点餐、办卡、订酒店……我的个人信息怎么就被泄露了

芦云律师向记者介绍，案件中犯罪分子的行为涉嫌非法侵入计算机信息系统，或者是非法获取计算机信息系统数据这样的罪名，那么同时也有可能涉嫌侵犯公民个人信息罪。 　　2024年10月，法院判决该案系列被告人犯侵犯公民个人信息罪，判决有期徒刑二年至四年不等。　　点餐、办卡、订酒店……你的个人信息根本藏不住　　就连医院验血的结果别人也能随意查看　　眼下，骚扰电话和各类骚扰信息一直是困扰广大消费者的一个问题。最值得注意的是这些推销对消费者的选择，也异常精准。中国电子技术标准化研究院网安中心的何延哲表示，问题就出在API上，它也被称为应用程序接口，其中与开放、传输数据相关的则被称为数据接口。 　　购买机票时，输入起点、终点的输入框就是一个接口。消费者进一步点击某个航班，此时这个网页链接，也是一个数据接口。消费者获得服务的过程就是一个个数据接口通过不断与后台进行数据交互来实现的。专家告诉记者，眼下消费市场上的网站和应用程序上，存在着海量的数据接口。仅一个简单的App应用，平均就拥有成百上千个数据接口，一个小型平台，就可能拥有上万个数据接口。恰恰是这些承载着海量数据流转和交互的数据接口正是不法分子眼中的薄弱环节，也逐步成为他们主要攻击的目标。 　　记者会同网络安全技术专家，针对不同消费场景中数据接口的使用情况进行了一系列实时测试和深入调查。技术测试分为三步： 　　测试场景1：咖啡茶饮店的手机点餐 　　测试结果：专家仅仅使用最基础的解码程序，就轻而易举地从小程序的数据接口返回的数据包中，获取了记者下单消费的完整且没有加密的后台数据。这家咖啡店的网络小程序数据接口授权不严密，导致任意人员能轻易获取该企业数据库中用户的个人信息，比如手机号。　　测试场景2：运动健身购买月卡 　　测试结果：专家仅仅使用最基础的解码程序，就顺利通过了该小程序数据接口的用户身份校验，毫无阻拦地就拿到了完整且未加密的用户信息。这其中包括身高、体重、职业、生日等敏感信息。　　测试场景3：生活服务 　　测试结果：这家企业的小程序接口存在一个非常明显的漏洞：当消费者查询的订单号为空的时候，该接口就会返回数据库中所有订单的信息，这几乎让程序平台里的整个用户信息都存在极大的泄露风险。敏感信息包括手机号、姓名和居住地址。　　测试场景4：酒店订房 　　测试结果：这个小程序的接口虽然做了一定的加密措施，但是由于生成的订单号非常有规律，专业人员可以根据规律构造查询指令，也可以很轻易地查看到指定日期的所有订单信息。　　测试场景5：医疗信息 　　测试结果：该医院的小程序也属于查询接口授权机制不完善。查询所有患者的化验报告应该要管理员权限才能访问，但是通过这个接口，用普通账号也能查询，医院的小程序在权限等级识别上根本就没有设置任何障碍。