京东商城大量账户信息泄露遭盗用
北京市海淀区人民检察院近日依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人,这4人涉嫌盗窃京东商城大量用户的账户信息。据公安机关初步查明,此次盗窃用户信息的行为,与发生在2011年的CSDN网络用户信息泄密事件关系紧密。
经查,陈某与肖某为初中文化程度,唐某与张某仅为小学文化程度。其中,陈某与唐某在广东省广州市、东莞市两地结伙作案,肖某与张某在湖南省衡阳市结伙作案。
2012年2月,嫌疑人陈某从其叔叔陈某某、老乡周某处获取了一个存有800多个京东商城客户账号及密码的文档,一套查看上述账户内资金情况的软件。
其后,陈某开始在他位于广东省东莞市常平镇某小区的住处内,使用自己的台式电脑,利用上述软件对京东商城客户的账户进行扫描。如发现账户内有资金或京东商城优惠券,便冒用客户的账号及密码登陆京东商城网站,盗刷账户内的资金及京东商城优惠券,在网站上下订单购买平板电脑、黄金饰品、手机、彩票等商品,由京东商城将货物快递至嫌疑人指定的地点。
陈某以上述手段盗窃京东商城1620余名客户账户内的资金,在京东商城网站上购买价值约10000余元的物品。
2012年3月初,嫌疑人陈某将这一存有京东商城客户用户名及密码的文档,通过QQ拷贝给嫌疑人唐某,唐某于是采取同样的方式,在其位于广东省东莞市的家中,用自己的台式电脑登录京东商城,盗刷京东商城用户账户内的资金及京东商城优惠券,购买商品。唐某共盗窃了京东商城40余名客户账户内的资金,购买价值约7351元的物品。
据海淀区检察院的检察官介绍,2011年年底,嫌疑人肖某、张某就已经受雇于周某并在湖南省衡阳市的网吧,盗刷京东商城客户账户内资金,在京东商城网站上下单购买商品。
因分赃不均,自2011年12月起,嫌疑人肖某及张某开始单独作案。肖某共盗窃619名客户账户内资金,购买价值近9000元的商品;张某共盗窃83名客户账户内资金,购买价值15000余元的商品。
2012年3月16日,在相关部门配合下,北京市公安局海淀分局民警在广东省东莞市将陈某、唐某抓获,在湖南省衡阳市将肖某、张某抓获。警方从4人住处起获部分赃物及赃款。据嫌疑人供称,其将赃物部分转卖,部分留作自用,彩票所中奖金已挥霍。
2011年12月21日,以国内最大的开发者社区CSDN.NET为主的多家互联网用户注册信息库被黑客盗取,涉及的用户资料在5000万以上,资料泄露的账号可能涉及网易邮箱、QQ邮箱、人人网、京东商城在内的多家网站,该事件被称为CSDN泄密事件。同期,天涯社区论坛4000万用户数据泄露。
嫌疑人陈某、唐某、肖某、张某从陈某某、周某等人手中获取的京东商城客户数据,就源自于CSDN泄密事件泄露的数据库及天涯社区论坛泄露的数据库。
近日,海淀区人民检察院已向京东商城发出检察建议,建议其提高安全防范意识,全面落实国家信息安全等级保护制度,加强技术安全保护措施,有效提高网站安全管理的水平等。
■案意点击
针对日益猖獗的侵害公民个人信息违法犯罪,近日我国首次开展大规模集中行动进行严厉打击。截至目前,公安机关已抓获犯罪嫌疑人1936人,刑事拘留978人,挖出非法出售公民个人信息的“源头”44个。尽管如此,公民个人信息保护的现状仍不容乐观。保护公民个人信息,既要将运用刑法打击侵害公民个人信息犯罪常态化,同时也要完善相关法律,从民法、行政法的角度来进行综合治理。
1000万条公民个人信息泄露的背后
一对普通的打工仔,手里掌握着超过1000万条公民个人信息,并以此坐地生财。在搜索引擎中,只要输入特定的关键字,例如白领、VIP、学生家长……就可发现赤裸裸的个人信息交易已经出现更加专业化的“市场细分”。在痛斥各种骚扰电话、垃圾短信的同时,我们不禁要问:“谁在偷窥我的个人信息?”
