“内鬼”何以持续窃取公民个人信息?

信息来源:征信圈 发布日期:2018-08-27

  一边是数据产业迅速发展,个人信息的经济价值日益突显,一边是数据收集机构和大众对于个人信息保护的长期“无意识”,二者的不平衡,造成了当今“内鬼”频发的困境。

  2011年8月5日,23名犯罪嫌疑人站上北京市第二中级人民法院的被告席。其中7名来自电信运营商的“内鬼”,交待了非法提供个人信息的层层内幕。长达40分钟的宣判,引爆了北京当年最大的倒卖公民信息案。

  7年过去,虽然各方的打击力度不断加大,信息黑产却依然在暗中野蛮生长,变得更加隐蔽化与精细化。肩负“拿料”重任的“内鬼”,悄无声息地侵入了各行各业。手握大量个人信息的企业甚至政府部门,面临着一场从技术到意识都亟待升级的持久战。

  【潜伏者与窗口期】

  银行、保险、卫生、交通、快递……信息时代到来,各行各业都跟数据产生紧密关联,黑产“内鬼”早已不再局限于通信行业。个人信息在企业的经营业务中层层流转,留下了诸多可供“内鬼”利用的漏洞。犹如一场猫鼠游戏,“内鬼”的嗅觉总是比企业管理者和安全人员敏锐。

  跟外部攻击者相比,“内鬼”鲜少曝光于公众视野,但他们带来的危害,丝毫不亚于外部攻击者。据公安部统计,2016年至2017年5月,全国公安机关抓获了5000多个侵犯公民个人信息案的犯罪嫌疑人,其中450多人是各行业内部人员。公安部网络技术研发中心主任许剑卓出席相关发布会时表示,“内鬼”已经成为实施侵犯公民个人信息犯罪的重要主体。

  某保险类企业安全人员乜远,曾亲身参与“内鬼”调查行动。他回忆,异常最初被发现,来自系统警报:保险销售员徐某的账号,在非工作时间内高频读取了客户资料信息,并通过技术手段向外传输信息。

  “客户投保资料里包含详细的身份和财产信息,甚至连名下车辆和房产都很清楚。这样的信息在黑市上还是很值钱的。”乜远说,徐某窃取信息时使用了自动化的脚本程序,导致其窃取效率大大提高,就像从小农时代进入工业时代。“手工只能一条条地记录,换上脚本,一分钟就可以抓取很多条。”

  让乜远印象深刻的是,徐某对访问频次进行了有意识的控制。“短时间的大量访问会立即触发警报。这个人不是很集中地在某个时间去查,是断断续续地去查的。”正因为此,徐某的窃取行为持续了一个多月才露出马脚。安全人员发现异常时,徐某已经离职。

  “很难立即发现“内鬼”的异常。”他无奈地表示,保险企业的销售业务员数量惊人,达到百万规模。业务员出于日常业务需要,本就有权访问部分客户信息。即便企业已经采取了数据分级管理,任何访问和传输都有记录,系统也需要积累足够多的非正常访问才能发出异常警报,这为“内鬼”提供了窗口期。

  与保险企业类似,体量越大、业务拓展越迅速、人员流动性越高的企业,越容易给“内鬼”提供可乘之机。智能手机巨头苹果、快递企业顺丰、电商平台淘宝、生活服务平台美团,都曾爆出一线业务人员倒卖客户信息的案例。

  这些企业并非没有数据安全管理措施,只是很多时候无法立即发现“内鬼”。裁判文书网案例显示,相当一部分“内鬼”案发,是因为企业遭受了更明显的损害。比如,泄露出去的信息引发了诈骗案件,受害人报警,警方顺藤摸瓜发现了“内鬼”的存在。此外,还有部分“内鬼”是主动投案。

  天空卫士高级安全顾问宋威说,过去,企业发现数据泄露的时间是半年到一年左右,现在的用时已大大缩短,但平均也需要一到三个月。

  【金钱美色与侥幸心理】

  在整个个人信息贩卖的产业链中,肩负“拿料”重任的“内鬼”无疑是最关键的一环。与公众认知有出入的是,“内鬼”并非都是企业中收入不高的基层员工,手握更多信息的中层往往更有价值。为了“策反”内部人员充当“内鬼”,信息贩子往往使出浑身解数。

  2017年7月,常州市公安局牵头的专案组破获了一起侵犯公民个人信息大案。据媒体报道,48名“内鬼”中有一名梁某,官居湖南长沙某银行信贷部主任。

  梁某最初与信息贩子周某某相识纯属偶然。周某某得知梁某能通过银行系统查询个人征信信息,就想与梁某“合作”。梁某本身收入不差,周某某便多次请客吃饭、送钱,还用上“美人计”,为梁某介绍年轻女性。最终,梁某被周某某拉下了水,每查询一条个人征信信息,他从周某某处收费300至350元。

