当前位置:首页 >>每周质量报告

隐私黑洞

2014年08月12日 10:23    信息来源:国家质检总局

【演播室】

共同打造高质量的生活,欢迎收看《每周质量报告》。在以前的节目中我们多次报道过,有些消费者在姓名、身份证号、电话号码等个人信息泄露之后,导致银行卡或者网络支付工具中钱财被盗的案例。而在不少案例当中,当事人都不知道自己的这些个人隐私信息到底是什么时候、通过什么途径泄露出去的。日前,杭州警方破获了一起侵犯他人个人隐私的案件,从这起案件当中我们不难发现,不法分子要想掌握我们的个人信息其实并不困难,而且就算个人信息被盗取了,我们也并不知情,那么,这么不法分子到底是怎么做到的呢?来看记者的调查。

【正文】

今年3月份,杭州市下沙经济开发区的一家快递公司的负责人发现,有人在网上公开买卖他们公司快递单上的信息,而且销售量还很大。

【同期】报案人 李先生

因为这个面单信息我们是不允许,连收垃圾都不好卖的,卖废纸都不好收的 应该全部是烧毁销毁的。再后来我们公司想了以后,应该是人家盗取的,因为数量也有一万多张,所以我们就报案。

【正文】

接到报案后,杭州警方立即展开了调查,调查过程中办案民警发现,确实在一些公开的网络论坛和QQ群中,有人在大量兜售快递面单信息,这些信息以图片格式存在,面单上除了有快递编码之外,还详细地记录着收货和发货双方的姓名、手机号码、联系地址等个人信息。

在进一步了解过程中我们发现,这些信息记录虽然十分详细,但是在网上销售的价格却非常便宜,一条记录有收货人姓名、手机号码、收货地址的所谓“有效数据”信息,卖家只要5毛钱。而如果有人愿意以“打包批发”的方式集中购买,一个包含上万条个人信息的数据包要价也不过几百元钱。

随着调查的不断深入,警方发现集中销售这些个人隐私信息的卖家网名叫“家有头猪”,经他手销售的个人信息不仅数量很多,而且更新也很快。经过调查,办案民警最终确认,这个网名叫“家有头猪”的嫌疑人姓莫,落脚点在海口市,于是警方立即赶往海口对这名嫌疑人进行抓捕。

当办案民警找到这名嫌疑人时,他正在处理前一天刚拿到的快递信息,准备打包出售。在嫌疑人的电脑里,办案民警发现了大量已经打包好的个人信息,经过分析确认这些信息数据竟然多达1400多万条。

【同期】杭州市下沙经济开发区公安分局民警 徐亦斌

1400多万条的信息,基本上都是生活中正常都在使用的联系电话 还有住址,那么可以通过这个信息直接找到你,甚至有一些信息更详细一点的,直接说出你的身份证号码、你的工作单位、你的学历,家庭情况, 小孩子这些它都能说的出来。

【正文】

犯罪嫌疑人告诉记者,由于他销售的个人信息准确度高,而且价格又很便宜,所以在网上销路一直很好。

【同期】嫌疑人 莫某

很多一买都是买上万条的,买上万条,他们做生意,就是比如很多那种都是搞什么电池,生产那种充电宝。比如你买了一个手机,那你是不是想要一个充电宝,他会打电话来推销他的产品,就是这样子的。

【正文】

另外,这名这名嫌疑人还告诉我们,他手头的个人信息之所以卖得好,还有一个原因就是这些信息都是新鲜信息。

【同期】嫌疑人 莫某

新鲜嘛,比如隔了一个月,隔了一年,一年以后不知道您用不用这个电话了,现在买的这个,肯定是您在用这个电话嘛,对不对,然后他们出去就会说这个比较完整,比较新。

【正文】

那么,莫某到底是怎么获得这些新鲜的快递信息的呢?在审讯过程中嫌疑人交代,他的快递信息都是从一个网名叫“踏实做人”的人那里买来的。这个人手上的快递信息几乎每天都会更新,而且要价也相当便宜,1400万条个人信息总共才要了他1000多块钱。

【同期】审讯现场画面

民警:你找踏实做人这个人买来的,对吗?