打工仔掌握千万条公民个人信息
赵鹏,河南人,来北京已经6年,从最初的汽车配件行业逐渐转行做信函打印。记者见到他时,因为涉嫌非法获取公民个人信息罪,赵鹏和他的妻子已经成为阶下囚。
北京市丰台区公安分局的侦查员告诉记者,今年9月14日,警方接到线索,在一家写字楼里有人贩卖公民信息。“表面上这家公司经营信函打印,但在公司的电脑里我们发现了一个庞大的数据库。”侦查员说,在破解密码进入数据库后,现场的人大吃一惊。“里面密密麻麻全是个人信息,民警把自己的手机号输入数据库,居然马上就查到了自己的住址、机动车等相关信息。”
赵鹏和他的妻子正是这家公司的经营者,在丰台区看守所里,他告诉记者,这些数据都来自互联网。“有的网友告诉我做这个可以赚钱,慢慢地就接触到了这些。”
赵鹏称,他手中的个人信息有两大类,一种是纯粹的手机号,“就是那种像话费单子一样的,没有人名,但有手机号和话费。是几年前的,都是北京移动的号码。我大概花了800元钱买了一套数据,里面有1000多万个号码。”
还有一种则是一些网站的会员注册信息。“比如XX通,或者一些门户网站,会员注册时要留下手机号、身份信息,他们(上线)有办法把这些弄出来。有时候我买到的个人信息就有标注,是哪些网站的用户。”
他告诉记者,上线的联系方式基本以QQ为主,交易也全部通过网络完成,双方不会有任何接触。
在出售时,这些手机信息是按照话费的高低排列顺序的,赵鹏解释,话费高说明机主消费能力比较强,发广告的人愿意找这样的“客户”。“一般情况下,我一两百元卖给他们几万条到十万条,卖了十几次、二十次的样子。”
赵鹏说,他购买这些个人信息的主要目的是“围客户”,“有的客户在打印信函之外,提出要这些个人信息,我能给他这些信息就能做成这笔生意。”而这些客户购买个人信息的主要目的是“发广告”,“做房地产、培训、会议行业的人需要得多。” 网上个人信息交易现“市场细分”
“这些信息在百度上都能搜到。”记者按照赵鹏的指点,在搜索引擎中键入特定的关键词,果然找到了一些相关的信息。
在一个名为“北京业主数据”的网站,公开销售“2006年50万北京业主数据库”“2007年85万上海高档楼盘业主数据库”“2007年2.4万上海商务大厦业主数据库”等百余种信息。
而在另一家网站,个人信息被细分成“白领名录”“股民信息”“车主名录”“电视购物名录”“高端名录”“老板手机号码”等十一大类,其中更包括“手机高端用户”“高尔夫会员名单”“银行高管名录”“CEO培训班名录”“北京各高档俱乐部会员资料”等,甚至还包括学生家长、学校名录等。
“每条记录包括以下字段:姓名,手机号码,以及其他备注信息。如果是企业性质的,包括单位名称、负责人、联系人、职位、地址、区号、电话、传真、移动电话、邮编、email等字段。所收录的数据大部分具有非常高的准确率。”这家网站的广告语如此介绍。
记者联系了其中一些卖家。在记者的要求下,一位卖家给记者发来了“北京移动全库”的截图。记者看到,数据库中清晰地显示了手机号码、机主姓名、身份证号码、地址、月消费额等信息。
“北京移动电话的全库有2500万个号码,上海的有780万。”一位卖家对北京移动电话的“全库”开价3500元,并声称,这些数据“全是最新的”。
在一位卖家发来的信息中,记者看到他出售的手机号码中包括10余个省市的移动、联通号码,根据不同的地区和数据数量,价钱也从1000元到几千元不等。
这些数据究竟从何而来?今年8月宣判的北京最大非法获取公民信息案揭开了贩卖公民信息产业链的冰山一角。这起案件的23名被告中,有7人分别来自移动、电信、联通公司内部,或其他公司派驻电信运营商的职员,他们是个人信息泄密源头。 如何保护我们的个人信息?
