二零二零年年底,杭州一家做母婴用品的电商公司接连收到客户投诉。很多客户反映,他们刚刚下单购买了婴儿奶粉和纸尿裤,第二天就接到了自称是"官方客服"的电话,以产品质量出问题需要退款为由,要求提供银行卡号和验证码。有几个客户已经上当受骗,损失金额从几千到上万元不等。
客服总监小李一开始以为是黑客攻击了电商平台,立即联系技术团队进行了全栈式安全检查。但检查结果显示,平台自身没有数据泄露的痕迹,数据库访问日志也一切正常。那么问题出在哪里呢?
小李仔细比对后发现,接到诈骗电话的客户有几个共同特点:都是最近一周内下的单,而且购买的商品都通过同一家快递公司配送。她怀疑问题出在物流端。经过与快递公司反复沟通,最终发现了问题所在。快递公司位于某地的营业点,一名收派员利用系统查询权限非法下载了客户的面单信息,然后把这批数据卖给了诈骗团伙。每张面单信息的价格是几块钱,那名收派员累计卖了上千条。
这件事在当时引起了不少关注。物流环节的客户信息泄露是电商行业长期面临的难题。面单上印有客户的姓名、电话、地址和购买商品类型,这些信息一旦被不法分子获取,就可能被用来实施精准诈骗。尤其是母婴用品、保健品、高价值电子产品等品类的订单,客户信息的黑市价值更高。
按照个人信息保护法的相关规定,快递企业作为个人信息的处理者,有义务建立完善的个人信息安全管理制度,采取加密、去标识化等安全技术措施。快递面单上的个人信息应当做脱敏处理,比如对收件人的联系电话做部分隐藏,只显示必要的配送信息。但现实中很多快递网点执行不到位,面单信息完全暴露,给不法分子留下了可乘之机。
这起事件之后,该快递公司在内部全面升级了数据安全管理措施。收派员的系统查询权限由原来的按岗位开通改为一单一授权,只有快递包裹到达派送区域时才能查看对应客户的详细信息,超出服务范围的查询会被系统标记和告警。公司还在每个营业点增加了内部审计频次,定期抽查系统操作日志,排查异常查询行为。同时全面推行了电子面单的信息脱敏处理,收件人的手机号和地址只显示部分字符。
在电商企业这一端,小李也给客户发送了安全提醒的短信,告知公司官方客服不会通过电话要求客户提供银行卡信息或发送退款链接。很多做电商的朋友在交流时遇到过类似的物流环节泄露问题,特别是在大促这种订单量暴涨的时期,各环节的管理压力都会变大,风险也会随之升高。保护好客户的信息,从某种角度上说就是在保护企业自身的品牌信誉和商业生命线。
