当你在网上购物时,除了电商平台、商家和快递,还有别人能看到你填写的个人信息吗?答案是肯定的。 近日,南都记者调查发现,在网购订单信息的流转链条中,存在着不为公众所熟知的第三方服务商。它存储着各大电商平台的网购订单,在其后台搜索网名、地址、电话等关键词,甚至可以找到某一买家几年来在系统中记录的全部订单信息。 专家分析认为,电信诈骗涉及的网购订单信息,有些时候是从第三方软件泄露出去的,因为第三方服务商的信息安全能力普遍较为薄弱,屡屡成为黑客和内鬼的攻击目标。但因其通常隐藏在电商平台和商家之后,极易被忽视。
01
除了商家和平台,还有谁知道我的网购订单信息?
吊诡的是,陈嘉此前从未向该商家提供三年前的住址,商家又是怎么知道的?
他进一步解释道,很多商家都与同一家仓储公司合作,使用同一款订单管理软件,可能陈嘉在其他商家购物时曾提供过三年前的地址,所以软件保存了陈嘉的订单信息,这次碰巧自动匹配上了。
根据商家展示的软件后台截图,搜索陈嘉的淘宝ID,可以查询到她使用过的所有地址信息。不过商家强调,“这边是不会给您泄露信息的,您放心。”
“我觉得有点吓人。”陈嘉告诉南都记者,在她的认知中,应该只有商家和快递公司知道她的订单信息,她完全不知道其他第三方的存在,“但是他们却保有我的个人信息。”
02
第三方服务商可看到全部订单信息 多未加密
也就是说,无论是仓储公司还是第三方订单管理软件,都有能力获取和存储电商平台买家的订单信息。
他们都表示,可以通过搜索关键词如淘宝ID、订单编号、电话、地址等信息,找到买家在系统中的全部订单。张洪表示,“没查过太久的,但是半年和一年的信息是能查得到的。”
从陆丰展示的网店管家后台中,南都记者看到,虽然淘宝对网购订单进行了局部打码,但只要单机鼠标左键或双击某一具体的订单信息即可“解码”,完整显示订单号、成交时间、用户名、收件人、地址、物流方式等信息。
03
第三方服务商应及时删除订单信息 电商平台有审核义务
尽管陈嘉的遭遇可能是一次概率极小的系统错误,但只要这些隐藏在用户视线之外的第三方继续存在,隐私被侵犯的感觉就难以消除。那么,第三方服务商的存在是否合理?未经用户同意,第三方服务商有权存储其个人信息吗? App违法违规收集使用个人信息专项治理工作组专家何延哲表示,一个商家往往在多个电商平台开设店铺,如果由其中一个电商平台开发订单管理软件,可能涉及到各平台之间的数据竞争问题。独立第三方服务商有其存在的理由,长期磨合之下形成了当下这种结果。 北京大学法学院副院长薛军也认为,第三方服务商保存相关信息具有一定的合理性和必要性。但是保存的期限要有一个合理的限度,不宜长期保存,并在没有经过同意的情况下进行分享。 国家标准《信息安全技术 个人信息安全规范》要求,个人信息控制者委托第三方处理个人信息时,受委托者应严格按照个人信息控制者的要求处理个人信息。在委托关系解除时不再存储相关个人信息。 薛军表示,如果是商家授权第三方服务商帮他管理发货,那么第三方服务商收集相关信息属于为履行合同所必要的范围之内,但商家也应该把委托第三方发货的商业模式向用户明确告知。 北京网络行业协会法律委员会副主任王琮玮也持有类似观点:“仓储公司与商家之前共享信息的目的是为了把货送给用户,在配送结束后,原则上应及时删除,而不应该保留。” 她认为,商家在收集用户信息的时候,应该按照网络安全法的规定去明示收集信息使用的目的、方法等并征得用户同意,另外也需要告知用户,为其提供服务时会向第三方共享信息。此外,电商平台也有义务对于第三方获取用户信息的渠道进行审核。
04
有网购类电信诈骗因第三方泄露信息 建议增加审核制度
“请问您是否在××平台购买过××牌衣服?我是××平台客服。”近几年,网购退款诈骗猖獗。冒充客服的诈骗分子以各种名义要求用户汇款转账,而不少人上当的原因就在于——假客能够精准地说出他们的网购订单信息。
网购订单信息从何处泄露?
36氪此前分析认为,电商平台和商家泄露的可能性较低,问题就出现在两者交接的环节上:为了提高工作效率,快速填写、打印快递单、自动发货等等,商家通常会使用第三方订单管理软件。除了黑客,内鬼也是主要的泄露源头之一。网店管家的陆丰透露,此前曾有新来员工把客人的订单信息拿出去卖,工作几天就离职了。目前网店管家正在配合电商平台整改,后续电商平台也可能会彻底对订单信息加密。
何延哲告诉南都记者,从电商平台、商家、第三方管理软件、仓储公司,再到物流配送,已经形成了一个非常成熟的系统。如果网购订单信息被泄露,大家可能首先想到的是电商平台和商家,很少有人注意到第三方服务商也是一个潜在的泄露渠道。
而电信诈骗、金融诈骗涉及的网购订单信息,有些时候就是从第三方软件泄露出去的。他指出,商家可以通过正常的业务渠道获得大量订单信息,而这些信息又保存在第三方软件中,“这种业务架构上的缺陷可能会增加信息泄露的风险。”
中国交通运输协会快运分会副会长徐勇提出,应该建立一个第三方管理软件的审核制度,去审核软件是否存在信息泄露的缺陷和风险。从技术上,应建立内部的防火墙和审核制度、登录记录档案,防止内部人员泄露信息。
何延哲也建议,如果由一个通过技术安全检测的第三方技术平台进行订单管理,那么这个环节就会变得更加可靠。此外,还应该加大对此环节信息泄露的打击力度,增强商家和第三方软件维护人员的个人信息保护意识。
(为保护受访人隐私,文中陈嘉、赵翔、张洪、陆丰均为化名)
← 向右滑动与灰产圈互动交流 →