3月10日起,公安部部署打擊黑客攻擊和網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動。昨天,江蘇省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊通報,過去3個月江蘇警方破獲黑客及侵犯公民個人信息犯罪189起,抓獲嫌疑人699名。當(dāng)前,侵犯公民個人信息犯罪形成了黑色產(chǎn)業(yè)鏈,黑客和“內(nèi)鬼”成為公民個人信息泄露的最主要源頭。當(dāng)天,江蘇警方發(fā)布典型案例,為市民保護(hù)個人信息支招。
通訊員 蘇宮新
揚(yáng)子晚報全媒體記者 于英杰
權(quán)威發(fā)布
699名嫌疑人落網(wǎng) 繳獲個人信息40億條
根據(jù)公安部統(tǒng)一部署,江蘇警方采取嚴(yán)打高壓和綜合整治等措施,重點打擊制作傳播黑客工具、實施網(wǎng)絡(luò)攻擊、黑客竊取數(shù)據(jù)和單位內(nèi)部人員倒賣公民個人信息等方面犯罪活動。
目前,江蘇警方共立案黑客犯罪案件70起,破案49起,抓獲犯罪嫌疑人248名;立案網(wǎng)絡(luò)侵犯公民個人信息犯罪案件162起,破案140起,抓獲犯罪嫌疑人451名,其中“內(nèi)鬼”源頭18名,繳獲電信、金融、汽車、戶籍、通話記錄、賬號密碼、外賣信息等公民個人信息40余億條。
5月中旬,江蘇省公安廳出動400多名警力赴廣東、湖南、湖北、甘肅等10余個省、市,對涉案犯罪嫌疑人開展集中抓捕,共偵破案件39起,抓獲犯罪嫌疑人183名。同時,警方對省內(nèi)2584家黨政機(jī)關(guān)、企事業(yè)單位的重要信息系統(tǒng)和6765個重點網(wǎng)站開展執(zhí)法檢查,發(fā)現(xiàn)隱患500余個,約談了10家未完成整改的單位。
黑客和“內(nèi)鬼”
成信息泄露主要源頭
省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊負(fù)責(zé)人說,個人信息泄露的渠道很多,比如沒有撕毀的快遞單、網(wǎng)上參與活動登記個人信息等等。“不過,真正導(dǎo)致大規(guī)模個人信息泄露的源頭主要是兩個,一是黑客攻擊,二是握有大量個人信息的相關(guān)企業(yè)、單位、平臺的‘內(nèi)鬼’。”
黑客利用自己掌握的網(wǎng)絡(luò)技術(shù),入侵相關(guān)網(wǎng)站后臺,竊取公民個人信息進(jìn)行販賣;“內(nèi)鬼”則往往是相關(guān)企業(yè)、單位、平臺的內(nèi)部人員,他們利用自己的權(quán)限獲取公民個人信息販賣牟利。幾乎每一起侵犯公民個人信息犯罪案件中,個人信息的源頭都不會單純來自黑客或“內(nèi)鬼”,而是兩類犯罪嫌疑人都參與其中。
起底泄露源
黑客篇
自學(xué)者建起“帝國”,全國賣黑客軟件
去年12月初,淮安市公安局網(wǎng)安支隊發(fā)現(xiàn),有本地網(wǎng)民通過QQ買“X-Password”系列黑客軟件。“交3888元成為會員,便可通過軟件破解他人在網(wǎng)絡(luò)上的賬號密碼。”淮安市公安局網(wǎng)安支隊副支隊長鄭楊介紹。
警方發(fā)現(xiàn),黑客軟件由“X-Password”和“X-Datebase”兩款軟件組成。“X-Datebase”是賬號、密碼查詢庫,交費會員將想查詢的他人賬戶用戶名輸入后,其便能找到綁定該賬號的相關(guān)信息。“X-Datebase”數(shù)據(jù)庫中,關(guān)于公民個人信息的數(shù)據(jù)有數(shù)億條。
