头部房产中介20万条客源信息不加密，涉敏感隐私

澎湃新闻记者 吴琪

委托中介租售房产、留下联系方式后，你可能在一天之内收到多家中介的精准电话营销，有的甚至明确告知电话号码来源。不胜其扰之余，你会追问：信息泄露源头在哪？

近日，上海市网信办依法通报一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业，这也是地方网信办在全国范围内首次依据个人信息保护法自主办理的系列行政处罚案。

作为上海知名房产中介，某头部房产中介因在存储环节未对20万条客户手机号码等个人信息进行加密处理而受到行政处罚。从该头部房产中介的违法违规行为中，你可能对个人信息泄露的源头窥见一斑。

“危害更大”

“有时候，房产中介比你更清楚你的手底下有几套房产……”事实可能真是如此，因为在日常消费场景下，信息的收集和使用普遍存在。

2023年6月，针对个人信息领域存在的“过度采、强制要、诱导取、违规用”等问题，上海市网信办、上海市市监局联合启动了为期半年的“亮剑浦江·消费领域个人信息权益保护专项执法行动”，其中房产租售消费场景被列入执法重点。

上海市网信办相关负责人介绍，此次受到行政处罚的头部房产中介，是在专项执法行动“回头看”检查阶段发现有违法违规行为，最终执法部门依法对其作出行政处罚。

澎湃新闻进一步了解到，作为拥有超过600家线下门店、超8000名专业经纪人、年累计交易金额超1000亿元的头部房产中介，此次被查出的违法违规行为主要包括：对收集的20万条客户个人信息未进行相应的加密处理；经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等。

“房屋租售提交的信息非常全，包括家庭住址、身份证号码、姓名等等，因此一旦发生信息泄露，其导致的损害会更大。”一位不愿意透露姓名的业内专家表示，此次该头部房产中介未加密处理的20万条客户个人信息，涉及姓名、手机号码等比较敏感的数据。

据涉事企业解释，上述未加密的20万条个人信息被存放到了缓冲数据库中，系统的流畅性从而得以提升。

“获取更易”

除了未对20万条个人信息采取加密措施外，该头部房产中介另一个违法违规行为是，外网经纪人在查看客源信息时未对手机号码等进行加密传输。

参与此次“回头看”检查的技术人员解释说，数据传输未加密导致的风险是，通过“抓包”等技术手段，可以清楚地查看到有关客源的手机号码。

“打个通俗的比喻，‘抓包’就像是在卡车运输货物的过程中，有人通过手段偷偷截取了卡车上的货物。这个货物就是个人信息等数据。”技术人员表示，一般“懂点网络技术”的人员就能实现“抓包”，“何况网络上还能找到相关工具”。

“如果我是计算机毕业的，恰好做了中介，恰好知道这个漏洞，理论上我就能抓到所有客源的手机号码。”技术人员说。

上述不愿透露姓名的业内专家表示，房产中介对客源个人信息未采取加密是行业共性问题，“大部分的企业都没有这个意识，都是收集了客源信息后认为存在那里就行了”。

“此外，一些房产中介也承认在个人信息管理方面存在的漏洞很大，部分中介甚至会通过共享客源信息以获取竞争优势。”业内专家说，尤其是问到有没有“内鬼”的问题，不少房产中介都曾发现过。“因为这个行业流动性很大，一些业务员也在收集相关客源的个人信息，他们离职后很可能将它们带走。”

“发现即举报”

值得注意的是，在此次上海市网信办对外通报的典型案例中，上述头部房产中介的网信信息系统还被查出7个高危漏洞，以及8个中低漏洞。“易被不法分子利用入侵攻击，存在大量数据被泄露被窃取等安全风险。”通报称。

参与此次“回头看”检查的技术人员，以其中一个“弱口令漏洞”为例说，在检查过程中，技术人员发现，使用口令“admin/admin123”即可直接登录该头部房产中介的系统，且系统不少密码都默认为“123456”，除管理员外所有用户可以使用该密码登录。而攻击者利用这一漏洞进入系统后，就能直接获得管理员权限，可进行增加删除等敏感操作，并获取大量敏感信息。

“企业既然收集消费者的个人信息，就要承担安全存储等保护责任。”上海市网信办相关负责人表示，本次通报的典型案例涉事各企业，无论是风险隐患还是消费场景，都存在典型性。“希望相关企业能从反面典型案例中深刻汲取教训，引以为戒，从而更好地落实个人信息保护法的相关要求。”

上海市网信办相关负责人提醒广大消费者，在房屋买卖、租赁等日常消费场景中，应注意非必要不提供手机号码、家庭地址、银行卡号等敏感个人信息，如发现被频繁、精准拨打电话，可向上海互联网举报中心、上海市监局、市消保委等投诉。