>

上亿条个人信息被明码标价!警方出击斩断地下

- 编辑:新葡京官网 -

上亿条个人信息被明码标价!警方出击斩断地下

图片 1

“您所乘坐的航班出现故障不能起飞,收到信息及时联系专线4008162378办理变更或退票……”福州市民梁先生在同程网上预订了两张南宁飞往福州的机票,可就在登机前两天,他却收到了机票“退改签”的短信,上面清清楚楚显示着他的真实姓名、证件号码、航班信息。

图片 2

为什么我们的信息一直被泄露?

“到底是谁泄露了我的航班信息?”差点信以为真的梁先生在确认发来短信的号码并非航空公司的客服热线后,才明白这是一条诈骗短信,没有上当。但对于自己的信息如何让对方知晓,他却一直想不通。

原标题:上亿条个人信息被明码标价!警方出击斩断地下交易链

信息一直被贩卖的背后,一定是利益因素所导致的。有些商家需要取得这些信息来从事推广工作,有些个人为了牟取利益,会把这些信息进行贩卖,一些企业甚至打包销售,都是利益所驱使。

随着互联网技术的突飞猛进,网上购物、移动支付、大数据等给人们生活带来极大便利的同时,也给个人信息安全带来了前所未有的风险,侵犯公民个人信息犯罪持续增多。面对个人信息泄露引发的信息买卖、无端骚扰和电信诈骗,公民尚需小心防范,公安机关对个案的打击,也对此类犯罪起到一定的遏制作用。但如果因信息安全监管本身存在漏洞,那将会直接导致公民安全受威胁、财产受损害,使我国公民个人信息安全体系面临更严峻的考验。

丨顺藤摸瓜警方发现“科技公司”涉案

我也曾经遇到过这种事,刚给孩子报过英语班,马上另外一家英语班就会给你打电话,他能够直接叫出你的名字,叫出孩子的名字,叫出孩子上几年级等这些信息。

航班被陌生人取消

公民个人身份信息、身份证照片等一旦被私下贩卖,有可能成为“套路贷”犯罪、暴力催收以及电信诈骗的帮凶等等。

在法律中,尤其是在刑法当中,对于侵犯个人信息是有相关的规定的,侵犯个人信息,将会判处三年以下的有期徒刑、拘役或者管制,甚至可以并处罚金。对于情节严重的将判处的是3~7年有期徒刑,这意味着侵犯公民个人信息是一种犯罪行为,有可能被判刑。但是在具体的执行过程当中,可能还确实存在着一些其他不尽如人意的地方。

乘客信息安全存漏洞

最近,江苏淮安警方通报,在公安部督办下,他们以“打链条、打平台、打团伙”为目标,依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿余条。

谁泄露了我们的信息?

“民航旅客订座系统”,是中国民航信息网络股份有限公司(以下简称“中航信”)开发的订票系统。由于该系统操作界面是黑色背景、绿色和黄色字体,因此又被业内人士称为“黑屏系统”。

如此海量的个人信息被泄露,幕后黑手是谁?又暴露出怎样的制度漏洞?我们来看记者的调查。

现在玩一个游戏或者下载一个APP,需要提供很多信息和权限,明明跟相册没有任何关系的APP,也要求开通相册、通讯录权限,其实都是在获取我们个人,包括我们存储的其他人信息。

作为目前国内各大航空公司的订票系统,“黑屏系统”面向航空公司、机场、机票销售代理等机构,主要提供航空客运业务、航空旅游电子分销等服务。

2018年4月,江苏淮安警方在网上巡查时发现,有人非法购买公民个人信息,后嫌疑人高某主动到警方投案。高某交代,他花500块钱从网名叫“过去、将来”的人手里购买了317条公民个人信息,这些信息包括手机号、姓名、身份证号和家庭地址。他买这些信息的目的是打电话、给网络小贷公司拉客户。警方通过对QQ、微信等资料的综合研判,锁定贩卖个人信息的“过去、将来”位置在河南焦作,随即出动警力,将犯罪嫌疑人申某在家中抓获。

