漏洞导致信息泄露，意图借壳上市的申通应该自省！

漏洞导致信息泄露，意图借壳上市的申通应该自省！

“正如公告所言，如果不出意外，申通快递将实现（借壳）上市，时间则可能在明年（2016年）五、六月份。”12月2日，申通快递有关人员对某媒体记者如此表示。看来，申通快递上市之势已成必然。

但就在申通快递借壳上市正在紧锣密鼓的进行时，一个关于申通不太好的消息被媒体披露，给意气风发的申通泼了一小瓢“冷水”——申通存在信息安全漏洞导致用户信息泄露。

经过梳理，申通漏洞事件的过程大体上是这样的：

2014年7月19日，一名叫“袋鼠妈妈”的漏洞作者在乌云网提交了一份名为“国内快递行业某个疑似通用软件配置不当引发大量信息泄露”的报告。报告显示，报告作者共测试了5家与该软件相关的快递公司，其中就包括申通。报告的最后，作者写道：“综上，个人推断快递行业使用的K8速运管理系统会因配置不当导致泄露，有空看能否对其软件逆向试试，但目前大量快递信息泄露是真实存在的。”犯罪黑客在“乌云网”上看到了公布出来的申通公司的系统漏洞后，利用申通K8速运管理系统漏洞非法侵入申通快递有限公司服务器，下载包含公民个人信息的快递面单信息2000余条，通过网络如QQ群将信息出售给他人。申通法务人员发现后，报案。

从事件过程看，出现软件漏洞的应该不止申通一家，但可能只有申通的服务器被攻破了，或者此前其他快递已经补救了这个漏洞，当然也许是其他原因。但不管怎么样，只有申通被摆上了桌面。

这时，我想起与申通信息泄露关系紧密的京东购物者被骗的事情来。

2015年4月，有消息称上百人在京东网购后遭诈骗，他们准备起诉京东泄露信息。当时，针对这起事件，笔者在与几位安全专家交流京东用户信息是如何泄露导致被骗的原因时。有位专家提出，用户信息泄露的原因“一种可能是物流过程泄露，一种可能是钓鱼网站骗取信息。”而另一位专家则认为，信息泄露原因“有可能是软件漏洞或者插件漏洞。”前段时间，京东漏洞被黑客利用的消息证明，京东确实存在过漏洞。而这一次申通信息泄露的消息同时也证明了一个问题：快递网站被黑客攻破并非妄言。

这样一来，从京东和申通这一个卖货的、一个送货的漏洞事件看，用户信息泄露的途径已经非常明了，而我们也终于知道为什么骗子那么多了！所以，当我们购物之后接到骗子的电话时，你也不用惊讶为何自己的信息为何会到了骗子手上。当黑客进入快递网站，像打开自己的电脑那样简单，去浏览快递用户信息时，你的信息不泄露才是一件怪事。

不管申通是不是第一个因为漏洞导致信息泄露的快递公司，有些问题都让我很困惑。

不知道您有没有注意两个细节。一个是：黑客在乌云网发现“看到了公布出来的申通公司的系统漏洞。”另一个细节是，“申通的法务人员发现黑客在卖申通公司的信息后，向公安机关报案，并提交了付款等图片证据。”

这两个细节说明：乌云网公布漏洞后，是黑客首先发现的信息，并利用了信息；而申通信息没有进一步泄露、扩散，似乎是申通的法务人员人员立了一功。

我很奇怪，一般情况下，乌云网公布的漏洞都会被相关涉事公司确认或者否认，出现漏洞的公司会及时补救。难道，申通公司对此没有理会？假如申通在发现乌云网公布的漏洞后，及时修补或者升级软件的话，应该会避免信息泄露的事件发生。而申通的法务人员人员执行职责的出色表现值得表扬，可申通的技术人员是否也及时做出表现了呢？不知道，事实究竟是怎么样的。也许，是我多虑了吧！

但有一点可以肯定，如果不是黑客在乌云网发现了漏洞报告，那他们就不能窃取申通的用户信息。而用户信息买卖不被被申通法务人员发现的话，申通也不知道自己的信息泄露。那么，在这个事情上，申通是该感谢乌云网，还是该责备乌云网呢？这显然很矛盾！

一直以来，申通快递的服务水平都受人诟病。根据国家邮政局公布的《2015年10月主要快递企业申诉率表》，在全国知名的快递企业中，申通的投诉率位列第三，国通的延误率最高。而这次的漏洞事件，不知正在积极上市的申通会作何感想。

亡羊补牢，为时未晚。申通信息泄露的事情至少会有这么一点意义：让快递公司、电商可以真正重视安全的意义。不管是和安全软件公司合作，还是聘请安全专家任职，包括申通在内的快递公司以及电商们都应该在自省之后有所举动。否则，你就会重复申通的信息泄露过程。（姜伯静 首发 iDoNews专栏）

个人微信：jiangbojing-2014

微信公众号：jiangbojing2013，或搜索“姜伯静”，或扫描以下二维码