各种广告电话、垃圾短信泛滥,以及各种“调查公司”如雨后春笋般滋生,表明公民个人信息交易存在巨大的市场。北京警方在调查赵鹏案件时发现,在网络论坛、社交群里都有大量求购不同类别和地区个人信息的需求。
“个人信息的泄露源自多方面,许多行业的工作人员都有机会接触、掌握大量公民个人信息。有些从业人员的法律意识不强,道德底线沦丧,使得保密协议和条款如同一纸空文,形成了庞大的网络交易市场。”北京市公安局丰台分局侦查员说。
而据办理北京最大非法获取公民信息案的检察官介绍,在互联网上存在众多以“侦探”等名义开设的QQ群等,这些聊天群组的成员通过互联网发布需求、互通有无,进行信息交易,使得泄露公民个人信息的途径延伸到多个行业、多个地域,“可以说在互联网上已经形成一定规模、覆盖全国、买卖便捷的个人信息交易市场”。
然而在对此类案件的审理中,依然存在对涉及公民个人信息犯罪的数量、情节法律规定模糊,公检法各部门、各地区的认识不统一等问题。特别是因为没有与出售、非法提供、非法获取公民个人信息三个罪名衔接的行政法律法规,意味着行为人的行为在不构成犯罪的情况下,也不会被处罚。
中国社科院法学所研究员周汉华建议,一方面,司法机关在个案处理上,可以总结一些规律性的做法,比如说对“情节严重”的认定标准。另一方面,最高人民法院、最高人民检察院、公安部可以在大量典型案例的基础上,共同研究出台相关司法解释,解决现行法律中的“模糊地带”。
同时,司法部门还建议,对掌握大量公民信息的电信、医疗、教育等单位,应严格限制有权限查询公民个人信息人员的数量,通过建立分级查询制度、明确责任追究制度等,防止公民个人信息外泄。
“政府也应当加强网络监管,要求网络服务提供商及时删除涉嫌侵犯公民信息的广告和链接,监管可疑聊天群组并及时做好记录工作,增加公民个人信息在网络上交易的成本。纵观世界各国,单独立法保护公民个人信息,已是大势所趋。”周汉华认为,保护公民个人信息安全,最终的解决办法还是制定个人信息保护法。
上海泰梦公司非法获取公民个人信息案
2005年2月,30岁的武汉人周娟注册了上海泰梦信息技术有限公司,雇用了亲戚李之召、张伟等人,通过互联网买卖企业信息、公民个人信息,大肆在网上公开“叫卖”他人的身份证号、手机号、账号、住址等“私密”信息,内容涉及房产、汽车、金融、娱乐、IT等行业,受害者遍及男女老幼,甚至连刚出生的婴儿也没能幸免,公民的个人信息被随意掌握和交易高达3000余万条。周娟事后在公安机关交代,自2005年至案发时止,她个人获利高达100万元。
8月5日,上海市浦东新区人民法院对涉嫌非法获取公民个人信息罪的李之召等10名被告人进行开庭审理。法庭作出了一审判决,10名被告人均犯非法获取公民个人信息罪,其中9名被分别判处有期徒刑二年至拘役六个月,缓刑六个月不等,罚金4万元至1万元不等,另有1名被告人被免予刑事处罚。
点评 中国人民大学法学院教授 杨立新
这是一个刑事案件,是2009年通过《中华人民共和国刑法》修正案(七)之后判决的一个典型案例。李之召、张伟、张修等人非法获取股民资料、机动车车主、银行客户、保险客户、高收入人群名单等公民个人信息高达3000余万条,在网上非法卖给他人,触犯了该修正案第七条第二款规定,确定他们承担刑事责任是完全正确的,保护了公民的隐私权。我不是研究刑法的,但这个案例是以刑罚为手段保护公民隐私权的典型案例,因此,借此案讨论一下个人信息以及隐私权的法律保护,也非常有意义。
我们每天都收到无数垃圾短信,电子邮箱里也堆满了各种垃圾广告。对此,我们都在怀疑,我们的个人信息究竟是怎样被他们得到的。这个案例给了答案,就是这些违法行为人的恶行造成的后果。奇怪的是,出现这样的问题,却没有对这些人予以法律制裁的良策,特别是没有更为有力的民事制裁。
