麻烦了！这个你常用的APP泄露了千万级用户数据

电脑报新媒体·欢迎关注

事件 | 点评网络热点事件

电脑报全彩高清电子版，手机平板电脑都能看

限时特惠，点此了解或购买

本周直播预告

电脑报固定直播迎来了第二周。

周二晚上19：30，我们会带来新一起的开箱赏析，本周带来的新品仍然是刚到评测室的新鲜产品

周三晚上19：30，菊花大师应要求将会传授单身32年的装机秘诀，装得一手好机，走遍天下都不怕（但是并不能解决单身问题，所以给女神装机顺手俘获芳心什么的亲测不管用）

周五下午15：00，一周IT新闻乱评仍然会给带来本周的各种IT新闻乱评，等待下班或者等待放学的朋友可以来边听直播边混时间，当然也不能耽误工作和学习哟。

每次直播我们都会留下半小时到1小时的时间来回答大家的问题，所以赶紧关注电脑报斗鱼官方直播间来观看我们的直播节目吧。

直播地址：http://www.douyu.com/PCW，房间号1235267，QQ群：536513428

也可以关注电脑报微博来获取第一手IT信息：http://weibo.com/cpcw

近日，有知情人士向记者爆料：“掌上电力、电e宝App正在出现数据泄露，涉及用户规模已经超过千万级，而且部分数据可能已经流入黑产，危害持续扩大。”

掌上电力系国内首批电力便民服务类App，注册用户可以通过该App进行电费充值、故障报修、要求应急送电、查看停电通知等等操作。目前已拥有接近9000万用户。

记者以关键词“掌上电力”在淘宝搜索，共发现180多个店铺，21世纪经济报道记者统计了其中销量较高的72个商户，进入这72个店铺中统计相应产品的历史销量总计831807笔，产品中包括关注、注册、绑定三类。

名为“刘先生诚信店”的店铺，推出了“代做国网浙江、江苏、江西、山东掌上电力app绑定”的两款宝贝，历史销量累计5300件。店铺工作人员告诉记者： “绑定一个户号1.2元。”该工作人员要求记者提供户号、密码、详细地址，并且表示：“这没什么违法的，浙江所有的供电局都在我这做业务，都提供户号、密码，他们一年给我十几万、几十万套。”而且，该员工并不担心业务违规，“你们有这个任务，我们就提供这个服务。淘宝也没说过这是违规的。”

需要指出，这家号称一年拿到“十几万套户号”的店铺，在淘宝的排名靠后。排名首位的是一家名为“掌上电力客户绑定”的店铺，淘宝显示其掌上电力类交易笔数总计17.8万笔，而且，该店铺“只做绑定”，“需要提供户号、查询密码、省市”。

此外，一家名为“狸猫工作室”的店铺告诉记者：“在安徽，绑定几万户的电力公司很多。”而且，该店铺告诉记者：“这两天安徽、湖北的国网系统有问题，绑定比较慢。所以这两个地方目前只接注册，等电力公司系统好了之后再接绑定的活。”

根据多家淘宝店反馈的信息，供电公司每户绑定一个手机号的成本约1-1.3元，店铺完成任务后，会返还带有注册手机、密码、绑定户号、地址的表格，供电力公司员工“登录、验货”。此外，还有一种“一绑五”的低成本方式，按照国家电网规定，掌上电力App允许消费者用一个手机号绑定5个户号，“一绑五”每户成本约0.4-0.5元。

在淘宝上，“掌上电力客户绑定”、“江先生weixin代做业务”、“u(2810633167)”、“奇妙A工作室”、“强力网络”5个店铺的交易笔数超过五万。“每笔绑定交易，都可能是数百个户号、密码的泄露。”前述知情人士告诉记者，“有的地方一次提供几百个，有的嫌麻烦的一次就给店铺18万个户号、密码，全国泄露数量已经到千万级。”

需要指出，在掌上电力App绑定户号之后，家庭详细地址、门牌号等关键信息部分以“**”字符代替，实现脱敏。不过，数位技术人员告诉21世纪经济报道记者：“这种遮挡并没有意义。户号、密码都有，稍微一点技术手段，就可以破解这种加密，拿到详细地址。”

