“菜鳥驛站”一千萬條快遞資料被非法竊取 漏洞現已被封堵

[ 摘要 ]嫌疑人利用自己是各省份菜鳥服務商的身份優勢，在推廣自己公司的閘機、微信公眾號的同時，將控制元件程式安裝到各個驛站的巴槍，獲取包裹入庫資料。

澎湃新聞（www.thepaper.cn）21日從浙江省公安廳獲悉，日前，杭州市蕭山區公安分局在打擊整治網路違法犯罪“淨網2018”專項行動中，破獲1個非法獲取公民資訊團伙，抓獲犯罪嫌疑人21名。

警方通報，該案中，犯罪團伙並非採取以往的直接網路攻擊盜取模式，而是對安裝在物流網點手持終端（俗稱巴槍）中的“菜鳥驛站”APP進行破解後，植入控制元件程式。通過相關省份“菜鳥驛站”服務商進行推廣安裝後，直接通過資料回傳獲得資料。截至破案，遭非法竊取的“菜鳥驛站”快遞資料超過1000萬條。

被植入控制元件的巴槍。警方供圖

今年6月，蕭山區公安分局網警大隊接菜鳥網路舉報，稱其下屬驛站站點使用的巴槍被安裝惡意程式，用於竊取快遞上的公民資訊。

案發後，蕭山區公安分局立即抽調網警、刑偵等精幹警力成立專案組偵查。偵查人員首先對嫌疑人開發的該惡意程式進行逆向分析，發現該惡意程式的功能為擷取“菜鳥驛站”伺服器回傳到巴槍的資料，並獲取其中的快遞公司名稱、使用者手機號、使用者姓名、運單號等資訊，再回傳到嫌疑人的阿里雲伺服器中。

警方查獲的犯罪團伙流程圖。警方供圖

隨著調查的深入，專案組逐漸明確了嫌疑人的身份和獲取的菜鳥網路快遞資訊的資料量。今年7月至9月，蕭山區公安分局在浙江省網安總隊、杭州市網警分局的支援下，趕赴安徽合肥、六安、浙江杭州、江蘇南京、山東煙臺、威海、濟南、青島等地，在當地警方的配合下，先後抓獲盧某（男、32歲）、張某（男、33歲）等21名涉案嫌疑人，查獲涉案雲伺服器10臺，電腦、手機等作案工具30餘臺。

經查證，安徽籍犯罪嫌疑人張某、盧某為了獲取“菜鳥驛站”APP的資料並同步到自己的微信公眾號上，增加微信公眾號的功能，由負責技術的盧某於2017年8月聯絡杭州軟體開發技術人員劉某巨集，要求其破解安裝在巴槍中的“菜鳥驛站”APP，並開發安卓控制元件程式，竊取菜鳥回傳到驛站巴槍的資料。

在收到劉某巨集的程式原始碼後，盧某對該程式作了小部分修改並配置好伺服器資訊，交由楊某森等人對驛站的巴槍進行安裝。隨後盧某、張某又將該程式發給位於江蘇、山東等地的“菜鳥驛站”服務商。其他省份的服務商出於相同目的，均在自己省份內對該程式進行推廣和安裝。

據警方透露，該案中，嫌疑人利用自己是各省份菜鳥服務商的身份優勢，在推廣自己公司的閘機、微信公眾號的同時，將控制元件程式安裝到各個驛站的巴槍，獲取包裹入庫資料，私自打通“菜鳥驛站”同微信公眾號之間的資料壁壘，為以後利用微信公眾號進行商業推廣積累人氣。

遭資訊洩露的網點之一。警方供圖

而被非法竊取的資訊，經警方查實均系快遞資料，來源於各大高校的“菜鳥驛站”，都是大學生的快遞資訊。這些資訊包含有單號、姓名、手機號、快遞公司名稱等。這類資訊較為敏感，且資料的準確率極高。

經初步統計，截止2018年6月份，被盜取的“菜鳥驛站”快遞資料達1000餘萬條。破案後，經警方通報，菜鳥網路已對上述漏洞進行了封堵。

目前，盧某、張某等21名犯罪嫌疑人已被蕭山警方採取刑事強制措施。案件的具體情況仍在警方的進一步調查之中。