• 设为首页
  • 加入收藏

安全学习

首页 > 安全学习 > 安全头条 > 正文

安全头条

你有没有扫过快递盒上二维码广告?|链家40岁员工删除公司9T数据,被判7年……

来源:“黑白之道”微信公众号        发布时间:2022-05-12        点击量:

快递盒上有多少骗人的二维码广告


“19元充值100元话费。”前不久,天津市民王先生在收到的快递盒上发现这则二维码广告。他觉得很划算,扫码并按广告指引支付了19元,结果根本没有充值到话费,而是显示其开通了某App会员。王先生把自己的遭遇告诉了身边的朋友,发现不少人都遇到过快递盒上的二维码陷阱——有的充值后没有得到相应的优惠,有的下载了一堆App也没有获得奖品。近日,《者来到天津市河东区多个快递站点,随机选择了30个快递包裹看到,其中有四成左右的快递包裹上印有二维码广告,内容包括:“天大的秘密!扫一扫可以领100元”“先别拆!扫码领大额现金红包”“别扔!扫码1元抽手机”等。



扫描这些二维码真的能够领取到福利吗?


记者扫了扫一快递上“马上扫,随机奖励一桶油”的二维码后,手机屏幕弹出一页面,上面写着抽取烟、酒、平板电脑等各种福利大奖,抽中后只需支付快递费即可送到家。

“不要扫,骗人的!”一旁的快递站点工作人员看到记者扫二维码时提醒道,他说有居民扫码支付快递费、填写地址后根本没有收到任何奖品。“这些二维码广告发件时就有,也不知道谁贴的。”
附近有居民告诉记者,曾在快递上看到贴有“领取手机靓号”的二维码广告,其扫码进入选号界面,按照订单流程填写了身份信息并支付相应费用,结果一直没有收到相关快递,试图沟通时发现对方留的联系方式是假的。
还有一种“玩游戏提现”的二维码广告,记者扫码进入游戏界面,玩了10关后提示获得了5元钱,但想提现要通过30关,到达30关后又提示需要累计10元才能提现……并且在此过程中用户得不断观看各种广告。在第三方投诉平台,多位网友称,有些快递上的二维码广告带有“流氓软件”,扫码后发现内容与宣传广告不符,点击“退出”按钮,结果仍自动下载了一堆无用的App。
据公开数据,2021年我国快递业务量达1085亿件,支撑网络零售额接近11万亿元。而近期安徽省消保委对1111份快递单样本进行测试、统计和分析发现,674个样本中含有二维码广告,占比达60.67%。其中,出现最多的广告是某平台的“天天领现金打款秒到账”活动,占比39.32%。


那么,这些快递上的二维码广告到底是谁贴上去的呢?

一名负责投放快递单广告的业内人员告诉记者,他们和电商平台、快递公司都有合作,商家可以直接通过系统把额外添加了广告的快递单打出来,可根据不同节点、活动区域投放,一天最多可以保证发5万份。还有线下快递单广告投放业务,即通过不干胶外贴在快递包裹上,甚至可以单页放置在快递内部。至于投放的都是哪些广告,“只要不违法都可以,也没有什么审核”。
而多位消费者投诉称,被骗后与快递公司交涉,对方称广告不是自己发布的,自己不需要为此负责,也无法为其解决问题。对此,广东瀛尊律师事务所律师翟东卫认为,快递公司有责任和义务对快递单上的广告内容进行审核,确保其不侵犯消费者合法权益。
“快递包裹上之所以有广告,大概率是因为快递公司与广告经营人之间有合同关系。根据消费者权益保护法,消费者因经营者利用虚假广告或者其他虚假宣传方式提供商品或者服务,其合法权益受到损害的,可以向经营者要求赔偿、广告经营者、发布者发布虚假广告的,消费者可以请求行政主管部门予以惩处、广告经营者、发布者不能提供经营者的真实名称、地址和有效联系方式的,应当承担赔偿责任等规定,广告主应当赔偿受到损害的消费者,快递公司应当承担连带赔偿责任。”翟卫东说。


如何才能避免快递单广告陷阱?

