你一定经常接到这样的推销电话或者诈骗短信,对方不仅能叫出你的名字,还知道你的住址、工作,甚至知道你最近准备买房、上了医院、去过哪里旅游……一种“信息裸奔”的尴尬时不时向你袭来,让你惊悸莫名、气急败坏而又无可奈何。
谁偷走了我们的信息?谁又在转卖和利用我们的信息?半月谈记者通过深入采访,为你揭开这一条长长的黑色产业链。
一次售卖,动辄数千万条
“本人大量求购个人理财信息,数量上不封顶,越多越好!”2016年5月,安徽马鞍山市一个名为“outman”的网民在多个QQ群里大肆求购公民个人信息,特别是马鞍山本地公民资料,内容涉及银行、保险、理财等方面。
很快一个名叫“云”的网民与“outman”联系上,通过一番网上沟通,便传给“outman”一个文件夹,里面竟存放着10000条马鞍山市民的投资理财类个人信息。
万条公民个人信息,何以就这样轻易在网上被陌生人交易?安徽马鞍山市含山县警方发现这一异常后,迅速展开侦查,很快锁定了买家和卖家,并由此顺藤摸瓜,一个环环相扣的公民信息贩卖网络浮出水面。
原来“outman”是马鞍山一家理财公司的员工,公司老板要求找路子获取马鞍山市特定人群资料,方便其拉客户。而“云”是一家国企员工,也是个人信息贩卖的中间商,他的数据来源于名为“专业电销”的网民。而“专业电销”的信息则来自一个叫伍某的专业信息批发商。
从买家“outman”到中间商“云”和“专业电销”再到批发商伍某,一条信息贩卖的三级利益链浮出水面。警方查明,这个犯罪链条共计疯狂买卖公民个人信息达1.25亿条。其中伍某从800元购买10000条公民个人信息起家,仅用一年时间,就通过非法交换、转卖等方式建立起自己的专业数据买卖网站和数据库,售卖信息动辄一次就数千万条。
这不过是贩卖公民个人信息的冰山一角。如果说含山案只暴露出信息批发商的环节,那么此后不久,公安部和安徽蚌埠警方披露了一起近50亿条公民信息盗贩案,则揭开了信息贩卖利益链最顶端的盖子。
公安部门侦查发现,黑客郑某某与何某某,通过应聘方式潜入互联网公司核心部门,或利用入侵国内外知名互联网公司服务器等手段,大肆窃取公民个人信息等核心数据,相互交换、出售获利。
负责侦办此案的蚌埠市公安局刑警支队支队长杨庆介绍,此案由公安部督导,安徽省公安厅指挥,涉案地区达全国14个省市,抓获涉案人员79人,缴获电子数据1.4Tb,获取数据近50亿条。“黑客是盗取大量个人信息的重要源头。这些被泄露的公民个人信息涉及国内知名的上市互联网公司,数据巨大,涉及面广,堪称震惊互联网信息安全的行业大事件。”
专业化、社群化的产业链条
半月谈记者采访发现,犯罪团伙中,有人专门负责窃取公民的相关信息;有人通过技术手段对这些信息整理、建库;有人将数据出售、交换、变现。
含山县警方绘制的一张侵犯公民个人信息犯罪图显示,信息侵犯共分四级,第一级是黑客或内鬼盗取公民个人信息;第二级是信息批发商,他们从黑客手中获取大量信息,并通过互相交换,像滚雪球一样不断增加自己的信息数据库;第三级是信息购买人或者中间商,他们从批发商那里购买各种数据,再根据需要转手卖给他人;第四级是信息使用者,包括业务推销、诈骗盗窃等人员,他们拿到信息后,进行电话营销,或者利用伪基站实施电信诈骗。
一位涉案黑客翁某告诉半月谈记者,通过技术入侵网站盗取公民个人信息对他这样的黑客来说并不难,少则几天多则几月,一般都会成功。至今他已经入侵网站达几百家,从未被管理员发现。在他们黑客圈子里,大家有个默契,入侵网站获取权限和信息后,都会互相交换数据、互通有无,让盗取的公民个人信息库越来越大。
