(jù)的人群,分析他們的工作模式,發(fā)現(xiàn)在現(xiàn)有體制下,錄入員、倉(cāng)管員和工程師為最易泄露數(shù)據(jù)的人群。這也正對(duì)應(yīng)到材料中的案情分布情況。

從技術(shù)角度還原案發(fā)經(jīng)過(guò)

我們發(fā)現(xiàn),案例1-4中的泄露途徑發(fā)生在黃色路徑上,“嫌疑人”指向倉(cāng)管員或錄入員身上,案例5則是紅線的問(wèn)題,可能涉及內(nèi)部工程師。我們來(lái)分析一下他們的作案手段。

案例1

我們推測(cè)宋某為順豐錄入員,并且正是使用了VPN遠(yuǎn)程訪問(wèn)ASURA進(jìn)行數(shù)據(jù)校對(duì)和修改,由于宋某清楚自己賬號(hào)的所有行為都會(huì)被ASURA記錄,為了免責(zé),宋某向不法分子賣(mài)出的是自己的VPN賬號(hào)和另一名同事的系統(tǒng)賬號(hào),天真的以為即便事情敗漏也不會(huì)牽連到自己身上,但最終難逃法律的制裁。

案例2

主角陳洋為順豐集散點(diǎn)的倉(cāng)庫(kù)管,楊維保是順豐的技術(shù)工程師,擅長(zhǎng)寫(xiě)APP程序。陳洋讓楊維保編寫(xiě)了一個(gè)針對(duì)ASURA接口,模擬巴槍查詢訂單信息的APP.陳洋在自己手機(jī)上安裝此APP,通過(guò)自己賬號(hào)對(duì)ASURA進(jìn)行查詢操作,但由于權(quán)限低,無(wú)法查詢更詳細(xì)的信息。于是陳洋以巴槍掃描圖看不清為由向主管部門(mén)多次申請(qǐng)高權(quán)限用戶,利用手機(jī)APP進(jìn)行更詳細(xì)的信息查詢,直接存入手機(jī)中。由于順豐單號(hào)存在固定的意義和算法,陳洋甚至可以按照需求有針對(duì)性的獲取用戶信息。最終共盜取訂單數(shù)據(jù)十余萬(wàn)條。

案例3

發(fā)生順豐客戶集體被騙事件后,ASURA進(jìn)行反查發(fā)現(xiàn)某查詢過(guò)該批運(yùn)單的員工一個(gè)月進(jìn)行了2.8W條運(yùn)單信息查詢,從而確認(rèn)該員工盜存在取數(shù)據(jù)行為。

案例4

與前三個(gè)案例不同,犯罪人楊某非順豐內(nèi)部人員,而是向順豐員工購(gòu)買(mǎi)了內(nèi)網(wǎng)系統(tǒng)登錄地址、用戶名及密碼。通過(guò)連接順豐快遞枝江網(wǎng)點(diǎn)無(wú)線網(wǎng)絡(luò)進(jìn)入順豐公司內(nèi)部,通過(guò)ASURA,4個(gè)月之間獲取訂單信息約180萬(wàn)條。

從案發(fā)經(jīng)過(guò)看順豐的安全弱點(diǎn)

1、事后追查or實(shí)時(shí)告警

我們發(fā)現(xiàn)順豐能夠在事后統(tǒng)計(jì)出數(shù)據(jù)泄漏量及泄漏途徑、嫌疑人。這說(shuō)明順豐的IT系統(tǒng)具備事件發(fā)生后的追查能力,而幾個(gè)案件共通的內(nèi)部人員泄漏點(diǎn)恰恰說(shuō)明:順豐內(nèi)部的安全系統(tǒng)缺乏主動(dòng)預(yù)警和安全問(wèn)題發(fā)現(xiàn)能力;雖然在事后可以通過(guò)審計(jì)記錄分析追查,但損失無(wú)法彌補(bǔ)。

2.如果綁定IP和MAC地址,一切都會(huì)不一樣……

順豐集散點(diǎn)的網(wǎng)絡(luò)大多采用動(dòng)態(tài)IP的方式,未實(shí)現(xiàn)嚴(yán)格的IP管理和Mac地址管理。如果采用靜態(tài)IP和MAC綁定,案例2中陳洋的手機(jī)則無(wú)法通過(guò)WIFI和其臺(tái)式機(jī)相互通訊,無(wú)法進(jìn)行數(shù)據(jù)盜取的行為(順豐的臺(tái)式機(jī)禁止USB口)。案例4中如果采用IP靜態(tài)分配,不法分子即便買(mǎi)了路由的賬號(hào)和密碼也無(wú)法鏈接內(nèi)網(wǎng)中(靜態(tài)路由不會(huì)自動(dòng)給新加入的設(shè)備分配IP,沒(méi)有IP無(wú)法通訊。)

3.一個(gè)賬號(hào)不夠就多來(lái)幾個(gè)!

