非法收集百万条个人信息,中山这家公司栽了
头条精读:去年,南都曾刊发报道《700元就买到同事行踪》,其中记者发现在网络黑灰产业的上端,进行撞库盗号、编写诈骗软件的群体猖獗,他们把获取的大量账号信息等放在网上出售,以此获利,引起大众关注。而在中山也破获了类似案件:为了推广贷款获取“中介费”,中山市东区一家投资管理有限公司通过非法购买、利益交换等渠道,获取个人信息上百万条。这是“飓风2017”涉电诈专项行动的一大战果,也是近年来中山警方破获的非法获取公民信息数量最大的案件。这家公司是如何获得如此海量数据的?南都记者日前采访了该案的办案民警。
案情回顾
当场带走53人缴获10台电脑
今年3月,中山市反诈骗中心接到线索,“有陌生电话向我推荐贷款,但是我从来没有到银行或其他地方申请过贷款”,接到电话的市民称,不知道在哪里泄露了信息,接到这些陌生来电。
经过反诈中心初步侦查,位于东区起湾道的一家投资管理有限公司进入警方视野,中山市东区公安分局迅速成立专案组。专案组民警立即对嫌疑人公司进行排查走访,同时对他们的行动规律进行分析。3月27日下午,抓捕时机已经成熟,专案组民警进入公司,当场抓获该公司董事长唐某武(男,31岁)等53人,缴获作案电脑10台。让人震惊的是,这家公司储存的公民信息超过百万条。
每条信息价格从1分至1元不等
一家公司搜集如此大量的个人信息,到底想做什么?犯罪嫌疑人交代了公司的操作流程。这是一家小额信贷公司,为了寻找客户,员工每天会拨打大量的电话,询问对方是否需要代办信用贷款和抵押贷款。如果对方有贷款意向,公司员工就会让他准备相关资料前去签约,由该公司负责银行业务的员工带客户到银行签约,等待银行放贷。
正是为了拓宽业务量增加业绩,这家公司从2015年开始采用非法手段,获取公民个人信息。据犯罪嫌疑人交代,获取信息的方式有几种,其中通过QQ、微信等途径非法购买的信息数量最大。由于公司主要在中山从事小额信贷业务,绝大部分的客户在中山,因此这些个人信息大多是针对在中山工作、生活的人。
办案民警介绍,被泄露信息的人群涉及到各行各业,包括国家机关、企事业单位、银行、教育、企业、个体户等各行各业的人员,也有无业人员。不过根据信息的价值不同,出售的价格也相差甚远。比如有的信息简单,只有姓名、电话;有的信息则很详细,包括个人所在的公司名称、公司地址、房产、车辆信息等;特别是针对做生意的企业主,这属于公司的重点客户,这类信息价值比较大,价格也相应要高。
根据信息的价值程度,每条价格从0.01元至1元不等。“现在已经查实的信息中,嫌疑人有一次性花300元就购买了1万条信息的”,办案民警说。
开会培训获取个人信息的方法
在这个50多人的公司内,大家又是如何分工的呢?据犯罪嫌疑人称,购买公民个人信息的行为一般都由公司的总经理、副总经理直接进行;他们获取这些信息后,再分发给各个团队长,由团队长发到每个业务员手上。此外,老总、副总还会开会进行讨论,同时培训大家获取公民个人信息的方法。如果公司统一分发的公民个人信息资料不足以满足团队需求时,部分团队长、业务员会以同样的方式非法获取公民信息。
实际上,这家公司取得个人信息的方法可谓“花样百出”。据办案民警介绍,除了非法购买,这家公司还通过送礼品、给业务、互换资料等方式获取信息,甚至想方设法免费拿到。
东区警方介绍,目前犯罪嫌疑人唐某武等24人已被依法刑事拘留,其余29人经教育后释放,案件正在进一步侦查中。
记者体验
网上可搜到购买信息
昨天,南都记者在QQ上搜索“公民信息”,很快就找到与此相关的QQ群,群名称直接是“公民信息”、“公民+信息”等。选择号码为625921964的QQ号加群,对话框里就会弹出“拿料买货QQ:10775914”,南都记者进一步寻找这个个人号,搜索后发现这个QQ名直接写着“拿货转QQ;951985502”。南都记者再次添加这个号,终于成功添加了好友“网络√货源”。
