50亿条个人信息是怎么被盗的?

记者说

“在政府相关法律法规进一步完善之前,我们也要懂得哪些渠道最容易造成自身个人信息的泄漏,以及如何做好个人的防护、守卫工作。”

两会期间,公安部宣布破获一起特大窃取贩卖公民个人信息案,抓获犯罪嫌疑人96名,初步查获涉及物流、医疗、社交、银行等各类被盗公民个人信息50亿条。凭着这一条条看似鸡毛蒜皮的个人信息,这个由80后、90后组成的犯罪团伙在短短一年内实现月“盈利”过百万。

在政府相关法律法规进一步完善之前,我们必须懂得哪些渠道最容易造成自身个人信息的泄漏,以及如何做好个人的防护、守卫工作。

新快报记者郑志辉

注册会员成泄漏个人信息一大渠道

这个犯罪团伙是如何窃取了多达50亿条公民个人信息的呢?记者综合央视、人民网、新华社、腾讯网等多家媒体对本案的报道后,得知犯罪团伙的手段基本如下——

黑客入侵。哪个网站出名,就去攻击它。

内部窃取。拥有博士学历的犯罪嫌疑人郑某鹏,曾经在百度、新浪微博、亚马逊都工作过。通常在工作一段时间获取信任后,便窃取网站的核心数据,成功后即离开该公司,继续到下一知名网站应聘,被抓获时正在京东任职网络安全工程师。

交换买卖。为获得数据,涉案人员之间还相互交换、买卖数据,互为补充。

注册会员。犯罪嫌疑人韩某亮经营的游戏网站有人注册后可以获得注册信息。

撞库。通过技术手段把获得的海量个人资料进行整理、建库,以此扩大数据库资源,又为撞库攻击其他互联网公司提供支撑。

“新鲜”信息每条

可以卖二三十元

这些信息在一般人眼里毫无用处,但在犯罪分子眼里,这些信息无疑是一座座待采的金矿。

厦门市公安局刑侦支队民警陈鸿日前提到,刚买车的车主、刚订机票的旅客、刚下单的网购者等个人信息最受诈骗分子“青睐”,“像这样新鲜的信息每条可以卖到20至30元”。

据警方介绍,数据主要流向赌博公司、电信网络诈骗分子、伪基站以及窃取银行卡信息后进行复制的人手里。

另外,一些商家也有相关需求,主要是一些金融投资公司,他们拿到信息后进行广告的投放。“许多市民都接到过各种电话,包括股票理财等等,很多都来源于此。”甚至前段时间沸沸扬扬的开房记录等公民隐私被查询,很多数据都与此有关。

立法进程

八成以上受访者曾接到“熟悉的陌生来电”

记者从公安部了解到,2016年公安机关相关部门共侦破侵犯个人信息犯罪案件1800余起,抓获犯罪嫌疑人4200余人,查获各类公民个人信息300余亿条。而中国互联网协会发布的《中国网民权益保护调查报告2016》显示:近一年,国内6.88亿网民因个人信息泄漏等造成的经济损失估算达915亿元。

另一份由中国青年政治学院互联网法治研究中心等机构联合发布的《中国个人信息安全和隐私保护报告》显示:81%的受访者收到过知道自己姓名或单位等个人信息的陌生来电;36%的受访者在租房、购房、购车、考试和升学等行为后,收到过骚扰或诈骗信息。

毫无疑问,“随着信息时代的快速发展,特别是大数据、云计算等新技术的广泛应用,公民个人信息正被各行各业使用和存储,在给人们生活与工作带来极大便利的同时也面临严峻挑战。”全国人大代表廖仁斌日前表示,公民个人信息的保护,已经迫在眉睫。

代表委员建议:信息保管不善也应担责

3月8日提请十二届全国人大五次会议审议的民法总则草案规定:自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。

值得留意的是,多位代表委员均提出,在个人信息保护立法时,必须明确信息安全责任人,谁该对信息泄漏负责,建立民事责任、行政责任和刑事责任的法律责任追究体系。

如全国人大代表张天任就提议“妥善保管原则”,如因信息采集主体保管不善导致个人信息泄漏,则信息采集主体应当依法承担相应责任;如工作人员私自泄漏了个人信息,除该个人应当承担责任外,信息采集主体应视具体情节也依法承担责任;如信息采集主体对个人信息保管不善,同时又有第三方非法获取并使用个人信息,则信息采集主体与第三方共同承担赔偿责任。

然而,当个人因遭遇“内鬼”或信息采集单位保护不力而被泄漏个人信息时,广东天穗律师事务所主任杨锡锋告诉记者,虽然涉事事主是构成刑事犯罪的,但民事方面要受到损失才能索偿,然而这种情况受到的损失并不好界定,所以他能给出的建议是向公安机关报警,为公安机关侦破侵害公民信息犯罪提供线索。

在企事业单位和机构端,360企业安全集团总裁吴云坤指出:“目前很多互联网公司在获取个人信息的时候并不规范,比如说大量的APP都在私下获取一些与功能无关的个人信息;另外,很多互联网公司,为了自身的商业价值,并没有妥善地保管好用户的个人信息,比如说用户信息是无密码保存的,或者没有内部员工权限管理,和脱敏无害使用的。这两种情况给个人信息的泄漏创造了条件。”

“作为企业法人来说,目前在这方面各大商业银行有比较先进的经验。比如说他们的前台只能看到和自己有关的几条数据,连用户名都看不见。这种严格的分级管理机制和加密保护机制,应该被互联网公司借鉴和学习。”吴云坤说。

贴士

十条针对性保护建议

根据腾讯手机管家安全团队一份刚刚出炉的《个人隐私泄漏报告》,通过对腾讯数亿网民的大数据分析,总结出十大泄漏渠道并且针对性地提出了相应的个人防范和保护措施,让网民们学会武装自己。

1.不轻信任何要求转账或退款的信息和电话。

2.养成良好的上网习惯,减少在各类社交平台不必要的个人隐私展现,并定期修改社交账号密码,不要随意点击陌生链接,不在安全性未知的网址界面中,包括一些问卷调查或在线测试页面随意填写自己的个人信息。

3.谨慎使用公共场合的WiFi热点。避免在连接公共WiFi的情况下进行网络购物和网银的操作。

4.杜绝见码就扫的不良习惯。

5.提高对个人联系方式的保护意识。不要随意填写和提供个人手机号码等联系方式,也不要使用自己的身份信息为他人办理手机卡,防止个人身份信息被盗用。

6.正确处理车票机票。不要将完整票面随意丢弃,也不能随意将票面交给陌生人。

7.不随意丢弃快递单据。

8.手机一旦丢失,马上冻结各种账号。

9.通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP,不要安装来历不明的软件,特别是在短信内附带的下载地址。

10.安装手机安全软件。定期给手机进行体检和病毒查杀,并及时更新病毒库。