游客

平安好车主百万级用户数据流出 员工“刷单”行为被严惩

游客 2016-12-27 16:28:35    200758 次浏览

平安好车主百万级用户数据流出 员工“刷单”行为被严惩

本报记者陈宝亮 | 实习生肖达明

北京报道

平安产险 3.0 核心战略平台——平安好车主被爆料数百万用户数据外流,外流数据包括车牌号、车架号、发动机号、车主身份证、车主联系方式、保单详情、违章记录等核心、详细数据。

知情人士向记者爆料:“最近一年来,数百万车主车牌号和身份证后 6 位从平安保险代理人手中流出,流入到一批淘宝店主手中,这些淘宝店提供‘平安好车主代绑定’服务,可以帮平安保险代理人完成 APP 的推广任务。”

“平安对代理人有好车主 APP 推广任务要求, 我们县的业务员每人每月有 5 个任务。”一位北方某县平安保险代理人如是告诉记者,该县汽车保有量约 10 万辆,2016 年中开始推广平安好车主 APP,“如果完不成任务,每个扣 5 元,直接从工资里扣。但完成没有奖励。”

一位沿海城市的平安保险员工告诉记者:“我们这里每天都有 3 个好车主 APP 任务。不过,即便这么大任务量,我们在全国排名还是倒数的。” 该城市汽车保有量超过 300 万辆,“我们这要求不严格,完不成任务没有罚款,但会影响绩效,我就从来没有完成过,很多人都要从淘宝买。”相比于每个 5 元的罚款,从淘宝购买,每个注册成本约 3 元。

按照平安好车主 APP 的绑定要求,需要手机号 车牌号 身份证后 6 位才能进行绑定。淘宝店主提供大量手机号供注册使用,而车牌号 身份证后 6 位则由平安员工提供,在业务说明中,淘宝店主要求“提供车牌号 身份证后 6 位”,有的还注明要求“平安客户”。

大量车主信息通过此类交易从平安员工手中汇集到淘宝店主手中,而这些信息在绑定好车主之后,则曝光了诸如身份证、联系方式、违章信息等更多高价值数据。

身份证、手机号明文展示

平安好车主百万级用户数据流出 员工“刷单”行为被严惩

2016 年 10 月 20 日,平安官方发布新闻,宣布平安好车主注册用户数达到 2400 万,绑车用户突破 1000 万。在 2016 年 Q2 财报中,该 APP 公布用户数刚刚突破 400 万。而截稿时,平安产险回应记者称,好车主 APP 注册用户数突破 3000 万。

高速增长的用户数背后却有灰色交易的支撑。以“平安好车主”为关键词在淘宝搜索,出现 64 家提供注册、绑定类服务的店铺,且均推出了“好车主 APP 推广”、“好车主绑定车辆、完成任务”等宝贝。

在淘宝上,提供注册、绑定类服务的店主均储备海量的手机卡,以承接各类注册、关注、绑定业务,其中包括平安好车主的业务。多家店铺客服告诉记者,我帮你注册,但绑车的话你需要提供车牌号 身份证后 6 位,没有上牌的车提供车架号 发动机号 身份证后 6 位。”绑定完成后,淘宝店主将手机号、登录密码、绑定车牌号 身份证后 6 位信息整理反馈给买家。

经同事提供车辆信息,记者绑定平安好车主测试发现,虽然注册手机号与车主预留联系方式不同,但并不影响绑定。而绑定之后,记者可以直接在平安好车主 APP 中查询被绑定车辆的保单信息、保险金额、车辆信息、车主联系方式、违章记录等核心数据。

在好车主 APP 的保单信息界面中,车主姓名、身份证信息均为明文展示。此外,平安好车主的保单信息、用户联系方式两项页面中还展示了车主手机号,虽然车主手机号中有 4 位数字使用“*”加密脱敏,但是,在保单信息界面中,车主手机号的后 4 位进行脱敏,其余 7 位明文。而在用户联系方式界面中展示的车主手机号却是对中间 4 位进行脱敏,手机号头 3 位、后四位数字明文展示。两个信息核对,即可轻易得出车主的正确手机号。

需要指出,大多金融类 APP 执行严格的安全审核机制,比如,在切换登录终端时,系统会要求登录者进行重复验证,且需要匹配多种银行预留信息。但记者在多个终端登录平安好车主账号时,均无需验证。如果淘宝店主将注册信息出售,购买者可以轻松在其他终端登录、查询,获取用户的详细数据。

记者统计了 64 家店铺中销量靠前的 35 家,总计交易笔数 62.5 万,其中一家名为“好车主工作室”的店铺,完成了 17 万笔交易。需要指出,总销量远高于此,有部分销量超过 10 万的宝贝在记者调查期间被删除,未列入统计。

除了少部分交易不要求员工提供车辆信息之外,绝大多数交易都要求员工提供车辆、车主信息,每笔交易会绑定5-10 辆车。这也就意味着,在此类交易中,数百万车辆信息存在外流。

但是,需要指出,平安产险互联网事业部再回应记者时虽然承认虚假注册的存在,但否认数据泄露,并表示“经内部排查,被不法商家用来完成虚假注册的信息无法通过好车主 APP 获取更多隐私。”