  值得注意的是,据公开资料梳理,并非所有“内鬼”都能如梁某般获得超乎常人想象的经济回报,各行业人员做“内鬼”收取的不义之财,也分三六九等。有人出售7000余条个人信息获利24万元,单条信息价格达到30元。有人出售11万余条个人信息,仅仅换来2500元,单条信息价格不到3分钱。

  这些差异,折射出“内鬼”案例的一个潜在共性:金钱诱惑之外,“内鬼”们所在的企事业单位管理不严,“内鬼”意识不到自己的行为已经违法或是存在侥幸心理,是他们作案的重要诱因。

  2017年12月,北京东城区人民法院审理了该区首例侵犯公民个人信息案。被告人张某是年轻的“90后”女孩,在北京某金融信息服务有限公司担任运营经理。庭审时,她说,知道公司规定客户资料不能外泄,有一次要给公司做数据分析,才把客户资料传给朋友龚某某。龚某某后来把这些数据卖了出去,她跟着分了钱。

  与张某持类似想法的人不在少数。裁判文书网公开的案例,甚至有多名公职人员,出于为朋友帮忙的心理,有意无意地做了“内鬼”。四川省南充市一起判决显示,南充的一名协警,在被上司训斥“现在查这么严,居然还用外挂程序查询”后,仍然受人所托,查询了大量含有姓名、电话号码、车辆登记等内容的公民个人信息。

  一边是数据产业迅速发展,个人信息的经济价值日益突显,一边是数据收集机构和大众对于个人信息保护的长期“无意识”,二者的不平衡,造成了当今“内鬼”频发的困境。具有打击和规范效应的网络安全法、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高”司法解释)等法律去年才开始实施,普法之路仍然很长。

  【职业“内鬼”】

  值得注意的是,纵观近两年曝光的“内鬼”案例,除了有自己的本职工作、因一时糊涂被“策反”的人员之外,“职业“内鬼””的身影开始出现。

  2017年初,公安部破获一起盗卖公民信息的特大案件,涉及50亿条公民个人信息。其中一名涉案人员郑某某,案发时在京东担任网络工程师。京东称,打击黑产的日常行动时发现此人是黑产人员,立即向公安机关提供了线索。

  随后有媒体报道,郑某某在加入京东之前,曾在国内多家知名互联网公司工作。警方介绍,郑某某“技术水平较高”,去各公司应聘时基本都会被录用。他长期与犯罪团伙合作,成功盗取信息后就离职,继续到下一家公司应聘。

  实力雄厚、管理相对严格的大企业里,为什么也有“内鬼”的活动空间?“大企业的安全防护很难跟上业务形态的发展,尤其是互联网企业。”天空卫士高级安全顾问宋威分析,互联网行业的特点是开放性和流动性强,业务形态难以固定,企业没法对数据进行“一刀切”式的封锁管理,很难进行有针对性的防护。

  此外,随着大数据技术的发展,数据共享成为企业合作的内容,越来越多的企业委托第三方进行数据存储和管理,接触数据的人员增加,也加剧了信息泄露的风险。

  南都记者发现,除了郑某某这样技术水平较高、混入大型企业的人员,还有一部分黑产人员瞄准了小微企业的管理漏洞,伺机潜入企业内部作案。小型电商公司,是受害的重灾区。

  据公开资料显示,2016年6月开始,江西人赖某冒名“刘坤和”,先后到广州市白云区多个网店应聘,入职后便伺机窃取客户交易信息,转手卖给诈骗人员。6月15日至7月23日期间,赖某先后四次出售客户信息约686条,共牟利4195元。

  与单打独斗的赖某不同,有些人选择带队作案,福建人麻海鑫、杨强、陈敏就属于后者。2016年,三人经事先商量,在福建省龙岩市新罗区、漳平市等地张贴高薪招聘员工的广告。招到人后,杨强将小工们带到义乌、杭州等地,让他们以应聘的名义混入多家公司,在客服电脑中植入木马程序,从而获取订单数据。至案发时,三人涉案订单数量共计超过百万条。受害网店中既有开业十年的口碑好店,也有粉丝数量超过千万的网红店,服装、食品、家具领域均有所涉及。

    腾讯网络安全专家于旸曾在其微博“tom bkeeper”分享发现职业“内鬼”的经历。“2015年,我们公司另一个事业群的HR发给我一份简历,请我帮忙判断能力水平。但我一看简历上的时间线就感觉这人有问题。”于旸说,这名应聘者在每家公司都只干6个月,不但换公司还换城市,自己由此起了怀疑。

  他进一步调查发现,该应聘者存在简历造假— 一般的造假者是为了美化自己的工作水平,该人则是为了掩盖既往经历。最后证实,该人果然隶属于一个黑产团伙,而且之前已经在至少两家互联网公司卧底过。“干这行的人数远比你们想象得多”,于旸在微博上作出如是评论。