涉案的另一名黑客郑某说,大家最开始入侵网站是为了攀比技术,盗取信息后有的甚至放到网上免费供人下载。渐渐随着需求的增加、利益的驱使,开始有人专门为了钱而去盗取信息。
据了解,大量个人信息被黑客盗取和卖给批发商后,一般要进行三步操作。
一是撞库,即黑客或信息批发商用手中掌握的A网站的用户信息去登录B网站C网站等,一旦用户是多个账号共用一个密码,那么个人网上信息便会如多米诺骨牌一样被瞬间破解;二是洗库,在撞库后,黑客或信息批发商就会对获得的大量信息进行合并梳理归类,比如分理财、医疗、公务员、车险等多个种类,为下一步售卖做准备;三是脱库,即售卖数据或从中拿出部分数据进行精准推送。
采访中,半月谈记者了解到,这些侵犯公民信息安全的黑客和贩卖者,往往都是线下有正规的工作,线上通过QQ群组结识聚合成为网上好友,密切配合沆瀣一气的。
用于精准推销、精准诈骗
据悉,在侵犯个人信息案件中,涉及信息主要包括网购数据、车主数据、保险理财类数据、学生公务员国企员工等特殊群体数据、医疗住宿出行数据等多种类型。这些信息因出卖次数多少、包含内容多寡决定价格高低。如果是首次出卖,信息包含银行卡号等含金量高的内容,可卖到一条信息一元的高价。多次转卖,往往就以一两百元一万条的价格打包出售。
大量个人信息被侵犯带来了不堪其扰的推销电话和短信,还有后果严重的电信诈骗。
含山县公安局网安支队副大队长王非介绍,被盗取的个人信息往往被分类用于精准推销、精准诈骗,比如公务员、教师、国企员工的信息往往被用来推销大额信用卡;个人银行卡类信息,往往被用来推销理财产品,或者用于复制银行卡盗窃资金;学生信息,则用来推销教材和家教信息,或以中、高考加分为借口进行诈骗;收藏品、保健品用户信息,车主信息则用来推销相应的商品或进行专门诈骗。
防止“信息裸奔”,不能仅靠自己小心
面对信息泄露,公众往往被提醒要自己小心,提高警惕,保护好自己的信息。这当然是一个重要方面。然而,在互联网高速发展的大背景下,除非离网生活,否则仅靠公民个人自我保护,很难保证信息安全。
采访中一位采访对象说,他曾在房产公司、保险公司工作过,对于客户信息,公司虽有要求不能泄露,但实际没有有效的监管措施。
目前一些网站本身的安全防护水平不高,甚至黑客入侵网站拿走数据后,有的网站仍浑然不觉。
显然,保障信息安全,需要各方共同发力。然而目前来看,防控信息泄露、打击信息犯罪还存在诸多难点。
首先,对侵犯公民个人信息的定罪标准仍不明确。信息的敏感程度、数量、获取手段、损害后果等都应当是罪刑考量的要素,而现行法律对此还未作出清晰规定,导致对犯罪人员的打击处理缺乏有力法律支撑,没有形成应有的震慑。
其次,机关、企事业单位个人数据保护责任尚未落实。很多单位没有建立完善的信息系统安全管理制度;对于收集到的个人信息没有及时进行匿名或化名处理;一些信息存储平台的日常防护能力不足。另外,目前处理的贩卖个人信息案件中,往往只追究了“内部人员”的法律责任,对相关单位及其领导的责任很少追究。
第三,公安部门反映,侵犯公民个人信息犯罪往往通过网络,涉及全国各地,信息种类庞杂,造成犯罪分子追踪难、信息溯源难,对公安内部的多警协作要求日益增多,对各部门的协调配合要求也日益增多,这些都给案件侦办提出了新挑战。
然而不管怎样,严厉打击信息犯罪,已是人民群众的共同心声。面对新形势,必须加强上下游违法犯罪形态研究,建立起从源头到渠道、从平台到行业、从企事业单位到管理部门的综合防控体系,推进法律适用和落实执行等配套机制,切实提升犯罪成本,切实保障公民信息安全。