“X-Password”則能實現(xiàn)密碼重組、驗證、撞庫、遠(yuǎn)程下馬等功能,最終能實現(xiàn)強(qiáng)力破解他人QQ、郵箱等密碼,盜取蘋果ICLOUD賬號,以達(dá)到進(jìn)入QQ、郵箱或非法解鎖手機(jī)或遠(yuǎn)程控制他人手機(jī)等目的。
經(jīng)查,2015年7月以來,廖某制作“X-Password”系列黑客軟件,由李某、朱某某、黃某等人作為代理,在網(wǎng)上進(jìn)行銷售。先后售出1000余人次,涉及30余省市數(shù)百人,非法獲利400多萬元。
讓人意外的是,作為黑客軟件的制作者,32歲的廖某只有初中文化。他交代,因為文化程度不高,自己一直飽受他人歧視,尤其是丈母娘。
于是,廖某“奮發(fā)圖強(qiáng)”,自學(xué)軟件技術(shù),最終開發(fā)出“X-Password”系列黑客軟件。廖某先統(tǒng)一軟件價格,然后制定了分級代理的銷售模式。他不僅自拍了10多分鐘的黑客軟件使用教學(xué)視頻,在網(wǎng)上宣傳,還建立了專用QQ群,管理銷售代理和會員,進(jìn)行技術(shù)交流。
“通過賣黑客軟件賺錢后,廖某買房、買車,還給老婆買了不少高檔用品。”據(jù)介紹,目前8名主要嫌疑人已被刑拘。
內(nèi)鬼篇
保健品公司哪來那么多客戶信息賣?
今年3月,睢寧縣公安局網(wǎng)安大隊發(fā)現(xiàn),有人在多個QQ群內(nèi)發(fā)廣告,出售各種快遞公司快遞單信息。警方明確發(fā)布廣告的嫌疑人,是睢寧當(dāng)?shù)匾患冶=∑饭镜墓ぷ魅藛T胡某。
睢寧縣網(wǎng)安大隊長王森介紹,這家保健品公司的實際負(fù)責(zé)人周某為推銷保健品,需要大量公民個人信息,用來打電話定點推銷。一個偶然機(jī)會,他得知河北人胡某手上有相關(guān)資源,便將其招聘進(jìn)公司,負(fù)責(zé)保健品推銷方面的工作。胡某一方面通過網(wǎng)絡(luò)購買相關(guān)公民個人信息,并將用過的信息重新打包后出售或與人交換。“周某公司一度曾達(dá)到每天撥打上千個電話。”王森說。
警方發(fā)現(xiàn),犯罪嫌疑人通過非法獲取、提供、交換買賣的公民個人信息種類,涵蓋全國多個省市的電子產(chǎn)品銷售、物流快遞等多個領(lǐng)域,數(shù)量高達(dá)數(shù)百萬條。“我們判斷,這些公民個人信息泄露的源頭可能來自黑客攻擊、物流快遞業(yè)內(nèi)部員工。”徐州市公安局網(wǎng)安支隊五大隊大隊長劉光偉介紹,警方很快明確了該犯罪鏈條上的20多人身份。
4月20日,睢寧縣公安局出動50多名警力,成立15個抓捕組,截至目前,抓獲嫌疑人24名,其中23人被刑拘,從嫌疑人電腦中扣押公民個人信息500多萬條。
王森介紹,抓獲的嫌疑人中,既有提供信息的黑客、“內(nèi)鬼”,也有購買信息用于電話推銷的人士。“內(nèi)鬼”涉及多家小型購物網(wǎng)站和部分快遞企業(yè),他們有的利用自己網(wǎng)站管理員的權(quán)限,將后臺的客戶信息打包販賣,有的則是快遞企業(yè)員工,通過內(nèi)部平臺收集快遞單上的公民個人信息。多名犯罪嫌疑人交代,他們販賣出的個人信息累計1000余萬條,非法牟利數(shù)十萬元。
■延伸閱讀
發(fā)現(xiàn)企業(yè)數(shù)據(jù)庫漏洞 勒索20個比特幣被判刑
