千万APP用户数据泄露或流入‘黑产’ 国家电网:这个锅我不背

bigsec

国家电网面向4亿用户推出的掌上电力App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士爆料:“掌上电力、电e宝App正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入‘黑产’,危害持续扩大。”

掌上电力系国内首批电力便民服务类App,注册用户可以通过该App进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。国家电网App在2014年推出后,在北京等地区曾经推出首批试点。2016年初,该App在北京、山东、河北、浙江、安徽等10多个地区正式推广运营。11月开始,国家电网在全国27个省(市、区)开始全面推广掌上电力,目前已拥有接近9000万用户。

bigsec

“2016年5月开始,国家电网各地电力公司开始规模推广掌上电力。”“大量的数据从各地供电公司流入淘宝,然后从淘宝店铺倒卖至黑产。”上述知情人士表示,“掌上电力开始面向消费者推广时,淘宝上就开始出现了大量提供‘掌上电力绑定’服务的店铺,他们给各省电力公司提供关注、注册、绑定等服务,为各省的掌上电力迅速增加‘用户量’。”

海量用户数据外流

掌上电力、电e宝的绑定滋生出大量市场需求,一批以“掌上电力绑定”等为主营业务的商户在淘宝上陆续出现。

bigsec

一家名为“XXX店”的店铺推出了“代做国网浙江、江苏、江西、山东掌上电力app绑定”的两款宝贝,历史销量累计5300件。该工作人员要求记者提供户号、密码、详细地址,并且表示:“这没什么违法的。”需要指出,这家号称一年拿到“十几万套户号”的店铺,在淘宝的排名靠后,排名首位的店铺淘宝显示其掌上电力类交易笔数总计17.8万笔。

据多家淘宝店反馈的信息,供电公司每户绑定一个手机号的成本约1-1.3元,店铺完成任务后,会返还带有注册手机、密码、绑定户号、地址的表格,供电力公司员工“登录、验货”。此外,还有一种“一绑五”的低成本方式,按照国家电网规定,掌上电力App允许消费者用一个手机号绑定5个户号,“一绑五”每户成本约0.4-0.5元。

前述知情人士告诉记者,“有的地方一次提供几百个,有的嫌麻烦的一次就给店铺18万个户号、密码,全国泄露数量已经到千万级。”

需要指出,在掌上电力App绑定户号之后,家庭详细地址、门牌号等关键信息部分以“**”字符代替,实现脱敏。不过,数位技术人员表示:“这种遮挡并没有意义。户号、密码都有,稍微一点技术手段,就可以破解这种脱敏,拿到详细地址。”

买卖公民个人信息或涉嫌违规

比详细地址泄露更危险的是,这些数据如今或已经流入黑市。

知情人士告诉记者:“这些淘宝店主已经把数据转售给他人,现在是已经成为黑产的‘一手数据’。”匹配目前已经在黑市泛滥的电商订单、快递数据、身份证、银行卡信息。“这些数据加工之后,带来的危害难以估计,最简单的,可以根据用电数据分析你家什么时候有人、什么时候没人,后果可想而知。”

根据2012年12月28日第十一届全国人民代表大会常务委员会议通过的《关于加强网络信息保护的决定》,其中第三条规定,“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”。

其后,工信部颁布《电信和互联网个人信息保护规定》,第二章第十条规定,“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。”

知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领认为,根据《关于加强网络信息保护的决定》、《电信和互联网个人信息保护规定》,“泄露个人信息,可以追究公司职工的民事责任、以及单位的行政责任。”

而在淘宝规则中,“虚拟账号类商品,如支付宝、微信号、百度钱包、翼支付、快钱钱包、QQ钱包等;提供或接收验证码的服务类商品;手机号码注册、认证类商品;代注册账号类商品”等商品被视为发布涉嫌欺诈等非法用途的商品或服务。

国家电网否认千万APP用户数据泄露

12月3日晚间22时44分,国家电网在其新博官方微博发出一份对“国家电网掌上电力”APP、电e宝APP泄露用户信息风险情况的说明。说明称“根据目前掌握的实际情况和公司现有的技术管控手段,在推广掌上电力、电e宝APP过程中不存在泄露大量户号、查询密码、详细地址的情况”。

bigsec

国家电网表示,“按照公司《信息系统业务授权许可使用管理办法》的要求,全网范围内的信息系统无批量导出功能,无渠道可获取批量用户信息”,且“业务人员需签订安全保密协议、定期开展安全自查,并主动向公安部申请安全防护检查”。

国家电网相关人士回应媒体称,2016年9月之前,国家电网曾对各省份“掌上电力”APP发展情况进行排名。但9月份之后,国家电网对“掌上电力”发展开始明确要求“业务渗透率”,只考核“缴费业务”、“新装业务办理线上比例”,不对APP绑定数量做要求。

淘宝下架相关宝贝 多个平台仍有交易

据调查了解,虽然淘宝网已经强制下架了相关商品,但记者依然在网络上发现有大量卖家提供相关服务。一网友发帖子表示,加其QQ号称可“让你足不出户完成上级给你的指标”。随后记者添加其QQ进行咨询,其表示可提供基于手机号码归属地考核的绑定服务,除西部偏远地区外的省份都有。

记者还通过一名曾经接触过此类淘宝商家的人士进行询问,该商家表示,因为国家电网的投诉宝贝全下架了,但如果想要继续购买,可以转到其它APP交易,或是直接在其新建的链接拍下。

延伸阅读:国家电网年底将实现掌上电力服务全覆盖

国家电网日前发布消息,今年年底前,国网经营范围内的26个省区市,将全部实现掌上电力服务,届时,居民、企业用户不仅办理用电业务,不出门点点手机就可轻松搞定,还可以依靠电力大数据平台动态调整自己用电方式。

作为国网掌上电力试点省份,浙江已经将用户用电涉及的多部门、跨流程的45个环节全部统一管控。无论是企业还是个人,开户、买电、增容、维修等用电业务,原来需要跑几天才能办好的业务,现在在手机上点点就能轻松搞定了。

据了解,目前国网经营范围内已有11个省份实现了掌上电力服务,今年年底前将覆盖全部26个省区市。(本文援引“21世纪经济报道”、“南方都市报”、“新华日报”综合报道)

岂安科技求Java研发大师加入