网购信息2元一条，贩子称“扫号”得来

来自西安的小严不久前因小红书网购信息泄露遭遇诈骗。

小严告诉新京报记者，她3月份在小红书平台购买过商品，之后接到了自称是小红书工作人员的电话，“说我所购买的商品存在质量问题，要收回并销毁，因为他们掌握我所有的购物信息以及地址，我就相信了他们。”

小严说，对方让她登录支付宝查看退款。小严回答“没有收到退款”后，对方便询问了小严的芝麻信用，并要她在招联好期贷、来分期等平台尝试贷款，并说这是小红书与他们的合作，小严可以马上从中提现，得到赔偿，但需要将多余款项打回给对方。小严在招联好期贷上提取了1100元，将其中1000元打了过去。

打完款，小严才觉得自己被骗了，随即报警，截至目前还没有结果。她之后联系了小红书平台，小红书平台称他们只负责追缴，不负责赔偿。

在网上搜索公开报道和网友反映，可以发现，近年来有不少网购平台用户都有因网购信息泄露被诈骗或账户被盗的案例。例如2012年5月底，1号店被曝员工内外勾结泄露客户信息，90万个用户信息竟被以500元的价格叫卖，部分消费者不久后就遇到了账户余额被盗、电话诈骗等问题。而2015年至2016年，陆陆续续有100多人被能准确说出购物信息的假冒“京东客服”诈骗，涉及金额达200多万元，北京的一名受骗者韩先生甚至创办了一个名为“京东盗刷维权群”的QQ群。

中国电子商务研究中心分析师姚建芳告诉新京报记者，仅在今年4月份，中国电子商务投诉与维权公共服务平台就接到了包括小红书、达令、当当网在内的多家网购平台用户反映个人信息泄露的举报。

这些电商平台的信息都是如何泄露的？有业内人士向新京报记者透露，网购数据的来源有很多种，例如电商内部员工倒卖、物流信息泄露、木马病毒等，但大部分信息贩子是通过“扫号”取得的网购数据。

新京报记者以购买网购资料为名联系了一位QQ名为“AA收购数据”的信息贩子，其称拥有包括苏宁易购、亚马逊在内的多家平台网购信息，并向记者以2元一人的价位“低价出售”了一份“已经用过的”包含100人网购信息的“数据”。上述信息贩子也称，他们的数据是“扫号”得来的。

5月10日，当接到新京报记者电话，被告知自己的真实姓名、住址以及购买过什么东西时，家住北京的孙喆丽（化名）第一反应是，遇到骗子了。

孙喆丽的网购信息就是记者花2元钱在上述信息贩子手上买到的，包括孙喆丽的详细购物信息以及她的住址、电话，网购的账号密码。

孙喆丽说，之前确实接到过骗子的电话。“有人打电话自称是客服，跟我说我的商品有问题会退款给我，让我登录支付宝看有没有收到退款，我说没有，他们就问我的芝麻信用，我当时觉得不对劲就把电话挂掉了。”

在孙喆丽和小严遭遇诈骗电话的案例中，对方都准确说出了二人的购物信息以及个人信息。

新京报记者发现，在“AA收购数据”提供的网购信息名单上，大部分用户的账号仍然可以按照其提供的密码登录。新京报记者随机联系了5名用户进行核实，发现名单上提供的个人信息全部属实，而大部分用户完全不知道自己的账号已经被盗取。

被称为“中国黑客教父”的现任益云（公益互联网）社会创新中心创始人万涛告诉新京报记者，网购用户质量高低与否决定了出售数据价格的高低。“质量指的网购商品的客单价，比如衣服等普通物品客单价较低，数据可能就便宜，但如果购买电视、手机等相对贵重的物品，客单价比较高，用户数据的价值也就更高一些。”

据业内人士介绍，根据客单价的不同，网购数据的价位也不同，被倒卖过多次的信息并不值钱，一些历史数据甚至是黑客圈中公开的秘密，价值为零。而没有被用过的“一手”信息则可以卖到几块钱一条。

5月16日，“AA收购数据”还向记者提供了30条苏宁易购的网购数据“样品”。记者发现，这些网购数据从4月27日到5月3日不等，均有账户和密码。记者登录了其中3条网购信息的账户，发现可以登录成功。新京报记者随即拨打了3名用户的电话，3名用户都表示，其电话和姓名均正确，并很疑惑地反问记者，“你是怎么知道我电话的。”