“网络√货源”称这里可以找到一手货源,优越的价格。南都记者询问是否有中山市的个人信息数据,对方表示有,包括银行账户都有,一万条的价格是2800元,不过表示不提供免费测试。记者表示价格太贵,是否有便宜一些的,对方表示300元能提供1000条信息,可以通过微信、支付宝进行支付。在百度搜索“哪里能买到个人信息”,有用户在评论里回复“号码资源,更新不断”。
南都记者在裁判文书网上发现,被泄露的个人信息范围广泛,涉及网购记录、车主、业主、楼主、酒店住宿信息,12306注册信息,个人简历信息以及网络注销账号、密码等。
揭秘
三种手段拿到海量信息
根据警方目前的侦办情况,发现在涉案这家公司中,有三种方式获取个人信息:购买、利益交换、免费获得。
据办案民警介绍,在涉案公司上百万条的个人信息中,通过购买获得的信息数量最大。而在互联网时代,通过网络购买个人信息并不难。该案中,涉案公司相关人员就在网上购买了批量信息。
此外,这家公司还有一些传统的方法免费获取信息。办案民警介绍,比如有的员工来自地产中介,或者保险行业,手中可能本来就有一批客户资料。通过网络搜索,也能查到一些企业负责人的姓名和联系方式,这些信息他们也会整理利用。
还有一种方法,是利益交换。办案民警介绍,比如说有的员工买了保险,保险业务员为了让他推荐更多人来购买保险,会同意给他一些客户信息。还有的员工去印刷店大量印制卡片,“为了巩固客户,一家印刷店老板把电脑里一份包含十几万个人信息的资料,无偿给了这家公司的员工”,办案民警说。
海量信息从哪里流出?
这些海量的信息都是从何而来,都是从哪里泄露出来的?广东省公安厅网警总队政委戴自力曾表示,目前信息泄露的源头多样化。经过公安机关多次打击整治,机关企事业单位、服务机构以及个体企业相关人员参与的泄露活动更加隐蔽,其中以快递和电商行业较为高发,而黑客通过技术手段窃取方式成为重要源头,包括实施攻击、撞库及利用钓鱼网站、木马、免费W iFi、恶意A PP等手段盗窃用户信息。
危害
个人信息泄露易引发犯罪
公民的个人信息泄露以后,可能引发哪些犯罪?戴自力介绍,当前非法获取公民个人信息犯罪种类多样、已经形成“盗窃、贩卖、诈骗”一体化的黑色产业链条,为不法分子实施“精准诈骗”提供了帮助,是当前网络犯罪的一大公害。
东区警方介绍,犯罪团伙可能利用非法获取的公民个人信息进行诈骗、盗窃、敲诈勒索、绑架、暴力讨债等犯罪,而最常见的是用于诈骗犯罪。诈骗案件主要分两种:一类是接触性诈骗,犯罪分子会利用已掌握的这些个人信息,乔装成上门安装电视、网络、煤气、水电等工作人员,以收取安装费及使用费为由诈骗钱财;另一类是非接触性诈骗,犯罪分子会冒充公检法、银行、航空铁路部门、网购商户、亲戚朋友等人员,以各种理由诈骗钱财。
昨日,南都记者查询中国裁判文书网,发现近年来中山判处的非法获取公民信息罪的案件有3单,非法获取的方式有购买,也有通过木马病毒侵入获取。而且,不法分子得到这些公民信息后,都准备用于电信诈骗。
部门行动
出售公民信息且情节特严重的处三年以上七年以下有期徒刑
去年,中山市公安机关在打击电信网络诈骗犯罪过程中,就发现中山存在非法出售、提供、窃取、收买公民信息行为。去年3月29日,中山警方专门开展了一次针对全市重点单位、重点行业规范公民信息管理、防止公民信息泄漏的专项工作。其中明确,国家机关或金融、电信、交通、教育、医疗及其他单位工作人员,将在履行职责或提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。单位存在出售或非法提供、或非法获取公民个人信息行为的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员追究刑事责任。