我们去参加一些线上线下的活动,都会要求提供一些相应的个人信息、姓名、电话等,提交后接收方有为我们保密的义务。但安全漏洞、员工或公司行为所导致的泄露,也是很大的源头。

今年2月,林女士通过一家航空公司官方APP软件预订了一张从北京飞往英国伦敦的机票。4月19日,她突然接到APP发来的信息,称她订的机票已经成功退票。林女士坚称自己从来没有申请过退票,但经该航空公司客服确认后,这一行为正是林女士自己通过APP软件操作所致。林女士再次打开APP确认,发现“常用乘机人”中竟然有几个陌生人的资料。这些人的姓名、联系方式、身份证号码、开户银行和卡号全都一目了然,另外还有十几条不属于林女士的航行记录也都赫然在列。而林女士的机票,就是其中一个关联人取消的。

在申某的电脑里,警方查获公民个人信息7万多条,这些信息包括公民姓名、身份证号、地址、电话以及芝麻信用分等,很多信息显示推广来源为“花钱无忧”“借点钱”等小贷平台。

还有一些大的企业,像电信公司、银行、政府部门,他们能够掌握到这些信息,而因为有买家的存在,个别员工可能会大批量的销售,为他个人牟取利益,导致我们信息被泄露。

这个关联人发现自己收到了从北京飞往英国的航班提示,但自己并没有购票过,便选择了取消。本应安全隐密的订票信息竟毫无保留地呈现在陌生人面前,而对方只需要动动手指,就可以任意对这些信息进行修改、取消等操作。

淮安市公安局淮安分局河下派出所副所长汤培林:他(申某)自己不做贷款,他就是贩卖,他就是从人家这边买过来以后,然后赚个差价,加个几毛钱或者一块钱一条,他再出售给其他人。

我曾经接到过电话说:“岳律师,我们这有一个什么样的客人”或者“岳律师,我们这有一个什么样业务”,他们能够清楚的知道我姓岳,而且知道我是律师,那么他的信息一定是从我们相关行业里所泄露出去或者获取的。他们所获取这些信息的目的可能并不是用于违法和犯罪,他是想要的是进行精准的广告投放,从而促进企业利益。

据某机票代理商负责人介绍,有权限查看并有可能泄露乘客航班信息的源头,主要有机票代理商、航空公司工作人员、中航信工作人员以及黑客这4大类人群。他们通过不同渠道和权限,在Eterm系统上只需输入乘客身份证号,就能查到包括乘客相应航班的座位、舱位、电话号码等详细资料,完全不需要乘客本人的验证。

经过侦查,申某的一名主要上线谢某在广州家中被警方抓获。另一个通过他人向申某贩卖公民个人信息的是广东一个网名叫“叮咚叮咚”的人,警方发现,“叮咚叮咚”在微信群中大肆贩卖公民个人信息,迹象表明,身为广州诺涵科技公司的员工,她贩卖公民信息并非个体行为。

那些从事犯罪行为的人,就是所谓的电信诈骗,一定是要通过这种沟通方式,来让被骗者对他产生相应的信任,然后再去给他打钱,这个时候掌握了你的个人精准信息是很容易获得信任的,接下来通过话术来继续实施诈骗。

因此,尽管信息泄露渠道繁多,但源头都指向了Eterm系统。虽然登录该系统需要特定的账号密码,但信息“倒爷”们会通过淘宝、QQ等网络平台向机票代理商、航空公司工作人员购买账号密码,或者直接通过“黑客”手段,通过软件将一个账号分出数个小号,便可顺利访问中航信的数据库。

丨警方全链条打击侵犯公民个人信息犯罪

还有一些从事网贷的,比如个人的财务状况你自己都不一定很清楚的时候,金融机构可能对你的财务状况非常清楚,知道你每年每个月的流水、存款信息,知道你是否是需要去取得贷款或金融上的支持,一些网贷公司可能会购买金融类的个人信息,实施广告投放来推销他们的产品,很多人在正规的银行是贷不出来款的,但是通过网贷它可以贷到,但也意味着它的风险系数较高,但网贷公司的催收手段其实还是蛮多的,甚至有一些是涉黑涉恶的手段,对于个人来讲蛮危险的。

