一、事件背景

2022年2月13日晚，同事吧有帖子反馈接到诈骗电话，具体内容为：下订单的商品（内购小程序）运输过程存在丢件，该打电话人员伪装为韵达物流客服提供赔偿，并引导到外部渠道进行后续诈骗操作；疑似出现订单信息泄漏，并有多位同事跟帖反馈接到同类似情况的诈骗电话。
信息安全部随后开始介入调查，并联系到内购群群主，对员工反馈接到诈骗电话的情况进行记录，同时也安排了信息安全部参与内购活动的员工，在后续接诈骗电话时，注意引导和核实对方掌握信息的情况，截止2022年2月20日，共有多位同事上报接到诈骗电话。

二、事件排查（部分内容脱敏或简略）

2.1、调查访谈
信息安全部通过联系多位员工，了解到本次事件具有以下特征：
1.订单时间：2022-02-10之后的订单；
2.收到诈骗电话的同事购买的商品均为供货商：深圳某科技有限公司雅诗兰黛系列商品；承运的物流公司皆为韵达快递。
3.接到诈骗电话时间，都是在清关后转交国内物流之后发生，部分收到货之后接到诈骗电话；
4.诈骗电话明确知道物流单号、姓名、电话、收货地址、身份证号信息，其他未提及；
5.在接听诈骗电话的过程中，当后续问及订单号和价格，皆告知无或者直接挂机。

2.2、内部平台业务流转排查及验证
通过内部技术分析，对订单业务流向、订单数据流向、应用安全测试、数据库拖库风险、工单SSO申请记录、平台操作日志等方向进行排查。

• 订单形成后，业务流向及数据流向无未知接口或者泄露渠道
• 通过信息安全部渗透测试小组排查，重点排查了C端小程序的各业务场景，暂未发现存在导致订单信息泄露的安全漏洞。
• 检查了相应的数据库日志，根据相应的SQL注入关键字检索，暂未发现存在可利用语句导致拖库。
• 因本次涉及到两个店铺（内购平台&供应商平台），通过内部的越权平台日志排查，皆未发现存在可疑的越权登录日志。
• 在检查内购B端后台的所有获取订单权限的账户，所有账户都能对应到拥有者，无账号共用的情况存在；但在日志中发现若干异地登录的记录，并安排了问询及排查，如导出文件事件记录和导出文件本地创建事件对比、以及对异常登录的终端进行进程刻录排查、终端杀毒扫描等

2.3、整体业务流程排查
1、全流程订单业务流向

• 1、内购小程序下单后，订单会同步给B端后台以及商户（供货商）B端后台；
• 2、供货商手工导出订单，会把收件人姓名、手机号、地址导入物流平台，并会把生成的相关订单号和用户身份证信息导入海关平台。
• 3、海关审核通过后，大陆物流公司（韵达物流）承运并进行相关派件。

2、内部人员反诈骗套路所得信息

• 1、诈骗团队描述该商品从深圳市龙岗区发的快递存在丢失；但不知该订单为香港入关商品。
• 2、咨询用户购买物品价格，用户故意报错，诈骗团队相信并称可凑整补偿；
• 3、咨询具体订单信息，无法准确报出，只能重复物流单号；

三、事件结论

1、关于内部信息泄露可能性
Ⅰ、通过对内部业务及数据流转排查、应用层小程序及B端后台进行渗透测试、越权记录审计以及操作日志审计，暂未发现存在导致诈骗事件的信息泄露因素。
Ⅱ、通过多个话术套路或咨询，确认诈骗团队无法真实获得订单价格以及订单编号，我司内部平台相关订单接口皆会带该字段。
Ⅲ、在排查敏感时间导出时，能够和账号归属人确认本人在对应时间点进行的导出操作。但对于账号异地登录，账号归属人无法给到存在异地登录的原因。
通过订单业务及数据流向调查、应用安全风险评估、越权记录排查以及操作日志审计。根据诈骗电话提供信息的反推测，以及被打诈骗电话的占比率(占总量的0.3%)，虽然可排除内部批量订单信息泄露因素，但无法排除账号密码存在泄露的可能性。整体评估在前半段（供应商订单导出之前）内部出现的信息泄露概率较低。

2、关于其他信息泄露可能性
Ⅰ、商家导出订单后，暂无办法保证其数据的保密性。
Ⅱ、根据诈骗电话提供的信息，诈骗团队无订单号以及价格，但可以报出只有运单号，收货人，手机号，身份证号，不排除在海关以及物流方存在的信息泄露可能性。
通过以上情况来看，导致诈骗电话的信息泄露出现在后半段（即供应商导出订单之后）概率极大。为了验证此结论，后续信息安全部将结合埋点的测试来验证。

3、其他不足及后续动作
Ⅰ、对于内部工作人员的订单导出记录，目前暂缺乏“终端防泄漏”机制去监控订单数据是否有异常流出的情况。
Ⅱ、接口调用情况，暂无技术手段去排查是否存在隐藏接口，但通过后续的API应用安全平台建设，会加强该项的技术监测能力。
Ⅲ、目前信息安全部已经在2月21日下午，采取相关测试埋点，通过分拆订单导出前后进行相关的流程测试，导出前用A用户信息下单，在导出后替换成B用户的姓名及手机号给予外部平台（如海关及物流等）。主要用来区分订单信息泄露的所在环节，后续将根据诈骗人员拨打的手机号，更好的辅助排查此次泄露事件。