4月23日，有媒体爆出网上可买到美团外卖的客户资料，包含电话姓名、订餐地址在内的隐私资料，每条价格不到1毛钱。根据记者调查，报价最低的甚至可以到1万条个人隐私仅需800元。

在记者购买这些隐私的过程中，“商家”不但没问其购买用途，还向其炫耀自己资料的真实性、可靠性，“数据是由美团系统内部人员提取的，每天更新4万条左右，每天中午更新一次，晚上就能卖完”。

这些数据是怎么来的，是用户无意间泄露的，还是美团公司有内鬼？内鬼的权限有多高，我们在美团订餐还安全吗？我们应该怎么保护自己的隐私？

针对这些网友关心的问题，黑奇士展开了调查。

90后“内鬼”做到美团销售主管 去年底已被判刑

黑奇士在中国裁判文书网上进行搜索，发现今年3月份刚刚公布的判例：

广东省阳江市江城区人民检察院于2017年11月，对被告人方某、蓝某提起起诉。方某出生于1992年，在犯案前任职于互诚信息技术公司，职位为阳江地区销售主管。互诚信息是原美团网和大众点评合并之后注册的法律实体，可以被认为是法律意义上的“美团网”。

（江城区人民法院）

起诉书指控，被告人方某为了个人目的，想获取阳江及广州地区的美团大众点评网（下文简称美团）商户信息，于是利用自己是销售主管的工作之便，将自己的登陆账号和密码交给蓝某，指使蓝某窃取美团公司的商户信息。

被告人蓝某通过方某的美团账号密码，登陆公司内网盘古、apollo系统，利用自己编写的程序大量获取系统中的商户个人信息，窃取包括姓名、联系方式、地址在内的敏感信息。

窃取行为自7月27日开始至8月2日，持续约7天，两被告获取大量商户机密资料。由于案发时间较短，两人还未来得及出售或转移，即被民警控制。

12月1日，法院宣判，因为侵犯公民个人信息罪，方某被判6个月有期徒刑，缓刑一年；蓝某被判7个月有期徒刑，缓刑一年。

让我觉得诡异的是，自该判决书3月22日公开，到现在整整一个月，向来嗅觉灵敏的媒体居然没有爆出任何消息。（原因如何，我不敢瞎说）

专家解析报道：美团资料外泄有两种主要途径

就新京报的深度报道，黑奇士采访了个人隐私方面的安全专家李先生，李先生表示：从目前黑产行业流传的个人信息来源看，主要来自“内鬼违规泄露”和“黑客技术获取”两条路径。

首先是内鬼泄露，以新京报的报道为例，要想达到“每天更新4万条、每天中午更新”这种量级和频率，只有掌握美团系统较高权限的内部员工（高级内鬼），才能做到这种效果。如果是黑客攻击，即使是严重漏洞，也仅仅可能一次获取大量数据，不可能做到定期更新。（因为不可能每天黑客都去攻击一次，这样太容易被发现了）

至于报道里提到的“外卖骑士出售”，李先生认为这种情况有，但可能性不大，也就是偶发现象。因为不单是美团，所有的外卖、快递行业都是固定分片配送，一个外卖骑士最多能接触到上千个外卖客户的信息，这些用户信息即使都卖出去，也卖不了多少钱。（几百元对于月收入七八千的骑士工资，并不具备吸引力，而且很容易被公司查获）但也不排除有某些利欲熏心的骑士，连这点钱都要赚。

其次是黑客利用技术手段获取。在过去几年中，美团曾经多次爆出过网站漏洞，如果这些漏洞被黑客利用，则可能带来大量用户资料外泄。

除了内鬼和黑客之外，有一些规则上的疏忽也可能带来隐患。

例如新京报报道中提到的“代运营公司用爬虫收集商户信息”，报道中的覃某表示，自己可以获得的信息包括“姓名、性别、电话、地址，订餐次数都有，但具体能有多少条我要查一下才知道”，报价5毛一条。

安全专家李先生表示，目前不少美团商户使用了代运营公司，但代运营公司对其代运营数据的获取是无限制的，你把店铺交给人家运营，那你所有的订单信息、用户资料都是透明的，如果像报道中提到的用爬虫类软件批量获取，那暗藏的风险就会更大，不仅是报道里提到的用于营销目的，实际上还可以用于更恶劣的用途。

个人隐私泄露之后：诈骗多发，数据外泄是黑产“原油”

新京报的报道中，对于购买数据的过程描述的很详细，对于数据泄露之后的后果描述甚少。黑奇士就这个问题请教了专家，专家表示，类似美团外泄这样的数据，是黑产界的“原油”，通过这些数据，可以衍生出很多安全问题。

比如最简单的是，是广告电话骚扰，你买了纸尿裤，一堆卖婴儿用品的商家烦你；买了机油，就有一大堆汽车后服务、卖二手车的商家烦你，其令人厌烦程度，无需我多说。

更为进一步的是，针对成年人的性用品传销、针对老年人的保健品骗局，其骗局开端，都是各个电商网站外泄的用户购物行为数据。

2016年9月徐玉玉案之后，人民网曾经报道，股民老张只要一从事股票交易，几分钟内就有诈骗电话打进来，骗子了解他交易的股票类型和数量，明显是有备而来。

类似这样的案例被媒体报道多起，只要大型电商公司的数据外泄，总会有各种诈骗案件出现。

专家支招，如何防止数据外泄

黑奇士采访的安全专家表示，像美团这样的大型公司，应该把保护用户隐私放在首位，用户的数据放在你的网站上，其实是用户赋予的莫大信任。

但严酷的现实是，包括美团在内的很多网站无论是硬件安全措施，还是软件规则，都存在种种不足之处，在这种情况底下，专家建议：

1、尽量不要赋予类似的电商网站过多权限，不要透露太多个人信息。例如，点外卖的时候，完全可以用“王先生、李先生”这样的化名下单，这样既不影响外卖的正常收取，也不会透露太多个人信息。

2、如果遇到可疑的安全事件，一定要第一时间报警，不要姑息。黑奇士在中国裁判文书网上发现，有人在网上购买1条外卖地址、900多条用户信息，就被法院判处7个月徒刑。

3、对于美团这样的公司来讲，一定要对隐私泄露提起足够重视，不要试图掩盖和敷衍，一定要追查到底。