经过记者的不完全统计,2013年至今,在申通快递公司被公布的安全漏洞中,与“信息泄露”相关的,有13份报告。其中2013年公布的4份,2014年公布的5份,2015年公布的4份。
这些漏洞报告中,被标注危害等级为“高”的,有9份。
漏洞标题:申通快递某系统存弱口令,可导致信息泄露
危害等级:高
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递某处注入内部信息泄露申通
危害等级:高
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递公司后台权限绕过大量用户资料泄露
危害等级:高
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞标题:申通快递某处泄露快递单扫描件、客户身份证、电话录音等信息
危害等级:中
漏洞状态:厂商已经确认
漏洞标题:申通快递短信服务泄漏敏感信息
危害等级:中
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递E3集群系统和客服管控系统管理信息泄露
危害等级:高
漏洞状态:厂商已经确认
漏洞标题:申通快递办公系统任意登录并可使用其内部功能(直接泄露登录密码)
危害等级:低
漏洞状态:厂商已经确认
漏洞标题:申通快递某管理后台存在漏洞,可能泄露内部敏感信息
危害等级:高
漏洞状态:厂商已经确认
漏洞标题:申通快递某系统存在SQL注入(泄露大量客户快递信息)
危害等级:高
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递某站从弱口令到getshell再到业务数据泄露
危害等级:高
漏洞状态:厂商已经确认
漏洞标题:申通某服务器目录遍历导致泄露大量用户信息
危害等级:高
漏洞状态:厂商已经确认
漏洞标题:申通快递权限设计不当可获取修改全站用户收货地址(大量敏感信息泄露)
危害等级:低
漏洞状态:厂商已经确认
申通信息安全漏洞至少13处
消费维权
客户可索赔但比较难
北京市惠诚律师事务所律师陈楠告诉记者,如果快递客户遭遇诈骗并掌握证据证明诈骗受害系因快递公司信息泄露引起,且快递公司在信息泄露这一问题上有过错,那么,受害人可以对快递公司追究赔偿责任。
但陈律师坦言,在现实中,这种索赔会很艰难。
“你很难证明自己被骗是因为快递公司信息泄露导致。除非黑客被抓了,买信息的骗子也被抓了,他们都承认犯罪事实,你还知道他们被抓且认罪,才有可能。”
“但实际上,往往是快递客户在A地,窃取信息的黑客在B地,买信息的人在C地,实施诈骗的人在D地。你人在A地,怎么可能会知道千里之外的B地,有个非法获取个人信息的刑事案件和你有关?”他说。