嫌疑人:对。

民警:总共是花了多少钱 买来的。

嫌疑人:1000多块钱。

【正文】

办案民警随即对这个网名叫“踏实做人”的嫌疑人展开的调查,然而让办案民警没想到的是,这个“踏实做人”竟然还是个在校学生。民警找到他的时候,他也感到很意外,甚至完全不知道自己的行为已经触犯了法律。

【同期】警方提供画面

民警:我给你打个比方 人家诈骗 讲小王 小孙

嫌疑人:我已经跟他们说了让他们不要那个(犯罪)

民警:我知道 后面的事情也控制不了 他再去卖 懂不懂

【正文】

嫌疑人告诉记者,他卖的个人信息之所以非常便宜,是因为他获得这些快递信息非常容易,甚至可以说几乎没有任何成本。

【同期】杭州市下沙经济开发区公安分局民警 徐亦斌

本身他是想做网络安全测试,想为自己今后找工作寻找一些便利,那么在这些测试过程中,他发现了物流公司或者是其他公司的一些安全漏洞。

【正文】

办案民警在嫌疑人的电脑里发现,这里储存的快递公司信息不止一家,这名嫌疑人告诉我们,有的网站的数据库存在一些比较低级的漏洞,比如弱口令漏洞、上传漏洞等等,而这些漏洞就是他获取大量个人隐私信息的秘密通道。

【同期】嫌疑人(取保候审)

快递公司有个弱口令,弱口令就是一个很简单的密码,然后到那边之后可以进去它的后台,有些漏洞它很简单,但是没注意。

【正文】

嫌疑人告诉记者,成功通过漏洞进入网站后台后,还需要上传一个后门文件,才能获取到数据库的访问权限。

【同期】嫌疑人(取保候审)

后门(工具),后门可以控制整个网站。

记者:那你通过这个后门(工具)把数据库就能拖出来了是吗?

对。就能拖出来。如果清楚这个漏洞,什么都清楚的时候,20秒之内就可以搞定,如果不知道的话,你可能20天都搞不定。

【正文】

办案民警告诉记者,为了能够持续利用这个后门拖取数据库里的信息,从而源源不断地获取更新数据,嫌疑人在成功植入后门文件后,还想方设法将这个文件隐藏起来,不仔细检查,会很难发现。

【同期】杭州市下沙经济开发区公安分局民警 徐亦斌

他会做一个伪装,就是说他把上传进去的那个文件,修改文件创建时间,以及它的文件名修改的会和你系统里自带的那些文件名比较相似,也就是说你正常情况下是无法察觉的。

【正文】

为了直观的展示这个过程,记者请来了网络安全专家搭建了一个虚拟的购物网站,在这个网站的数据库中储存着大量注册用户的信息,其中包含用户名、密码、邮箱、账户金额、地址等。

【同期】网络安全专家 唐威

通常很多我们发现不注意安全的这种管理员的话,他甚至是使用比如说123456、12345678这种非常简单的密码,当做后台的密码。我们输入用户名,密码123456,点击登录,OK 现在已经登录成功了,这就说明这个网站是存在弱密码这么一个漏洞的。

【正文】

网络安全专家告诉记者,利用管理员的身份进入后台,并不等于实现了对整个网站的控制,通常网站后台只是一个内容发布平台,要想获得数据库访问权限,就需要上传一个后门工具文件。

【同期】网络安全专家 唐威

首先我们准备了一个黑客常用的一个后门程序,我们给它起名叫backdoor,然后我们将这个后门文件选中,并且上传。好,现在这块已经显示,我们已经成功的将我这个后门文件传到了网站的服务器上。现在我们已经进到这个网站数据库的后台了,然后我们看一下我们刚才上传的这个文件,这个backdoor实际上就是我们刚才上传的这个后门工具,现在已经可以看到它已经在网站的服务器中了。

【正文】

网络安全专家告诉记者,成功上传了这个文件,就相当于掌握了一把开启网站服务器后门的钥匙,有了这把钥匙就能获得超级权限,控制整个服务器。然后只要找到通往数据库的路径,就可以进入数据库导出自己需要的客户信息了。(动画)

【同期】网络安全专家 唐威

我已经进入到数据库访问的后台 这里边就存放着网站所有的数据库(信息),对于黑客来说价值最高的用户信息的数据。就是在这儿,我们可以看到有member(用户),在这个表单里边实际上就存放了所有这个网站注册用户的信息,包括了有用户名,也就是用户ID 密码以及用户的性别,然后他账户里的金额、包括用户的邮箱等等这些信息。

【正文】

专家告诉记者,黑客通过漏洞登陆网站后台,上传后门工具,继而控制整个网站服务器,这个操作过程并不复杂,难的是如何在前期测试出网站存在什么样的漏洞,继而为己所用。(动画)

然而在调查过程中,专家告诉记者,像弱口令、上传漏洞这样的漏洞其实很初级,但是也并不少见,甚至有些大型网站的后台登陆密码就是一个弱口令,而这样低级的漏洞一旦被黑客利用,网站的安全就会受到威胁。

【同期】嫌疑人(取保候审)