不安全的公共无线网络也可能是信息泄露的漏洞。为了加强对中山市公共场所无线上网安全监管和技术防控,4月15日上午,中山市公安局主办的“2017网络安全宣传日暨网络安全示范区揭牌仪式”,在东区盛景尚峰国际金融中心紫马广场正式举行。未来盛景尚峰商家门店都将展示出“安全上网认证商家”标识,市民见此标识即可放心链接商家无线网络信号进行上网。
向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
典型案例
银行员工盗取储户信息高价转卖给同学
去年10月10日,中山警方抓获一涉嫌售卖银行客户个人信息团伙,让人瞠目结舌的是,流出信息的不是别人,而是银行的工作人员。
中山警方介绍,网警支队根据公安部下发涉嫌售卖公民信息的线索,开展侦查,迅速锁定犯罪嫌疑人郑某及其同伙活动规律,并抓获犯罪嫌疑人郑某(男,31岁,湖南桃源人,就职于中山某银行分行)、杨某(男,30岁,广东省阳春市人,银行客户经理)、李某(男,32岁,广东省化州市人,银行员工)、吴某萍(女,33岁,广东省中山市人,银行柜台员工)。
据郑某交待:自2015年8月起,应其大学同学罗某爽(男,29岁,湖南省长沙市人)之约,以每条50元至140元不等的价格,向其出售公民在某银行开户的个人信息。
据警方介绍,银行工作人员盗取的信息除了开户人姓名,证件号码外,还包括了银行卡内余额,信息的售卖价格高低取决于这些用户的“含金量”。
郑某获取这些信息,主要是通过银行客户经理杨某、员工李某、银行柜台员工吴某萍查询银行信息系统等方式,间接或直接获取的。这三个人也收到了郑某给予的报酬,其中,郑某供认从中获利15万余元。目前,该案已进入司法程序。
知多D
个人如何防范信息泄露?
●个人的电子邮箱、网络支付及银行卡等密码要有差异;
●掌握公民个人信息的网站或单位要对用户信息加密并采取分级查看的权限设置;
●不要轻易将个人信息提供给无关人员;
●慎重参加网上、网下调查活动;
●妥善处置快递单、车票、购物小票等包含个人信息的单据;
●投简历只提供必要信息;
●在网上交易需要到正规的交易平台网站,同时要注意鉴别网址真伪;
●积极向警方提供网络诈骗相关线索。
延伸阅读
编写软件盗取公民信息
2017年3月,中国最大的漏洞检测与响应平台“补天平台”曾发布《2016年网站泄露个人信息形势分析报告》,报告显示,去年该平台共收录了可导致个人信息泄露的网站漏洞359个,总计可能泄露个人信息60 .5亿条,平均每个漏洞可导致1685万条个人信息泄露。
今年3·15,南都又对50家网站、A PP隐私政策进行测评,调查发现,多数互联网企业对隐私政策的重视程度并不高。截至3月11日,南都记者阅读了50家网站和A PP最新的隐私政策,并进行评分。结果显示,超过八成的隐私协议不及格,其中购物类网站和A PP得分普遍较低。
●不法分子获取公民个人信息三大途径
日前,南都记者在Q Q上搜索“公民信息”,很快就找到与此相关的Q Q群,并通过对话框一步步提示,添加了一个Q Q号。对方表示,可以提供中山市的个人信息数据,一万条价格2800元。
办案民警介绍,比如说有的员工买了保险,保险业务员为了让他推荐更多人来购买保险,会同意给他一些客户信息。还有的员工去印刷店大量印制卡片,“为了巩固客户,一家印刷店老板把电脑里一份包含十几万个人信息的资料,无偿给了这家公司的员工”,办案民警说。
办案民警介绍,比如有的员工来自地产中介,或者保险行业,手中可能本来就有一批客户资料。通过网络搜索,也能查到一些企业负责人的姓名和联系方式,这些信息他们也会整理利用。
统筹:南都记者 胡怀军
采写:南都记者 吕婧
南都制图:何欣
编辑: 朱晓宇