  种种案例表明,稍有不慎,企业就可能遭遇职业“内鬼”:小企业没有足够的安全防护意识和能力,很容易成为受害对象。大企业虽有强大的安全团队,但是并非百分百安全,且严防死守也难防自己的内部人。

  【更加隐蔽化与精细化】

  2016年,南都记者曝光信息黑产,个人信息买卖的猖獗程度首次为公众广泛知晓,报道中的“700元买到开房记录”成为全网热搜关键词。今年2月,央视推出调查报道,再次在黑产内部引爆。但南都记者发现,黑产们并没有就此放弃生意,只是提高了警觉,信息的价格也涨了上去。

  在QQ平台,原本的催收群、侦探群、信息群,换上了便民服务、技术联盟、民间调查等名号。他们在QQ空间内放上各种信息表单的照片和视频,暗示业务仍在继续。

  南都记者直接添加其中一些人的QQ和微信,大多数人都没有反应。成功加上一名信息贩子后,记者尝试询价,对方反问:“难道你不是熟人介绍的吗?”记者声称熟人介绍的信息贩子都联络不上,对方才继续回话。

  在讨价还价的过程中,这名信息贩子表示,查不了银行资产,但可以查开房记录,收费标准是近半年580元,查询时间每加一年加价100元,先付定金。记者佯装质疑,此人表示信息来源是公安系统,如记者有疑虑,也可以不交定金,看到证明截图后再交全款。

  裁判文书网公开案例显示,过去多年中,QQ和微信一直是信息贩子们交易的首选工具。据南都记者了解,自2016年至今,腾讯共查处涉及个人信息贩卖的网络群组4700多个,封停3500多个即时通讯个人账号。一些“内鬼”和信息贩子转而开始使用暗网和外国即时通讯产品,以绕过腾讯和有关部门的监管。

  买卖来源于需求,到底是谁在给“内鬼”和中间商付钱?南都记者梳理发现,大概可以分为以下几类:催收人员、销售人员和诈骗人员。其中,诈骗人员非法获取个人信息的情况,被工信部视为通信诈骗整治工作中新的突出问题。有关负责人介绍,个人信息泄露已成为信息诈骗的根源。要加强源头治理,工信部需与网信、公安等部门协同共治,督促企业整改个人信息过度收集、泄露或滥用等问题。

  曾在互联网借贷平台短暂工作过的雷雨告诉南都记者,互联网借贷行业几乎没有个人信息保护的概念,彼此交换信息倒是常态,一些催收公司会主动将个人信息提供给借贷公司,作为换取业务的筹码。“我们公司有30多个人,几乎每个人都能接触到一手的客户信息,我甚至能看见用户做人脸认证的照片。”雷雨说。

  【司法“三难”与各方合力】

  从徐玉玉案发生到去年“两高”司法解释实施,再到今年2月公安部部署全国开展“净网2018”专项行动,一轮又一轮的打击高潮出现,大批黑产成员落网。但严厉的打击背后,还有若干深层问题待解。

  梳理裁判文书网案例可以发现,即使是在“两高”司法解释出台后,涉案人员的刑期也多在一年以内,最高不过四年,与多年前相比并没有明显变化。加上嫌疑人被抓后通常有悔过表现,普遍会获得减刑判决。

  北京师范大学刑科院暨法学院副教授吴沈括认为,从刑法修正案(七)到刑法修正案(九),再到“两高”司法解释,扩大刑事保护的范围、细化刑事介入的范围标准、提升个人信息的保护水平,是明显的变化趋势。但在司法实践中,针对侵犯公民个人信息的犯罪,仍然存在查处难、证明难、定罪难的“三难”情况。

  除了采用数据加密、权限管理、安全审计等企业内控方法来防范“内鬼”风险外,一些深受“内鬼”所累的企业,开始探索联合共治机制。以快递业为例,包括顺丰、圆通、申通、中通、韵达等在内的多家快递企业已加入快递物流征信平台,合力将存在泄露客户信息等失信行为的人员纳入全行业“黑名单”。“管理上要建立威慑力,威慑力不是说抓到后才判决多少年,而是体现在只要对方伸手,就能抓到对方。”顺丰有关负责人说。

  另一个正在被推广的办法是,利用技术手段设置隐私面单或安全号码,使得用户的个人信息在企业或政府的业务流转中不显示或不完全显示,以减少个人信息被泄露的可能性,例如外卖、快递、专车等行业先后推出的安全号码或隐私面单服务。

  吴沈括认为,根本解决之道,仍在个人信息保护立法。同时,他建议政府鼓励建设打击侵犯公民个人信息犯罪黑色产业链的社群,以最大范围内凝聚政府、产业与公民团体的集体力量,不断增强公民保护个人信息的意识,以推动形成针对黑产威胁的群防群治态势。