事后,虽然航空公司APP工作人员回应称,机票被别人取消是软件系统漏洞才闹出了“大乌龙”,然而公民个人信息的泄露却并不只是一个偶然事件。

淮安警方深度研判发现,广州诺涵科技公司不只是贩卖公民个人信息,更主要的是在进行小额贷款并进行软暴力催收,是一个组织严密、分工明确、涉案人数众多的犯罪团伙。经过周密部署,2018年6月6日,在广东警方配合下,淮安警方一举将该公司45名涉案人员全部抓捕。

广告推销、电信诈骗、套路贷暴力催收,在五花八门的非法买卖个人信息背后,到底谁该负起责任,保护我们个人信息的安全?

信息泄露防不胜防

警方发现,在广州诺涵科技公司,公民个人信息被称为“流量”,公司自己开发有“乐花管家”等多个小贷平台,在自身购买公民个人信息用于推销贷款、软暴力催收的同时,也和其他公司相互交换公民个人信息,还开发有爬虫云等软件,通过技术手段爬取其他小贷公司的公民个人信息,用于公司放贷和非法出售牟利。

  1. 本人自己要保护好自己的信息,不要随意地提供给他人

安全监管需兼顾平衡

丨打链条 7家涉案公司被依法打击

2. 是收集到我们这些信息的平台,它应当履行好保密的职责,无论是在硬件上,在软件上技术层面的保密

2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国高达2000万条宾馆住宿记录泄露。2015年初至2016年6月,丁某在不法网站上非法下载获取这些宾馆住宿记录等公民个人信息,并上传至自己开办的“嗅密码”网站。

警方发现,涉案的广州诺涵公司虽然披着科技公司的外衣,其实从事的是网络放贷、软暴力催收、贩卖公民个人信息等违法犯罪行为。

3. “管好自己的员工”,因为掌握好信息之后,他是否有相应的数据库,这种数据库的查询是否有痕迹可查,比如说谁到数据库里查了信息,下载信息,这些是不是有记录

该网站除了能够查询住宿记录外,还提供用户QQ、部分论坛账号及密码找回功能。其中住宿记录共有将近二千万条,用户经注册成为会员后,可以在网页“开房查询”栏目项下,以输入关键字姓名或身份证号的方式查询网站数据库中宾馆住宿记录(显示姓名、身份证号、手机号码、地址、住宿时间等信息)。自2015年5月份左右,丁某开始对该网站采取注册会员方式收取费用。一年时间里,“嗅密码”网站共有查询记录49698条,收取会员费191440.92元。此案经审理后,丁某以侵犯公民个人信息罪被判处有期徒刑三年,并处罚金人民币二万元。

在他们贩卖的公民个人信息里,甚至还出现了公民身份证照片信息,这样极度隐私的个人信息他们从哪儿获取的呢?

监管机关是不是对这些信息的收集行为进行了有效的监管,对于违规收集的行为是否进行了相应处罚,司法机关是否在对于打击这些泄露公民个人信息的案件中,真正的赋予了权利,履行了自己的职责。

公安部网络技术研发中心主任许剑卓分析说,侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪,不管是敲诈勒索、电信诈骗等等各类犯罪,多数以非法获取个人信息为前提。

警方侦查发现,广州诺涵科技公司的公民个人信息主要来自湖南九象信息有限公司,这家公司开发有一个黑爬虫网站,通过爬虫软件,非法获取数十家小贷公司的公民贷款和逾期数据,然后公开提供收费查询,并提供“身份核验返照”业务,付费后任何人只要在该网站输入公民姓名和身份证号码,就可以查询获取公民身份证相片。这是严重的侵犯公民个人信息犯罪行为。

在生活中哪些情况下我们的信息会被泄漏?对于每个人来说,我们应该如何保护自己的信息安全呢?

