歡迎光臨
每天分享高質量文章

【每日安全資訊】超1000萬條快遞資訊被非法竊取,各大高校為重災區

快遞的隱私問題一直是制約這個行業健康發展的主要障礙之一,即便可以抵禦駭客攻擊、採用加密面單,卻怎料是“家賊難防”……

系菜鳥驛站服務商聯合作案

近期,杭州市蕭山區公安分局在“凈網2018”專項行動中抓獲一個非法獲取公民資訊團夥。該團夥利用自己是菜鳥驛站服務商的身份,將破解後的“菜鳥驛站”APP安裝進物流網點手持終端(俗稱巴槍)中,同時植入惡意控制元件。截獲菜鳥驛站伺服器傳送到巴槍的資料,回傳到自己的伺服器。

初步統計,截止2018年6月,被竊取的菜鳥驛站快遞資料超過1000萬條,而且絕大部分資料來自各大高校的網點,服務群體主要是大學生。洩露的資訊包括單號、姓名、手機號等等。

在發現網點使用的巴槍被安裝惡意程式之後,菜鳥網路第一時間報警處理。經過調查,起初嫌疑人張某、盧某希望將菜鳥驛站APP的資料同步到自己的微信公眾號。於是,盧某聯絡他人對菜鳥驛站APP進行破解,同時開發了惡意控制元件。隨後他們便將破解版APP和惡意控制元件傳送給多個地區的菜鳥驛站服務商,批次安裝進驛站終端巴槍。

在調查結束之後,菜鳥網路已經對涉及的漏洞進行了封堵。

物流終端APP安全、系統安全存隱患

此前發生的快遞資訊洩露,基本是單個物流公司出現。而菜鳥驛站主要為廣大淘寶、天貓使用者服務,接入的快遞公司多,涉及使用者量更大、改寫面更廣,安全性也顯得更加重要。快遞服務商聯合作案的情況,再次暴露物流體系中的安全隱患。駭客攻擊尚且可以透過技術手段來抵禦,而服務商在本案中顯然成為犯罪分子能夠獲取大規模資料的關鍵,直接為犯罪分子開啟了大門。

此外,手持終端使用的APP漏洞、系統漏洞也是關鍵。具體這次犯罪分子利用的漏洞雖然沒有公佈,但從警方給出的截圖來看,巴槍使用的安卓系統依然是比較舊的安卓版本,本身也就存在一定的安全風險。

*參考來源:澎湃新聞,本文作者Andy,轉載請註明來自FreeBuf.COM

更多資訊

◈ 加密貨幣詐騙取代勒索軟體成為攻擊者的最愛

http://t.cn/EvFqtLc

◈ “我是管理員” bug 將西部資料的 My Cloud 裝置變成每個人的雲

http://t.cn/EvFqIl4

◈ Purism推出首款安全金鑰 為膝上型電腦提供防篡改保護

http://t.cn/EvFqJ0b

◈ 成功黑入蘋果系統的澳洲少年或將面臨數年監禁

http://t.cn/EvFqaw1

(資訊來源於網路,安華金和蒐集整理)


贊(0)

分享創造快樂