车主数据流入黑产

此类信息,已经开始公开出售。

记者咨询了淘宝上 3 家提供好车主注册、绑定业务的店主,询问“是否可以出售部分平安车险的车辆信息”,其中一家店主拒绝了记者;一位店主在记者报价 5 元/条之后开始犹豫,并不断询问记者“做什么用”,但并没有出售;第三家店主在询问记者需求、用途之后,同意向记者出售数据。以 5 元/条价格,首批出售了百条平安车主数据供记者测试。经平安产险内部员工随机测试,“(测试车牌号)都是平安保险客户,有的还刚刚出险过。”

在了解到记者每月都有数万条需求量之后,该店主告诉记者:“等你确定需求后找我,我这都是你们平安给的数据,全国各省都有,全部都是真的。最好是大量交易,一次这么点太麻烦了。”

一位多年研究数据黑产的业内人士告诉记者:“淘宝店主经常会流出高价值数据,但是他们只会卖给熟人。向这种出售给陌生人的,只能说明数据早已流入黑市,你买到的已经是二手数据了。”

车主数据的外流,已经引起多个平台、监管机构的重视。

2015 年下半年以来,不少车主遭遇车辆信息泄露,其中,部分车主信息被绑定到滴滴平台,成为滴滴快车、顺风车司机。记者调查发现,仅过去半年期间,此类情形引起的公开投诉已经超过上百起。

记者通过淘宝、QQ 搜索“滴滴注册”,联系数位提供“滴滴注册”业务人士,对方告诉记者:“车牌号、驾驶证、身份证,我这都有。”不过,由于滴滴修改规则,目前无法利用他人驾驶证进行注册,“以前所有材料都可以用别人的去注册,都能过。但现在加了人脸识别,驾照必须用真的。”不过,依然可以使用他人的车牌号进行注册。

此外,2016 年以来,全国各地陆续爆发大量“违章信息诈骗”案例,车主手机会收到真实的车辆违章资料短信,而这些短信中内置木马链接,全国各地均有受害人被诈骗。为此,多地公安机关曾发文提醒广大市民“警惕‘交通违章’诈骗短信”。

目前,并不确定此类诈骗涉及到的数据泄露是否来自平安好车主 APP。

平安严惩刷单员工

平安好车主只是平安集团推出的 40 多款 APP 中的一种,而且,并不是用户量最大的。

目前,注册用户最多的是平安金管家 APP。好车主、金管家分别属于平安产险、平安寿险。平安寿险相关人士告诉记者:“全国 110 万保险代理人推广金管家,目前已经实现 9000 多万注册量。”

不过,记者调查发现,金管家的部分注册量也来自淘宝店铺。记者以金管家为关键词在淘宝搜索,发现 353 家店铺。记者一周前统计其中排名靠前的 28 家店铺,涉及金管家注册的交易笔数为 172 万。不过,至截稿时,记者发现,其中部分店铺交易笔数在过去的一周内增长过万。

“黑市上,不少手机黑卡,都会去平安的产品里跑一遍,去接注册任务。一年千万张黑卡,每到月底的时候还供不应求。”前述爆料知情人告诉记者:“很多店主光靠平安的业务就轻松盈利百万。”

事实上,平安人寿、产险均已发现此类“刷单”行为,并且严格打击,两者均回应记者称,“严格禁止任何数据造假行为,并采取多项技术手段对注册信息进行监控排查,严惩违规行为。”

前述县城平安保险代理人告诉记者:“公司不让买注册,前段时间查出来几个人,连带经理一起被处罚,都扣了品质分,远比完不成的罚款更严重。”此外,在淘宝评论区,也有员工告诫同行:“不要买注册。我刚买就被公司发现,扣品质分、警告批评,都成了保险生涯的污点。”

但是,这类处罚并未能阻挡员工的“刷单”脚步,在记者统计金管家的淘宝交易时,有店铺在最近一周内销量激增,排名前五的店铺,交易笔数均增长过万。而且,为了应对平安保险的技术侦查,淘宝店主通过更改终端 IMEI、MAC 号码,做到一个注册对应唯一终端、唯一手机号,并且定期对此类虚假做“活跃”、“参加平安有约健康行”活动等等,以伪装成真实用户。不过,店主在提供金管家注册服务时仅要求员工提供“员工工号”,记者并未在金管家 APP 发现与好车主类似的客户信息泄露。

平安寿险、产线均告诉记者,针对电商平台可能出现的刷单行为,我司已经对出现的违规行为进行举报,要求平台方予以下架处理。”不过,至记者截稿时,淘宝并未对平安系 APP 的关键词进行屏蔽。

此前,国家电网曾因旗下掌上电力 APP 的刷单行为向淘宝投诉,淘宝删除了所有电力 APP 绑定服务的宝贝,但并没有对相关店铺做出处罚。

记者咨询此事件,淘宝回应:“今年 12 月 13 日,淘宝网应国家电网相关部门的要求,已对‘国家电网 APP’相关商品进行了全部下架处理。”但对于记者“这些店铺收集用户信息行为是否违法、违规”的疑问,淘宝回应称:“对于涉事卖家,是否存在倒卖个人信息等行为。平台愿配合权利人和执法机构进行调查处理。”

内容加载中