趙某自詡是“白帽子黑客”,發(fā)現(xiàn)蘇州一家企業(yè)數(shù)據(jù)庫的漏洞后,在凌晨匿名向企業(yè)發(fā)送郵件索要20個比特幣,否則將把數(shù)據(jù)另作他用。迫不得已,該企業(yè)支付20個比特幣后才免于遭殃。不過,這個黑客趙某最終被抓。日前,蘇州吳中法院以敲詐勒索罪對趙某判刑3年,并處罰金2000元。通訊員 沈君燕 揚(yáng)子晚報全媒體記者 于英杰
向企業(yè)勒索20個比特幣
“告訴你一個不幸的消息,你們的數(shù)據(jù)庫泄露了。如果這些數(shù)據(jù)落到黑客手中,將對你們公司造成不可估量的損失,我認(rèn)為我們有必要合作,作為一個白帽子黑客,我選擇了匿名,隨便賺點錢花……”2016年8月1日凌晨,一封匿名郵件打破了蘇州某公司的平靜。這封郵件提到的數(shù)據(jù)庫,涉及700多萬注冊用戶和1000多萬的訂單信息。
收到這份匿名郵件后,該公司邊報警邊聯(lián)系維護(hù)該企業(yè)數(shù)據(jù)庫的某信息技術(shù)公司,告知其客戶及訂單數(shù)據(jù)已被黑客掌握。當(dāng)天,該信息技術(shù)公司出面向這名黑客的賬戶支付了20個比特幣。第二天,這個黑客就把服務(wù)器漏洞的詳細(xì)信息和修復(fù)方案、代碼筆記等信息通過郵件方式發(fā)送給該公司。
“白帽子黑客”發(fā)現(xiàn)漏洞
這名黑客是趙某,他在大學(xué)期間自學(xué)編程,畢業(yè)后當(dāng)過教師,后在一家程序公司上班,從事程序員的相關(guān)工作。趙某經(jīng)常登錄網(wǎng)站學(xué)習(xí)編程,2016年7月,他在瀏覽該學(xué)習(xí)網(wǎng)站時,偶然發(fā)現(xiàn)一個程序編寫的代碼筆記,筆記中標(biāo)明該代碼可以成功登錄某公司數(shù)據(jù)庫服務(wù)器,并有數(shù)據(jù)庫的賬號和密碼。趙某抱著試試看的心理,登錄進(jìn)去,意外發(fā)現(xiàn)該公司的大量客戶信息和訂單。
在搞網(wǎng)絡(luò)信息的人眼中,企業(yè)客戶、訂單信息意味著財富,趙某深知這一點。他通過QQ群搜索功能搜到了該公司QQ群,并找到了群主QQ號,然后就給這個QQ號發(fā)了開頭的那封匿名郵件,并提供了比特幣的付款地址以及他的暗網(wǎng)郵箱地址(即不可追溯來源的郵箱)。
所謂“白帽子黑客”,是指那些用自己的黑客技術(shù)來做好事的電腦技術(shù)高手,可以說是合法的黑客,現(xiàn)實當(dāng)中這些人就是信息安全專業(yè)人士,他們的工作就是尋找、測試和修補(bǔ)危機(jī)計算機(jī)的漏洞,讓狂野的互聯(lián)網(wǎng)更安全。趙某自稱“白帽子黑客”,可他的行為有些不光彩。他索要20個比特幣當(dāng)報酬,按去年8月份的市場價,就相當(dāng)于人民幣7萬多元,若按現(xiàn)在的價格,則可能超過40萬元。
認(rèn)定構(gòu)成敲詐勒索罪
接到報警后,蘇州警方立即立案并展開偵查。去年8月11日,在山西運(yùn)城警方協(xié)助下,趙某被蘇州警方抓獲。到案后,趙某主動提出并協(xié)助退還了涉案比特幣,取得了該公司的諒解。
吳中法院經(jīng)審理認(rèn)為,趙某敲詐勒索公私財物,數(shù)額巨大,其行為已構(gòu)成敲詐勒索罪。他歸案后如實供述其罪行,可以從輕處罰;又積極退贓,取得該公司諒解,可以從輕處罰。據(jù)此,法院以敲詐勒索罪對其判刑3年,并處罰金2000元。蘇宮新 于英杰