一条被盗取的身份证信息在黑市交易值多少钱?答案可能是0.5元到20元不等;而一条学历信息的价格,则可能会在1元到50元不等。如果盗取的个人信息达50亿条,将会给黑产分子带去多大的利益诱惑,又会给用户的安全带来多大的隐患呢?
3月8日晚间,公安部刑侦局在其官方微博发布了一则重磅信息,称公安部统一指挥14个省、直辖市公安机关,彻底摧毁一个通过入侵互联网公司服务器、窃取出售公民个人信息的犯罪团伙,共抓获犯罪嫌疑人96名,查获各类被窃公民个人信息50亿条。
50亿条个人信息遭窃取贩卖
2016年9月,公安部刑侦局在工作中发现,有一个犯罪团伙潜入国内多家互联网公司的服务器,盗取了大量的公民个人信息,公安部遂部署安徽省蚌埠市公安局成立9·27专案组侦办此案。
今年1月,经过4个多月的侦查,警方共抓获犯罪嫌疑人96名,初步查获涉及物流、医疗、社交、银行等各类公民个人信息50亿条。
据警方披露,该犯罪团伙以韩某亮、翁某、郑某鹏为核心,其中翁某、郑某鹏主要通过入侵社交、游戏、视频直播等各类公司的服务器,非法获取用户账号、密码、身份证、物流地址等信息;韩某亮则通过多种方式将其这些用户信息变现。
韩某亮的变现手法包括变卖游戏装备、贩卖网络虚拟货币;出售给黑广播、伪基站或者电信诈骗的犯罪团伙;设立游戏赌博网站:即通过入侵其他赌博网站的服务器窃取用户个人信息,进行精准化推广,然后将其他赌博网站的客户引流到自己成立的游戏赌博网站上来。
据办案民警介绍,除了黑客入侵、内部窃取外,为获得数据,该团伙涉案人员之间还相互交换、买卖数据,互为补充。同时,韩某亮经营的游戏网站有人注册后,韩某亮还会把注册信息提供给翁某等人,扩大数据库。
此番运作将用户置身于巨大的风险中,而作为犯罪团伙核心的韩某亮则获益匪浅。据公安部刑侦局披露,在近一年多的时间里,韩某亮不仅成立了多家公司,还购置了高档汽车和多处房产,先后获利数百万元。
此前有媒体报道,该团伙中的韩某鹏是京东网络安全部员工,泄漏50亿条公民信息是监守自盗。对此,京东方面3月10日发布官方声明称,“经了解,郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其长期与盗卖个人信息的犯罪团伙合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖”。
至于该案破获的50亿条公民信息中,是否包含京东方面的相关信息,3月13日,京东相关负责人在接受法治周末记者采访时表示,目前该案还在审理中,具体细节还有待查证。
2014年12月至2015年1月,京东电商也曾出现过一波用户订单信息大范围泄露现象。事后经证实,发生在该时段的用户信息泄漏事件,系京东3名内部员工所为。后来,这3名员工被北京市大兴区人民法院以非法获取公民个人信息罪判处有期徒刑,并处罚金。
“用产业链对抗产业链”
近年来,互联网公司用户信息泄漏事件频发,并非京东一家中招。2015年5月,苏宁易购也出现用户订单信息大范围泄露事件,致使很多用户被骗;2016年3月,唯品会也被媒体曝出,其平台用户订单信息在一些QQ群被肆意买卖。
3月10日,在腾讯举办的《如何对个人信息贩卖说NO》沙龙上,腾讯安全管理部专家何欣介绍,目前,个人信息买卖已经形成分工明确、非常结构化的黑色产业链:信息泄露——传播交易——应用获利。
公安部此次破获的案件也证实了这一点。据警方介绍,在这个由96人组成的犯罪团伙中,“有人专门负责窃取公民个人信息,有人通过技术手段把这些公民个人信息整理建成数据库,还有一部分人把这些整理建库完的数据直接拿出来使用,有出售的、有交换的……形成一个黑色产业链”。
何欣表示,由于个人信息贩卖已经形成产业链,要进行打击对抗,也需要借助整个互联网行业的力量,“用产业链来对抗产业链”。
对于一些黑产分子利用QQ平台传播贩卖个人信息的现象,何欣介绍,腾讯采取了两种方式予以打击:第一种是安全策略,即通过研究从事个人信息贩卖的犯罪分子的行为模式特征,使用一些关键字词去对群组的资料、头像和间接等公开资料进行核查。
