网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


国家电网否认泄露用户信息 但网上还在交易

2016-12-14 11:34 推荐: 浏览: 31 views 字号:

摘要: 昨日,网曝国家电网“掌上电力”、“电e宝”APP正在出现数据泄露,部分数据可能已流入黑产。知情人士向记者透露,国家电网对员工有绑定“掌上电力”等APP的任务量,淘宝上有商家提供绑定服务,大量的数据从各地供电公司流入淘宝,再从淘宝店铺倒卖至黑产。国家电网向媒体发...

昨日,网曝国家电网“掌上电力”、“电e宝”APP正在出现数据泄露,部分数据可能已流入黑产。知情人士向记者透露,国家电网对员工有绑定“掌上电力”等APP的任务量,淘宝上有商家提供绑定服务,大量的数据从各地供电公司流入淘宝,再从淘宝店铺倒卖至黑产。国家电网向媒体发布情况说明,否认存在大量个人信息泄露。昨日,淘宝已经下架了大量关于“掌上电力”“电e宝”的宝贝,相关关键词已无法检索。然而,记者发现,这类商家在其它平台依然非常活跃。

“掌上电力”绑定推广
致用户数据泄露
“掌上电力”是国内首批电力便民服务类APP,2016年初,该A PP在北京、山东、河北、浙江、安徽等10多个地区正式推广运营。11月开始,国家电网在全国27个省(市、区)全面推广“掌上电力”,目前已拥有接近9000万用户。
与此类似的,还有“电e宝”APP。只需要用手机在APP上绑定家庭电表的户号、密码,完成绑定操作之后即可使用缴费、查询等功能。
然而,一名知情人士告诉记者,在“掌上电力”面向消费者推广的过程中,用户的数据开始从各地供电公司流出。
“电网对员工都有规定任务量,比如一个月全供电所完成1万绑定量之类的,不同地区规定不同”,该知情人士透露,从APP推广开始,淘宝等平台上就出现了大量提供“掌上电力绑定”的店铺,专门提供关注、注册、绑定等服务,为各省份的“掌上电力”迅速增加用户量。
记者发现,“掌上电力”APP要求用户使用手机、微信注册登录,并用手机或者微信号绑定家庭电表的户号、密码。“原理就是,地方供电公司向淘宝店主提供消费者的客户编号、查询密码甚至详细地址,由店主绑定到黑灰产业提供的黑卡上,建立A PP账户”,上述知情人士说。
“这样的问题就是,用户的姓名和家庭地址等真实信息,大量流入了店家的手中。”该知情人士说,很多店家本来就在做着互联网黑灰产业链的生意,很快就会把信息倒卖出去。
其中,一家名为“国网电力微信户号绑定”的宝贝评价中注明“提供户号、位置(省-市-县-镇)”。

淘宝下架相关宝贝
多个平台仍有交易
截至记者发稿,阿里巴巴还没有给出官方说法,但记者在淘宝网上搜索“掌上电力”APP、“电e宝”APP注册服务等,已经无法检索。
可是,虽然淘宝网已经强制下架了“国家电网APP绑定服务”商品,但记者在百度“掌上电力”贴吧依然发现有大量卖家留有QQ号码或者微信账号提供相关服务,在一个用“石嘴山供电公司”logo当作头像的吧友发布的帖子里,一网友要求加其QQ号称可“让你足不出户完成上级给你的指标”,且“掌上电力,微信绑定均可完成”。
随后,记者添加其为QQ好友进行咨询,其表示可提供基于手机号码归属地考核的绑定服务,除西部偏远地区外的省份都有。记者称需要河北省的1000户绑定,其表示只有500个可以保证,1绑1(一个手机号对应一个账户)的情况下,记者自行绑定其仅提供验证码的价格为1.1元一个,绑定和提供验证码都由其负责的话“再加五毛”,还可保证记者本周内完成任务量。
记者通过一名曾经接触过此类淘宝商家的人士进行询问,该商家表示,因为国家电网的投诉,宝贝全下架了,但如果想要继续购买,可以转到闲鱼APP交易,或是直接在其新建的链接拍下。随后,该名店家建立了一个“网络服务”的新链接以供购买。

疑因任务量压力滋生产业
“掌上电力”APP的正确推广方法,本应是由员工亲自进行人际推广。中国电力网发表的“虞城县供电公司:多举措推广‘掌上电力’APP”提到,要“各营业厅窗口醒目位置摆放宣传手册”,“走村进户向居民发放宣传资料并讲解使用”。
《景港供电所推广掌上电力APP的主要做法》同时提到,推广任务是有考核兑现的,“全所人员都有推广任务,全所共六千户的任务必须在六月份之前全部完成”,“完成了奖励每户2元,未完成的罚款每户4元”,完成量多的甚至有奖励:“对供电服务辖区内的客户通过APP缴纳电费的总金额进行评比,前三名分别奖励200元、150元、100元。”
那么,这是员工因为任务量的压力,所以自发寻找网络黑灰产业链的帮助吗?据《21世纪经济报道》消息,一名店铺工作人员曾告诉记者,浙江所有的供电局都在其店铺做次业务,提供户号、密码,“一年给我十几万、几十万套,绑定一个户号1.2元。”
照此计算,一年绑定账号的花费在十几万左右,普通员工显然无法负担此等花费。
上述知情人士向记者出示了山东某市3万多户号、密码、地址的数据泄露截图,并表示泄露的数据远远比这多。

官方回应
国家电网否认大量信息泄露
近日在国家电网向媒体发出一份对“国家电网掌上电力”APP、电e宝APP泄露用户信息风险情况的说明中,称“根据目前掌握的实际情况和公司现有的技术管控手段,在推广掌上电力、电e宝APP过程中不存在泄露大量户号、查询密码、详细地址的情况”。
国家电网表示,“按照公司《信息系统业务授权许可使用管理办法》的要求,全网范围内的信息系统无批量导出功能,无渠道可获取批量用户信息”,且“业务人员需签订安全保密协议、定期开展安全自查,并主动向公安部申请安全防护检查”。
国家电网相关人士回应媒体称,2016年9月之前,国家电网曾对各省份“掌上电力”APP发展情况进行排名。但9月份之后,国家电网对“掌上电力”发展开始明确要求“业务渗透率”,只考核“缴费业务”、“新装业务办理线上比例”,不对APP绑定数量做要求。
(文章摘自于南方都市报)

联系站长租广告位!

中国首席信息安全官
关闭
关闭