最高人民法院研究室主任颜茂昆认为,大数据时代,包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值,而这些数据在流动和交易过程中,又极易产生个人信息扩散、失控的危险。因此,处理大数据发展的现实需要与保护公民个人信息之间的关系应有两个关键词:一是兼顾,二是平衡。

淮安市公安局淮安分局网安大队中队长顾明:返回的是带网纹的二代身份证彩色照片,是真实的,我们当时有办案民警测试了一下是最新的,大概两三个月之前刚刚拍的。

保护个人信息安全,对于自己的信息一定要形成敏感性,寄快递和收快递是不是必须要留自己家的私人住址?我们是不是可以用公司的地址?还有我们参加一些活动,要注意保护好自己的信息。

颜茂昆认为,所谓兼顾,就是在发展大数据的同时,必须依法保护公民个人的信息安全。只有包括个人信息在内的数据在法律的保护下安全迅速地收集和流通,才能够真正地推动我国信息产业的可持续发展。

锁定相关犯罪证据后,淮安警方在长沙、深圳分别将湖南九象公司的法定代表人和技术主管抓获。审讯得知,九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。随即,警方将北京黑格公司和考拉征信服务有限公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获,并于今年4月在北京将他们上游公司的5名涉案人员抓获。

现在大街上常会让你扫个二维码送小礼物,别因为这种小便宜,把自己的信息都提供出去,因为不知道他收集你的信息的目的到底是用于商业用途,还是用于犯罪。一旦用于犯罪,会给你带来很大的危险。

所谓平衡,就是在两者之间寻求一个结合点和平衡点,在法律层面为个人信息交易和流动保留了一定的空间。颜茂昆举例说,网络安全法规定,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。“这个规定是要严格保护公民个人信息,对网络运营者提出要求,但是同时也为数据提供留下了一些空间。”颜茂昆说。

经查,北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。

一旦发现个人信息被窃用,要及时的向相关部门进行反应,即使相关部门可能并不能及时帮你解决,但我们提供线索会更容易找到源头,从而解决问题。

“谁收集谁负责”

淮安市公安局淮安分局网安大队中队长顾明:它违规缓存,就相当于把咱们公民个人信息复制了一份,它存在那边,下游公司再向它通过数据接口调取数据的时候,它就不需要再向上游调取,也是节省了开支,这个是违法的。

法律责任界定日渐清晰

经查,2015年3月以来,北京考拉公司非法提供查询返照9800余万次,获利3800余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条。

当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。

丨行业整顿剑指“套路贷”数据犯罪

《法制日报》记者注意到,公民个人信息泄露,往往存在于信息收集源头到信息倒卖之间的多个环节中。在机票信息泄露事件中,由于从Eterm系统源头到乘客,中间经历了中航信、航空公司、第三方航空APP、机票代理商、在线订票网站等多个环节,每个环节都存在信息泄露的可能性,这也导致了个人信息泄露的受害者难以维权追责。

上亿条公民姓名、身份证号、身份证相片这些极其隐私的个人信息被相关公司包装成数据产品进行贩卖,严重侵犯了公民个人隐私。据了解,此系列案件中,部分涉案人员已经因侵犯公民个人信息罪被法院判处了相应刑罚。

针对取证难、追责难的困局,网络安全法明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第40条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”

同时,本案也暴露出一些公司打着大数据公司名义,非法利用爬虫技术、严重侵害公民个人信息安全的乱象。针对这种乱象,相关部门又采取了哪些整顿措施呢?