翟卫东说,《印刷品广告管理办法》规定,发布印刷品广告,需要具有代理与发布印刷品广告的经营范围,如果快递公司的经营范围里没有该项规定,工商管理部门可以对其进行处罚。如果快递公司明知广告内容违法而仍然发布该广告,工商管理部门可以没收其广告费用并对其进行罚款,如果情节严重构成刑事犯罪的,可以追究刑事责任。“对于消费者来说,如果因为该广告的虚假宣传而导致损失,可以对广告主提起民事诉讼要求赔偿损失,当然,也可以要求广告发布人快递公司承担连带赔偿责任。”翟卫东说。安徽省消保委等多地相关部门和快递公司也提醒,快递单广告中的“免费抽”“待领取”“一元抽”等福利,并不能确保真实性和安全性,消费者看到这类广告后要谨慎,不要轻易扫码。

链家40岁员工删除公司9T数据,被判7年

根据中国裁判文书网的消息,原链家网(北京)科技有限公司数据库管理员韩冰因犯破坏计算机信息系统罪一审被判处有期徒刑七年,二审维持原判。


链家 DBA 删库被判有期徒刑七年

根据北京市海淀区人民检察院的指控, 2018 年 6 月 4 日 14 时许,韩冰(1980 年 11 月 25 日出生)在北京市海淀区上地三街福道大厦三层链家网公司,利用其担任链家网(北京)科技有限公司数据库管理员并掌握该公司财务系统“root”权限的便利,登录该公司财务系统,并将系统内的财务数据及相关应用程序删除,致使该公司财务系统彻底无法访问。
据悉,被破坏的服务器是公司专门用于 EBS 系统的 2 台数据库服务器和 2 台应用服务器,2 台数据库服务器的 IP 地址分别为 10.10.26.33 和 10.10.26.34,2 台应用服务器的 IP 分别为 10.200.28.96 和 10.200.28.97。公司财务系统存放着公司成立以来所有的财务数据,影响到公司人员的工资发放等,对公司整个运行有非常重要的意义。该公司恢复数据及重新构建该系统共计花费人民币 18 万元。
根据链家公司职业道德建设中心总监周某的证词,有权限进入公司财务系统的只有技术保障部的五个人,当公司发现财务系统出现问题便收集了这五个人的电脑,其中四个人主动上交了个人笔记本电脑和密码,只有韩冰拒不交代自己的笔记本电脑密码,因此认定韩冰有嫌疑,其代表公司来报案。
链家公司技术保障部高级总监则表示,韩冰称自己的电脑有隐私,密码只能提供给公安机关,或者只有他自己在场的情况下输入密码才能检查,当时的检查中没有发现电脑异常,但是这样的检查是完全不可能排除韩冰嫌疑的。公司财务系统被攻击的方式只要是连接到服务器就可以执行,这样的操作是不会在电脑端留下痕迹的,只会在服务器上留下痕迹。公司当时检查每个人的电脑,执行这些检查的操作,主要是为了看韩冰等人的反映。公司确定是韩冰实施破坏行为与这次检查没有任何关系。这次检查没有取消对任何人的嫌疑,相反只有韩冰不提供自己电脑的用户名和密码,最终是由公司提供的多方证据而锁定韩冰的。
国家信息中心电子数据司法鉴定中心司法鉴定意见书,证实经现场提取与检验鉴定,现场登录服务器后导出 IP 地址 10.33.35.160 在 2018 年 6 月 4 日期间事件日志,DHCP 服务器将 IP 地址 10.33.35.160 于 2018 年 6 月 4 日 14 时 17 分许分配给客户端 ID(设备 MAC 地址)为 EA-36-33-43-78-88 的网络接入设备,该设备的主机名为 Yggdrasil,14 时 47 分许同样分配给客户端 ID 为 EA-36-33-43-78-88 的网络接入设备,该设备的主机名为 Yggdrasil;进一步分析 IP 地址 10.33.35.160 在 2018 年 6 月 4 日期间所有上网行为记录,将上网行为管理服务器中 IP 地址 10.33.35.160 在 6 月 1 日至 4 日期间所有网络访问日志导出,上述日志中,可以明确 IP 地址 10.33.35.160 对应的访问终端 MAC 地址为 EA-36-33-43-78-88,同 DHCP 服务器中提取的日志信息一致。该 IP 地址在 6 月 1 日至 4 日期间所有的网络访问主要集中在 6 月 4 日 14 时至 15 时 28 分之间。可以确定 IP 地址 10.33.35.160 对应的物理区域为北京市海淀区开拓路 11 号福道大厦 3 楼交换机所覆盖的网络区域内。
北京中海义信信息技术有限公司司法鉴定所司法鉴定意见书,证实经对被告人韩冰的苹果电脑进行提取,未检索到该计算机登录涉案服务器 IP:10.10.26.33,10.10.26.34,10.200.28.96,10.200.28.97 的记录;该电脑计算机系统为 MacOSX10.13.5, 主机名为 Yggdrasil;该电脑 Wi-Fi 的 Mac 地址为 28-CF-E9-1C-48-13; 该电脑中安装有 WiFiSpoof 软件;在该电脑中的 $InodeTable 文件中检索到与 Mac 地址 28:CF:E9:1C:48:13 相关记录 92 条,检索到与 Mac 地址 EA:36:33:43:78:88 相关记录 4 条 ; 该电脑中的终端记录中包含 shred 与 rm 命令,该命令为本地执行命令。
北京通达法正司法鉴定中心司法鉴定意见书,证实经对其他四人持有的笔记本电脑进行鉴定,四台电脑的计算机名均不是 Yggdrasil,MAC 地址均不是 EA-36-33-43-78-88。四台电脑 2018 年 6 月 4 日的行为日志中均未发现有登录财务系统执行 -shred、-rm 命令进行删除操作。
经过对电脑记录的鉴定以及链家提供的视频资料等信息,法院一审认定韩冰破坏计算机信息系统罪,判处有期徒刑七年。二审驳回上诉,维持原判。


