快递的隐私问题一直是制约这个行业健康发展的主要障碍之一，即便可以抵御黑客攻击、采用加密面单，却怎料是“家贼难防”……

系菜鸟驿站服务商联合作案

近期，杭州市萧山区公安分局在“净网2018”专项行动中抓获一个非法获取公民信息团伙。该团伙利用自己是菜鸟驿站服务商的身份，将破解后的“菜鸟驿站”APP安装进物流网点手持终端（俗称巴枪）中，同时植入恶意控件。截获菜鸟驿站服务器发送到巴枪的数据，回传到自己的服务器。

初步统计，截止2018年6月，被窃取的菜鸟驿站快递数据超过1000万条，而且绝大部分数据来自各大高校的网点，服务群体主要是大学生。泄露的信息包括单号、姓名、手机号等等。

在发现网点使用的巴枪被安装恶意程序之后，菜鸟网络第一时间报警处理。经过调查，起初嫌疑人张某、卢某希望将菜鸟驿站APP的数据同步到自己的微信公众号。于是，卢某联系他人对菜鸟驿站APP进行破解，同时开发了恶意控件。随后他们便将破解版APP和恶意控件发送给多个地区的菜鸟驿站服务商，批量安装进驿站终端巴枪。

在调查结束之后，菜鸟网络已经对涉及的漏洞进行了封堵。

物流终端APP安全、系统安全存隐患

此前发生的快递信息泄露，基本是单个物流公司出现。而菜鸟驿站主要为广大淘宝、天猫用户服务，接入的快递公司多，涉及用户量更大、覆盖面更广，安全性也显得更加重要。快递服务商联合作案的情况，再次暴露物流体系中的安全隐患。黑客攻击尚且可以通过技术手段来抵御，而服务商在本案中显然成为犯罪分子能够获取大规模数据的关键，直接为犯罪分子打开了大门。

此外，手持终端使用的APP漏洞、系统漏洞也是关键。具体这次犯罪分子利用的漏洞虽然没有公布，但从警方给出的截图来看，巴枪使用的安卓系统依然是比较旧的安卓版本，本身也就存在一定的安全风险。

*参考来源：澎湃新闻，本文作者Andy，转载请注明来自FreeBuf.COM