5月9日,最高人民法院召开新闻发布会,发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《解释》共13条,进一步明确侵犯公民信息罪的定罪量刑标准和有关法律适用问题,其中便对如何处理拒不履行公民个人信息安全管理义务行为进行了明确。

办案民警介绍,本来,公民身份认证服务是直接服务于“互联网 政务”,用来提升政府公共服务效能,防范欺诈和金融风险的。但之所以有上亿条带身份证相片的公民个人信息被泄露,主要问题在于涉案公司非法将公民身份认证端口出售,并非法缓存公民身份数据。层层加价后,这些数据被小贷公司利用,查询价格从源头的0.1元一条到查询底层时可能两三块钱一条,整整翻了二三十倍。 警方介绍,身份证照片可以随意获取,这为小贷公司实施“套路贷”犯罪、暴力催收敞开了罪恶之门。

颜茂昆介绍说,拒不履行信息网络安全管理义务罪主体是网络服务提供者。《解释》规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照拒不履行信息网络安全管理义务罪,追究其刑事责任。

淮安市公安局网安支队副大队长尹永齐:把这些非法获取的公民身份证照片PS成灵堂照片或者淫秽色情的照片发给你贷款人本人,首先是贷款人本人,对你进行威胁。

此外,与侵犯公民个人信息罪相关联的另一个犯罪是非法利用信息网络罪。颜茂昆说,实践中,一些行为人通过建立网站、通讯群组等供他人进行公民个人信息交换、流转、销售,以非法牟利。

警方介绍,这种情况下,如果贷款人还不还款,这样的PS照片就会被小贷公司发给贷款人的亲友、同事、同学,毁坏贷款人声誉逼迫其还款;还有就是被用于电信诈骗犯罪中的通缉令诈骗。

根据刑法规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。最高法经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。

淮安市公安局网安支队副大队长尹永齐:最后如何让受害人去信任呢?就是他们把通缉令会发送给受害人,然后受害人一看,上面有自己的照片,就信以为真。这个照片,从我们侦查来看,就是主要来源于通过网络接口泄露的公民身份证照片。

因此,《解释》规定,设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

警方介绍,本案中,湖南九象信息有限公司还利用爬虫软件,大量爬取其他小贷公司的公民贷款个人信息,包括姓名、身份证号、住址、电话、芝麻信用分、银行卡号、是否逾期还款,甚至贷款人被迫提供给某一家小贷公司的通话记录等,形成所谓的“地下征信”,然后以数据形式打包出售,其他小贷公司购买后成为是否放贷、放贷多少的风险控制依据。

许剑卓说,随着《解释》即将从6月1日起实施,公安机关将针对公民个人信息保护从重点打击侵犯公民个人信息源头,落实网络服务商的网络安全防护责任,打击购买、收售、交易、帮助建立平台和通讯群组整个利益链条三方面开展工作。

淮安市公安局淮安分局副局长王文红:用这个信息,进行所谓的风控管理,然后从中选出他认为可以的客户,进行精准的营销。

为切实加大对行业“内鬼”参与公民个人信息泄露案件的惩治力度,《解释》明确了在认定“情节严重”时,对行业“内鬼”泄露信息的数量、数额标准都要减半计算,降低了入罪门槛。“这为我们更好地打击这类犯罪提供了法律基础。所以下一步我们要追查源头,深挖行业‘内鬼’。”许剑卓说。

丨警方立案29起涉案个人信息4.68亿余条

与此同时,“一些手机APP会收集和它的业务无关的信息,比如公民行踪轨迹、通话记录,这种情况相当普遍。这些服务商没有依法落实有关安全防护措施,导致公民个人信息的泄露。”许剑卓称,“下一步,我们将结合网络安全法的实施,进一步强化安全监管,要求这些服务商落实相关的监管义务。对于未按法律要求、未落实相关义务而导致公民个人信息泄露的,我们将根据这次司法解释和网络安全法的规定予以严厉打击。”

公安部针对此案暴露出的行业乱象,全面开展了打击整治工作。截至目前,警方共立案侦查侵犯公民个人信息案件29起,抓获犯罪嫌疑人288人,缴获公民个人信息4.68亿余条,涉案金额9400余万元。涉案公司非法缓存的公民身份认证数据现已全部收缴。同时,堵塞漏洞,“身份核验返照业务”接口全部封停,公安部门会同中国人民银行等部门,加强对公民身份认证服务、个人征信服务的监管。

责任编辑:高雅

本文由互联网科技发布,转载请注明来源:上亿条个人信息被明码标价!警方出击斩断地下