解密50億條個人資訊是如何被盜的
京東與騰訊的安全團隊聯手協助公安部近日破獲了一起特大竊取販賣公民個人資訊案。根據公安部透露的資訊,該案共抓獲涉案嫌疑人96名,其中涉及交通、物流、醫療、社交、銀行等個人資訊50億條。
京東試用期員工為黑産團夥成員
據京東介紹,在騰訊與京東聯合打擊資訊安全地下黑色産業鏈的日常行動中,發現2016年6月底入職京東、尚處於試用期的網路工程師鄭某鵬係黑産團夥的重要成員。
經了解,鄭某鵬在加入京東之前曾在國內多家知名網際網路公司工作,長期與盜賣個人資訊的犯罪團隊合作,將從所供職公司盜取的個人資訊數據進行交換,並通過各種方式在網際網路上販賣。京東方面立即向公安機關提供了線索。
據悉,鄭某鵬因為學歷較高,先後到國內一些知名網站進行應聘。“鄭某鵬技術水準較高,基本都會被錄用。”據警方介紹,鄭某鵬在工作一段時間獲取信任後,利用工作之便竊取網站的核心數據。在資訊竊取成功後,則離開該公司,繼續到下一知名網站應聘、竊取資訊。
犯罪團夥公司化運作
據公安部刑偵局介紹,去年9月,公安機關在工作中發現,一犯罪團夥侵入國內多家網際網路公司伺服器,瘋狂竊取公民個人資訊,並從事網路賭博、出售公民個人資訊等不法活動。公安部對此高度重視,成立專案組徹查該案,並專門召開案件協調會研判分析案情,指定安徽省蚌埠市公安局對該案依法立案偵查,其他涉案地公安機關密切配合。
實際上,京東員工鄭某鵬是該案的技術人員之一,該團夥是以韓某亮為組織核心,翁某和鄭某鵬為技術支撐。翁某主要是通過駭客的方式入侵網站伺服器獲取公民資訊,之後把資訊數據給韓某亮等進行變現分贓。蚌埠市公安局刑警支隊支隊長楊慶説,“翁某是湖北黃岡人,雖然僅高中畢業,但技術很高。審訊時,同夥和翁某自己交代,他還曾是網路病毒‘熊貓燒香’製作參與人之一。”
韓某亮曾經因為買賣公民個人資訊被當地公安機關依法處理過。一次偶然的機會他認識了翁某,覺得他有入侵伺服器的能力,就把翁某聘請為自己的技術顧問,由翁某組織了一個駭客圈子,竊取大量的公民資訊。韓某亮再組織一幫人馬成立公司,通過公司化的運作給犯罪披上貌似合法的外衣。該團夥自2015年以來便通過駭客手段入侵多家公司的網路伺服器,從中盜取公民個人資訊。
涉案團夥近百人成黑灰産業鏈條
經過4個月走訪摸排和縝密偵查,蚌埠警方查明這是一個入侵網際網路公司伺服器竊取出售公民個人資訊的犯罪團夥,涉及安徽、北京、遼寧、河南等全國14個省、市,涉案人員近百人。
在這個組織中,有人專門負責竊取公民個人資訊,有人通過技術手段把這些公民個人資訊進行整理建庫,還有一部分人會把這些整理建庫完成的數據直接拿出來使用,有出售的,有交換的,有數據變現的……“這個犯罪團夥已經形成了網際網路黑灰産業鏈條,可以説像盜搶銷一條龍。”楊慶介紹。
個人資訊多種途徑變現
該團夥通過駭客手段入侵多家公司的網路伺服器,從中盜取網路賬號、密碼、身份證號、電話號碼、物流地址等公民個人資訊。那麼這些個人資訊如何變現呢?
據警方介紹,在竊取資訊後,該團夥首先將一批QQ號和遊戲賬號裏的Q幣及遊戲裝備變賣變現。另外,韓某亮還成立了一些遊戲賭博網站,他通過侵入其他賭博網站的伺服器盜取來的公民個人資訊,進行精準化推廣,這就相當於把別人的客戶給挖過來。
據警方介紹,韓某亮利用盜取的資訊數據十分“精準”,“不是所有被盜取資訊者都會受到推銷、邀賭,而是專門針對有一定社會活動能力人士。”韓某亮還會給玩家一些優惠,比如説同樣的一款遊戲,操作起來的感覺都差不多,或者是返還的報酬都差不多,韓某亮的遊戲賭博網站就會更加便宜一些,免費試玩的時間更長一些。同時,韓某亮還會通過翁某竊取同類網站、平臺資訊,進而精準推廣,把這些遊戲網站的會員招攬到自己的網站裏來。
此外,該團夥通過QQ群、論壇等將以上資訊渠道在網際網路上出售。“有些是賣給黑廣播、偽基站或者從事電信詐騙的犯罪團夥,有些則是有特殊數據需求的人群,比如推銷廣告等。”同時,韓某亮夥同王某、方某,利用從網際網路竊取的各類註冊資訊複製銀行卡,實施盜刷銀行卡等違法犯罪活動。
這些被盜取的公民個人資訊被韓某亮以多種形式變現後,先後獲得利潤數百萬元。同時位於遼寧的駭客王某、方某也大肆盜取公民銀行卡資訊提供給韓某亮,韓某亮以販賣網路虛擬貨幣的形式變現,然後分贓。
目前,該案正在進一步審理中。
行業失信員工資訊將互通
該案中盜竊個人資訊的鄭某鵬曾在多家知名網際網路公司的安全部門工作,並利用職務之便,竊取用戶個人資訊,實際上是一種職務犯罪。對此,近日京東、騰訊、百度、沃爾瑪中國、寶潔、聯想、美的、小米、美團點評、唯品會、李寧、永輝超市、佳沃鑫榮懋等知名企業,以及中國人民大學刑事法律科學研究中心共同發起“陽光誠信聯盟”。
該聯盟旨在通過網際網路手段共同構築反腐敗、反欺詐、反假冒偽劣、打擊資訊安全犯罪的安全長城,共同提升聯盟成員內控部門的履職能力和員工的職業道德建設,共同打造誠信經營、放心消費的商業環境,引領中國商業文明的發展,打造陽光、透明的商業環境。
根據約定,“陽光誠信聯盟”以“誠信經營”為使命,以開放的心態吸納各行業成員共同推廣廉潔自律、奉公守法的經營理念。聯盟將建立資訊共用機制,設立專屬網站,實現聯盟成員之間在反腐敗等方面的資訊互通,並向公眾公開聯盟工作成果。京東將建立失信員工的查詢通道,其他聯盟成員在招錄員工時可重點關注,並在法律法規允許的範圍內對涉案人員可採取拒不招錄。聯盟將以堅定的決心、堅決的舉措打擊腐敗行為,這既是對失信員工的約束和懲戒,也是讓員工在職場發展中獲得陽光透明、公平競爭的機會。
中國人民大學法學院副院長、中國人民大學刑事法律科學研究中心主任時延安表示,誠信建設任重道遠,不是一家企業或者一個行業的單打獨鬥,需要全行業、全社會的共同參與和努力。中國人民大學刑事法律科學研究中心會做到資訊資源和學術資源的分享,助力聯盟切實發揮共同監督、攜手拒腐的作用,共同打造一個良好的商業環境,推動整個社會的誠信建設步伐。