何欣透露,从2016年年初到现在,腾讯已经查处涉及个人信息贩卖的QQ群4700多个,关停了相关QQ账号3500多个。
另外一个途径便是举报,近期腾讯上线了侵犯公民个人信息的举报标签,期望通过此举更快、更有效地处理收到的举报信息,更快地核查、打击黑产分子。
不过,这些举措并不能将利用社交软件进行传播、交易用户个人信息的黑产分子一网打尽。何欣表示,一方面,从事个人信息贩卖者会不断变换关键词,甚至采用一些特别隐讳的名称,使得主动打击变得更加困难;另一方面,排查关键词只能用于公开的场景,而很多黑产分子会通过隐私的交流环节来贩卖个人信息,这就使得技术手段和人工核查都难以覆盖。
IDF互联网威胁情报实验室联合创始人万涛对法治周末记者表示,犯罪分子在从事黑产时,可能会通过QQ等即时通讯工具、各种支付方式进行沟通联络洗钱,而目前互联网企业在打击黑产时受困于诸多“忌讳”和限制,多“各扫门前雪”,也使得打击的线索无法汇聚。
何欣建议,要打击黑产需要整个产业联合起来,共同打造安全生态圈。而此案就是腾讯与京东在联合打击信息安全地下黑色产业链的日常行动中发现的线索,并及时向警方进行了提供。
万涛也建议,政府牵头成立专业组织,建立跨地区、跨部门、跨行业的配套机制和保障措施,让互联网企业间的安全团队可以合法地分享线索信息,协同发力,提升打击黑产的力度。
须借鉴“最小采集理念”
除了用产业协作对抗黑产外,何欣认为,还需要加强源头的保护,“因为我们发现很多犯罪分子会直接入侵到不同的机构网站,盗取大量的公民个人信息,所有在源头上掌握公民个人信息的机构,都应该加强自身的安全防护能力”。
在该案中,犯罪团伙中的翁某、韩某鹏就是采取技术手段,入侵多家互联网机构的网站,盗取了大量的用户信息。
公安部第三研究所网络安全法律研究中心主任黄道丽在接受法治周末记者采访时表示,2012年出台的《全国人大常委会关于加强网络信息保护的决定》,第一次从法律层面规定了网络服务提供者保障个人信息安全的技术措施和补救措施义务;2016年11月7日通过的网络安全法进一步强化了这一要求,并增加了告知用户和向主管部门报告的义务。
黄道丽表示,虽然网络安全法自2017年6月1日起正式施行,实质上,我国相关法律法规中对相关主体实施技术措施的安全保护职责早有详尽规定,如《计算机信息网络国际联网安全保护管理办法》(公安部令33号)、《互联网安全保护技术措施规定》(公安部令82号)等。
“此次破获的50亿条个人信息买卖案件,犯罪嫌疑人主要通过入侵信息系统的方式获取的个人信息,但是被牵涉企业是否采取了技术措施和其他必要措施确保用户的个人信息安全;在企业已知悉所存储、处理的信息已发生泄露和丢失的情况下,是否采取了合理的补救措施,防止信息继续泄露,是否及时告知用户以避免造成更大的损失,都是关注的焦点。”黄道丽说。
2015年8月通过的刑法修正案(九)新增了拒不履行网络安全管理义务罪,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒不改正,致使用户信息泄露,造成严重后果的,单位不仅将被判处罚金,直接负责的主管人员和其他直接责任人也将会被追究刑事责任。黄道丽认为,这一条款从刑法角度上强化了网络服务提供者的安全管理责任,在这样的法律背景下,互联网企业必须更加重视用户个人信息的防护。
中国社科院法学研究所研究员、国家信息化专家咨询委员会委员周汉华则认为,在大数据时代,无论是公权力机构,还是互联网企业,在网络信息安全方面最好的防护便是“不该要的别要,如果采集过多,自然会增加防护的负担”。周汉华介绍,目前发达国家已经普遍采纳了“最小采集理念”,这值得我国反思。
北京律师张新年一直关注互联网企业的用户信息保护状况,鉴于很多公民个人信息泄漏事件多是“内鬼”所为,他在接受记者采访时表示,互联网企业不仅要完善网站系统,从技术层面上保障数据信息安全,也要重视人员管理,加强对涉密员工法律意识培训的力度,防止他们铤而走险。