案例1和案例3中,都出現(xiàn)了多個(gè)賬號(hào)登陸同一臺(tái)機(jī)器的情況。由于批量下載的限制,只能使用一次少量條數(shù)的查詢方式,但多個(gè)賬號(hào)同時(shí)使用可以提高盜取數(shù)據(jù)的效率。同時(shí),多賬號(hào)訪問(wèn)可以擾亂審計(jì)系統(tǒng)判斷,一定程度上隱藏內(nèi)鬼行為。

順豐泄漏事件的診斷結(jié)果:需要增強(qiáng)綜合安全防護(hù)能力

作為全國(guó)物流行業(yè)的領(lǐng)頭羊,順豐對(duì)于基本的安全措施,特別是便捷安全手段上,確實(shí)具備一定的安全基礎(chǔ),但一系列案件暴露出來(lái)的問(wèn)題,指向同一個(gè)痛點(diǎn):內(nèi)外人員勾結(jié)引起的安全威脅正迅速蔓延。由于我國(guó)的早期安全建設(shè)主要圍繞邊界安全進(jìn)行,忽視內(nèi)部防護(hù)的后果正在抵消多年積累的戰(zhàn)果;同時(shí),數(shù)據(jù)黑產(chǎn)的出現(xiàn),使信息販賣(mài)的收入遠(yuǎn)高于本職工作,這是內(nèi)部人員鋌而走險(xiǎn)的主要原因。

從安全弱點(diǎn)看解決之道

當(dāng)你的手里只有一把錘子,會(huì)感覺(jué)一切的問(wèn)題都是釘子。筆者多年來(lái)從事數(shù)據(jù)庫(kù)攻防研究,可以說(shuō)別無(wú)他長(zhǎng),當(dāng)手握“數(shù)據(jù)庫(kù)安全技術(shù)”這把唯一的錘,看到順豐的案件,真的只想干一件事:把這枚數(shù)據(jù)泄露的“釘子”砸下來(lái)。怎么砸?該是發(fā)揮一技之長(zhǎng)的時(shí)候了!

上面案例暴露了順豐數(shù)據(jù)庫(kù)安全防護(hù)四宗罪:

·審計(jì)后不做智能分析

·接入新ip缺乏告警

·同一臺(tái)IP和用戶未做綁定

·多用戶登入一臺(tái)機(jī)器不做告警。

針對(duì)上述幾個(gè)案例的共同特征,通用的解決方案是:基于數(shù)據(jù)庫(kù)審計(jì)形成綜合安全防護(hù),這里的核心技術(shù)兩點(diǎn):數(shù)據(jù)庫(kù)應(yīng)用關(guān)聯(lián)審計(jì)和定期統(tǒng)計(jì)預(yù)警。

應(yīng)用關(guān)聯(lián)設(shè)計(jì)簡(jiǎn)單來(lái)說(shuō)就是把數(shù)據(jù)庫(kù)端會(huì)話信息和應(yīng)用端會(huì)話信息相互綁定和關(guān)聯(lián)。通過(guò)數(shù)據(jù)庫(kù)端信息判斷用戶,在應(yīng)用側(cè)操作的目的和行為的趨勢(shì)。根據(jù)目的和行為趨勢(shì)判斷該用戶當(dāng)下是否異常。發(fā)現(xiàn)異常操作自動(dòng)向相關(guān)部門(mén)告警。如下圖所示:

應(yīng)用關(guān)聯(lián)審計(jì)產(chǎn)品旁路部署于數(shù)據(jù)存儲(chǔ)中心,實(shí)時(shí)審計(jì)ASURA發(fā)向數(shù)據(jù)存儲(chǔ)中心的數(shù)據(jù)請(qǐng)求。在ASURA上安裝插件,由插件向關(guān)聯(lián)審計(jì)產(chǎn)品發(fā)送集散點(diǎn)和ASURA之間的應(yīng)用訪問(wèn)數(shù)據(jù)。關(guān)聯(lián)審計(jì)產(chǎn)品把數(shù)據(jù)庫(kù)端信息和應(yīng)用端數(shù)據(jù)相互關(guān)聯(lián)。

防護(hù)效果

當(dāng)不法分子使用內(nèi)部賬號(hào)通過(guò)ASURA訪問(wèn)數(shù)據(jù),此行為會(huì)被應(yīng)用關(guān)聯(lián)審計(jì)記錄下來(lái)。通過(guò)審計(jì)分析系統(tǒng)的內(nèi)置分析引擎,每天、每周、每月、每年,應(yīng)用關(guān)聯(lián)審計(jì)會(huì)針對(duì)每個(gè)IP賬號(hào)進(jìn)行查詢數(shù)量、查詢間隔、查詢時(shí)間進(jìn)行統(tǒng)計(jì),形成查詢走勢(shì)圖,結(jié)合同期歷史數(shù)據(jù)做比對(duì)。一旦發(fā)現(xiàn)明顯查詢數(shù)據(jù)量增大、查詢間隔存在類(lèi)似機(jī)器的行為、趨勢(shì)穩(wěn)定變化等情況即刻向安全部門(mén)告警,并提供詳細(xì)報(bào)表和對(duì)比數(shù)據(jù)。