曾两次提出财务系统有问题但未被重视

至于这么做的原因,韩冰的证词中并未体现,但从同事的证词来推测,韩冰任职期间曾发现公司财务系统有安全问题并发邮件告诉了链家的另一位数据库管理员张某,二人开会时向多位领导汇报了财务系统的安全问题,建议公司启动安全项目来修复安全问题,但领导们没当回事儿。
两周之后,财务线工作的部门被划到了信息线,二人又向信息线领导周小龙汇报了财务系统的安全问题,并建议启动安全项目进行修复,但依旧没有被采纳,甚至在建议的过程中和周小龙起了争执。
此外,链家公司职业道德建设中心总监在证词中提到:韩冰2018年2月到公司负责财务系统维护,5月被调整至技术保障部,工作地点从朝阳区酒仙桥总部调整至海淀区上地福道大厦。韩冰对组织调整有意见,觉得自己不受重视,调整之后消极怠工,经常迟到早退,也有旷工现象。经查看公司监控录像,韩冰于2018年6月4日11点左右到福道大厦三层西侧自己的工作区域上班,当天18时左右离开公司。
回看 2020 年,删库事件接二连三:
1、2020 年 2 月 23 日 18 时 56 分许,贺某酒后因生活不如意、无力偿还网贷等个人原因,在其暂住地上海市宝山区逸仙路 XXX 弄 XXX 号 XXX 室,通过电脑连接公司虚拟专用网络、登录公司服务器后执行删除任务,将微盟服务器内数据全部删除。
导致微盟自 2020 年 2 月 23 日 19 时起瘫痪,300 余万用户(其中付费用户 7 万余户)无法正常使用该公司 SaaS 产品,经抢修于 3 月 3 日 9 时恢复运营(故障时间 8 天 14 个小时)。
截至 2020 年 4 月 30 日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币 2260 余万元。
最终,贺某犯破坏计算机信息系统罪,判处有期徒刑六年。
2、2020 年 4 月 13 日,王某因某网络科技有限公司 驳回其开发的 OBS 对象存储服务代码的奖金要求,心怀不满,便产生了报复公司的想法。
当日 11 时许,王某在该公司使用 root 超级管理员账户登录至华为云服务器的 FTP,修改了其开发的 obs 对象存储服务代码,导致 2020 年 4 月 14 日 8 时至 9 时 35 分,某平台运行异常,该公司代发的政府电子消费劵领取受阻,直至当日 10 时 43 分,11225 名会员才领取完当日电子消费劵,给该平台声誉及会员收益造成严重影响。
最终,王某被判处拘役五个月、缓刑六个月。
这些事情告诉所有打工人:删库或许容易,但跑路是不可能的。最后,希望所有公司做好安全方案的同时善待打工人。


文章来源:法治日报、安全圈



如有侵权,请联系删除!

关闭

版权所有:西安交通大学网络安全专题网    电话:82664996
地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703    邮编:710049