一个大型的网站,大部分漏洞都补的比较全,但是有一些漏洞,也很奇葩,比如说有一些地方,密码是123456,这就没办法。

【正文】

专家告诉记者,这些漏洞在实际操作中只要稍加注意其实是很容易就能避免的。

【同期】网络安全专家 唐威

弱口令漏洞的话,我们就可以把这个网站的密码设置得复杂一点,并且要养成一个定期更改的一个机制就可以了。上传漏洞也是这样,我们把这个上传的这种接口给它封住,或者首先我要经过多层次身份验证以后,才可以实现这个操作就可以了。

【演播室】

我们再来简单梳理一下杭州警方破获的这起案件,郭某利用一些快递公司数据库的漏洞,几乎零成本地获取大量个人隐私信息,并以低价卖给了中间人莫某,莫某将这些信息分类处理后,以每条5毛钱甚至更低的价格在网上兜售,而一些广告商、销售商甚至是别有用心的不法分子,在网上买来这些个人信息,用来推送广告甚至窃取用户银行卡或者网络支付工具中的钱财。专家说,其实这些犯罪嫌疑人窃取个人隐私信息的手段并不高明,但是我们的个人信息被窃取贩卖的问题却一直禁而不止、难以解决,这又是为什么呢?

【正文】

调查过程中记者发现,非法窃取公民个人信息的案件近年来一直呈高发态势,今年4月,海南省海口市龙华区法院就审结了一起非法买卖和非法获取公民个人信息案件,1名交警和7名保险行业相关从业人员,因非法获取和买卖100多万条车辆保险信息被判刑。

而就在不久前,深圳市南山区法院也审理了一起非法获取公民个人信息案,4人因非法侵入顺丰公司网站服务器,批量下载大客户结算快递运单数据被判刑。

法律专家告诉记者,在2009年通过实施的刑法修正案七中,将非法买卖和非法获取公民个人信息列为刑事犯罪的新类型,并制定了相应的定罪量刑标准,因此最近几年因非法买卖和非法获取公民信息而受到刑事处罚的案例不断增加。但是专家同时也指出,与目前个人信息安全非法买卖的严重程度相比,现在大多数地区对此类案件还没有明确的立案标准,执法和处罚的力度显然还远远不够。

【同期】北京师范大学法学院教授 刘德良

孩子上学 然后学校里我估计可能是 学校里把信息给(泄露)了,他知道我是谁的家长,然后我的孩子上几年级这一年每天都能收到好多这种(垃圾短信),到派出所里去报案的时候,派出所的人他不知道有这样的法律规定,他认为刑法第253条在实际适用当中,只有大规模的这种买卖侵权行为的时候,你发现你抓住现行了,或者是有媒体曝光了,后者真正有什么情况下才可能(受理)。

【正文】

另外,专家还强调,非法获取和买卖公民个人信息的行为之所以屡治不止,还有一个原因就是其背后隐藏着的完整的利益链条,很多商家和不法分子在非法获取到他人隐私信息之后,有不当得利的空间,而这些行为的违法成本又相对较小,个人信息被滥用的情况相当严重,因此如何加强对滥用个人信息的行为的打击和惩处力度,也是亟待解决的重要问题。

【同期】北京师范大学法学院教授 刘德良

垃圾短信骚扰电话接了很多,我们国家恰恰在这一块上没有相应的规定, 美国的骚扰电话 就是你打商业推销电话的话,这个法律规定是禁止打的,你要打 我要接到你的电话的话,要求你承担法律规定有一个民事赔偿数额,比方说是100美元还是120美元 重点规制滥用环节 打击滥用 那么这一块如果要遏制了 前边(买卖)就没有了动力。

【演播室】

生了孩子,卖奶粉的短信就来了;买了房子,装修的短信就没完没了;买了新车,保险公司的短信就铺天盖地。面对这样的现象您是不是虽然感到无奈,却又觉得习以为常了呢?其实在这些垃圾短信的背后,是我们个人隐私信息泄露的问题,给我们留下的是更严重的财产甚至是人身安全方面的巨大隐患和威胁。专家认为,我们在呼吁加强执法、加强处罚的同时,还应该细化和强化可能造成个人信息泄露的各种渠道的监督和管理方式;另外,消费者发现个人信息泄露的时候,也应该引起足够的重视,必要的时候应该向公安机关或有关部门反映相关情况。对于经营个人信息的黑色隐秘链条,必须把它当成一只过街老鼠,人人喊打,人人去打,毕竟这是和我们每个人的利益都息息相关的大问题。好,感谢收看《每周质量报告》,下周同一时间再见。


Baidu
map