该知情人士向记者出示了山东某市3万多户号、密码、地址的数据泄露截图，“这只是冰山一角，这些数据现在一次就可以找到几十万条。”而且，“我自己家的户号都被泄露了，我向国家电网投诉过很多次这种大规模泄露数据的情况，但石沉大海。”

国家电网相关人士回应，2016年9月之前，国家电网曾对各省掌上电力App发展情况进行排名。但9月份之后，国家电网对掌上电力发展开始明确要求“业务渗透率”，只考核“缴费业务”、“新装业务办理线上比例”，不对App绑定数量做要求。该人士表示：“我们肯定会严格审查，如果发现有违规现象，不会手软，该上公检法就上公检法，严格处理。”

对于淘宝上提供“掌上电力绑定”业务的情况，国家电网表示：“网络上存在淘宝商家销售相关商品的行为，对我公司的企业形象造成损害，对公司服务的客户造成误导，我们已向淘宝网进行举报。”、

可以说，只要你用过掌上电力APP，你的个人信息就很有可能被泄露了！

无独有偶，《南方都市报》报道了一则详细，你的所有信息，只需花700元就能买到！

12月8日，记者以了解亲戚结婚对象为由，联系上一家名叫“ 商贸”的服务商，工作人员介绍，只需提供身份证号码，即可查询包括开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的材料，统称“身份证大轨迹”。

这一“全套服务”，收费仅850元。前述工作人员告诉记者，如果针对性地查询单个项目，则收费另计，“查个人征信费用是300元，查开房记录200元”；另外，查询单个项目，如开房记录可当天出结果，查“身份证大轨迹”全套则要等到第二天。

随后，记者经同事授权，提供了其姓名和身份证号码。上述工作人员称查询户籍所在省的开房记录，价格是200元，查询全国范围内的开房记录，价格则是300元，并可在当晚12点前出结果，不过要先微信转账。之后，记者按其要求支付款项300元，该工作人员请记者耐心等待结果。 　　
9日晚7时，对方向记者发来了同事的开房记录的整体截图，还单发了一张今年10月30日最后一次开房的记录截图。记者询问查同住宿人员如何收费，其表示“单独查一个同住要600”。该同事证实，所有的信息全部准确无误！记录截图是一张蓝底图片，左边是身份证照片，中间一列自上往下是旅客编号、民族、出生日期、证件号码、住址详址、入住房号、旅馆编码和旅馆地址，右边一列自上往下则是姓名、性别、证件类型、住址省市区、入住时间、退房时间、旅馆名称和旅馆地址区划。每一次开房记录，都可把入住时间精确到了 时 分 秒。

之后，记者决定再换一个同事购买“身份证大轨迹”，几经讨价还价，将价格谈到了700元。在转账完成的一天后，对方发来了两个EXCEL文档，里面包含了该同事9种记录在内的身份证大轨迹。记者看到，一个名为“分布式查询”的文档里，记录了该同事自2011年4月以来的旅馆住宿记录、常住人口记录、暂住人口记录和网吧上网记录，另一个“人员基础信息— ”文档中则是火车记录、航班记录、银行开户核查记录、驾驶证记录、驾驶证违章记录、机动车登记记录等。

经同事确认，这两个文档的情况完全属实，也基本上包含了他近年来的身份证轨迹。尤其是“全国人口基本信息”这一张表，和他户口页登记的信息完全相同，照片也是他本人的身份证照片。此外，记者的同事还分析指出只显示自2011年4月以来的记录，可能是因为他2011年4月更换过身份证。

最后，记者决定再换个同事的手机号码，查一下其手机定位情况，前述工作人员表示仅可查询联通号码的手机定位，查询时间为半小时，收费是600元。记者提供手机号码并付款半个多小时之后，对方发来了定位信息的图片，内含地图、经纬度信息（精确到小数点后六位），与记者同事所在的位置完全一致。

记者检索发现，在微博、QQ群、腾讯微商店、淘宝等平台皆有大量提供查阅个人信息的服务商，有的服务商还会单独开发官网，以“商务专业调查”、“防人肉搜索”等为名提供“人肉搜索”服务。

编辑：孙文聪