快递公司网站普遍存安全漏洞

野山居士

来源：新快报

　　新快报记者 陈庆麟

　　虽然今年4月国家邮政局发布的《寄递服务用户个人信息安全管理规定》(简称《规定》)明确了寄递企业及其从业人员违法泄露用户信息，将承担法律责任，但似乎未能引起快递企业的高度重视。日前，央视《每周质量报告》报道称，在校学生在做网络安全测试时发现快递公司或者是其他公司的一些安全漏洞，从中提取个人信息并进行了网络售卖。快递公司的个人信息安全问题再度引起关注。互联网法律专家赵占领对新快报记者表示，贩卖快递个人信息的现象屡禁不止，和企业违法成本低不无关系。

　　快递公司安全意识低

　　根据央视报道，一家快递公司的负责人发现有人在网上公开买卖他们公司快递单上的个人信息，经警方深入调查后发现，是一名在校学生在做网络安全测试时发现快递公司或者是其他公司的一些安全漏洞，从中提取个人信息并进行了网络售卖。

　　据该案件嫌疑人介绍，有些快递公司网站的数据库存在一些比较低级的漏洞，成功通过漏洞进入网站后台后，可以通过上传后门文件，获取到数据库的访问权限。

　　“快递物流公司的网站安全性普遍较差。”360安全中心的安全专家向新快报记者表示，除了小型快递公司网站存在低级安全漏洞，一些知名大型快递公司的网站也频繁出现高危漏洞。

　　根据360网站安全检测平台接到的白帽子(指正面的黑客)反馈，申通快递、全晨快递、亚风快递等快递公司官网以及国家邮政局快递业务经营许可管理信息系统均存在用户快递单信息泄露、SQL注射、远程代码执行等不同类型漏洞，其危害是黑客可以远程控制这些快递公司的服务器权限，从而盗取用户数据库。

　　用户信息买卖已成产业链

　　事实上，违法泄露用户信息俨然已成了一个庞大的“灰色产业”。根据此前媒体报道，有的当日单号0.8元/单、有的根据快递面单的时效和种类不同，收益不尽相同，3个月之前为0.3元/单、3个月内为0.5元/单。

　　而很多快递公司的网站没有专业安全团队运维，甚至有的网站委托给第三方公司去维护的。由于缺乏安全意识，就不能及时发现和修复安全漏洞及安全问题，甚至会出现人为管理上的安全漏洞，导致数据泄露。　　此外，快递公司没有高度重视也是一方面。据了解，对于快递单据的用户信息，快递公司一般会定期清理电子数据库中的数据，而实体面单则是每天进行封存，在确定数量无误且没有投诉信息(一般留存一年)之后，过期的面单将在邮政监管部门的监督下备案并送往造纸企业销毁。

　　赵占领认为，违法成本低是快递公司不重视网络安全建设的主要原因。《规定》明确，寄递企业及其从业人员违法提供寄递用户信息，尚未构成犯罪的，依照《邮政法》第七十六条规定予以1万元以上5万元以下的罚款，并对快递企业直接负责的主管人员和责任人员给予处分；构成犯罪的，移送司法机关追究刑事责任。“这让很多企业认为只需管理好快递员，只要不是员工贩卖用户信息，即便被黑客攻破服务器，被罚款的金额也很少。”赵占领认为，物流公司应当做好防护工作，并在运营机制的设立上考虑安全性问题，如对不同的管理人员设定不同的访问权限。