比如案例3中,內(nèi)部人員一次性下載2.8萬(wàn)條數(shù)據(jù),是明顯的異常行為,此時(shí)必須迅速進(jìn)行告警;同時(shí),該員工使用多人賬號(hào)登陸,很有可能是在同一臺(tái)機(jī)器上,這是一個(gè)明顯的異常行為,應(yīng)當(dāng)及時(shí)告警。

如果順豐使用了具備應(yīng)用關(guān)聯(lián)審計(jì)、批量下載預(yù)警、異常行為發(fā)現(xiàn)能力的數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)和風(fēng)險(xiǎn)預(yù)警產(chǎn)品,而可以根據(jù)變化快速鎖定問(wèn)題賬號(hào)問(wèn)題機(jī)器;幫助安全部門(mén)揪出順豐中的內(nèi)鬼,減少企業(yè)數(shù)據(jù)泄露的損失。

針對(duì)內(nèi)部技術(shù)人員,數(shù)據(jù)庫(kù)脫敏系統(tǒng)+數(shù)據(jù)庫(kù)運(yùn)維管控=純凈的數(shù)據(jù)生存環(huán)境

在順豐的系列案件中,有一個(gè)比較特殊,案例5中工程師嚴(yán)某直接利用自身權(quán)限從數(shù)據(jù)庫(kù)中下載客戶資料。作為物流行業(yè)的領(lǐng)跑者,在IT系統(tǒng)建設(shè)和安全治理方面,順豐的腳步應(yīng)屬領(lǐng)先。我們更愿意相信,這次的數(shù)據(jù)泄露應(yīng)該是從測(cè)試數(shù)據(jù)庫(kù)中下載而非生產(chǎn)庫(kù),但由于測(cè)試庫(kù)中信息沒(méi)有做任何安全處理,才使嚴(yán)某直接拿到真實(shí)數(shù)據(jù)。

嚴(yán)某的例子輻射的不只是順豐的工程師,測(cè)試人員、數(shù)據(jù)分析員、第三方開(kāi)發(fā)人員等都具備類(lèi)似嚴(yán)某的便利條件。由于工作需要可以無(wú)限制的從數(shù)據(jù)庫(kù)中提取數(shù)據(jù)。而事實(shí)上,測(cè)試、分析、開(kāi)發(fā)等場(chǎng)景中,并不需要使用完整的真實(shí)信息,完全可以通過(guò)數(shù)據(jù)脫敏產(chǎn)品,將敏感信息進(jìn)行處理后再交由相關(guān)人員。

脫敏處理的同時(shí),并不能忽視對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為進(jìn)行嚴(yán)格的運(yùn)維管控,對(duì)特殊敏感表的批量下載行為要經(jīng)過(guò)嚴(yán)格的事前審批和事中監(jiān)控,數(shù)據(jù)本身的安全性及訪問(wèn)行為的安全管控結(jié)合,360度無(wú)死角的保護(hù),這樣的數(shù)據(jù)生存環(huán)境才真正純凈。

小結(jié)

應(yīng)用關(guān)聯(lián)審計(jì)、數(shù)據(jù)庫(kù)脫敏、數(shù)據(jù)庫(kù)運(yùn)維管控等多種內(nèi)部信息訪問(wèn)審計(jì)和監(jiān)控的武器可以幫助企業(yè)打贏信息泄露的攻堅(jiān)戰(zhàn)。如今,“信息泄露”已經(jīng)取代木馬、病毒等成為企業(yè)安全第一威脅。同時(shí),主要泄露途徑也由外部黑客入侵逐漸向內(nèi)外勾結(jié)轉(zhuǎn)變。順豐的5起案件成為最典型的佐證。

隨著數(shù)據(jù)信息的價(jià)值逐步攀升,越來(lái)越多的“順豐式內(nèi)鬼”在企業(yè)內(nèi)部蠢蠢欲動(dòng)。希望本文給已經(jīng)面對(duì)和即將面對(duì)此類(lèi)問(wèn)題的企業(yè)一個(gè)思考方向。


極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2016-09-22
從順豐系列數(shù)據(jù)泄露事件 看我國(guó)企業(yè)IT系統(tǒng)建設(shè)的安全軟肋
8月26日,順豐速遞湖南分公司宋某在深圳南山區(qū)人民法院受審,被指控罪名為:侵犯公民個(gè)人信息罪。泄露過(guò)程粗暴而簡(jiǎn)單:宋某將公司業(yè)務(wù)系統(tǒng)的賬號(hào)密碼出售給他人,導(dǎo)致大量客戶個(gè)人信息泄露。筆者翻閱了公開(kāi)披露的司法文書(shū),發(fā)現(xiàn)宋某事件并不是個(gè)例,即使作為快遞行業(yè)的領(lǐng)頭羊,順豐也

長(zhǎng)按掃碼 閱讀全文