对侵害个人信息的侵权行为民事制裁不力的原因,很多人认为是立法不足,保护个人信息必须专门立法,否则就无法进行保护。我看不是这样,还是对个人信息和隐私权保护的认识不够。个人信息是隐私权的内容,法律保护隐私权,就保护了个人信息。2002年12月全国人大常委会审议的《中华人民共和国民法草案》第25条规定:“自然人享有隐私权。”“隐私权的范围包括私人信息、私人活动和私人空间。”这个条文虽然还不是法律,但它明确告诉我们,隐私权包括私人信息、私人活动和私人空间,私人信息包括在内。侵权责任法第二条第二款规定,隐私权是侵权责任法所保护的民事权益范围,侵权责任法当然就保护个人信息不受他人侵害。因此,未经本人同意,非法收集、窃取、买卖他人信息,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人,都是侵权行为;情节严重的,还应当追究刑事责任。这些规定都十分明确,必须坚决执行,否则就无法遏制侵害个人信息行为的继续蔓延和发展,公民的隐私权就无法得到保障
网上非法交易形成利益链
通过网络买卖个人信息、诈骗、侵犯隐私、散布谣言甚至人身攻击,不仅危害了国家信息安全,影响社会安定,也为公众带来巨大困扰。
随着互联网技术的大范围普及和迅速发展,互联网领域信息安全问题日益突出。近日,公安机关公布了多起典型案例。
网购个人征信记录,多地现非法刷卡套现牟利
2012年5月16日,江苏南京市公安局玄武分局网安大队民警发现,有人在网上发布信息,雇人从邮局取挂号信,每封酬谢200元。调查发现,嫌疑人打算雇“马仔”办理假身份证,到邮局等地点取挂号信、快递,同时在网上寻找并购买个人银行征信系统相关信息。
经查,嫌疑人涉及湖南、天津、山东、江苏、浙江等地。2012年5月17日,南京市公安机关抓获犯罪嫌疑人许某等5名犯罪嫌疑人。据介绍,许某等人通过办理假身份证冒领受害人申办的信用卡挂号信,并在网上购买受害人的个人征信记录(包括个人身份信息及银行信息)等资料,激活信用卡,刷卡套现牟利,对信用卡管理秩序、公民财产权利造成了巨大损害。目前,此案正在进一步侦办中。
低价买高价卖,个人信息网络买卖已成利益链
2012年3月15日,上海公安机关在办理一起信用卡诈骗案时发现,犯罪嫌疑人用于作案的大量公民个人信息均购于互联网,由此发现一个非法出售个人信息的犯罪群体。办案民警通过追踪定位,查明有大量的公民个人信息、机动车主信息、学生学籍信息及大量企业信息等被非法销售。通过网络以每份60元—200元不等的价格买进,再以150元—300元的价格贩卖给下家,嫌疑人从中获取非法利益。
3月至8月期间,公安机关先后抓获涉案嫌疑人段某某等31人,并成功抓获负责某卫生局信息数据系统运行维护的嫌疑人张某某。
交警开网店贩卖公众个人信息 获赃6万被判缓刑
一个人的户籍、车辆、住宿、航班等信息,对于本人属于私密的领域,而对于一些别有用心者,却意味着一本万利。什么样的黑手在此攫取利益?个人信息如何泄露,又如何转手?不久前,河南省商城县人民法院审理的首例交警贩卖个人信息案件,从源头暴露出这个暴利黑色产业的冰山一角。
难抵诱惑
交警QQ邮箱卖出万余条个人信息
童某是一个典型的80后,大学毕业后,成为商城县公安局交警大队的一名警察。工作中可以轻易获取的个人信息,被其视作可换取利益的巨大资源。通过公安内部网络,童某可以查询公民个人人口信息、车辆信息、宾馆入住等信息,而这些内容在网络上都有人花钱购买。
2010年11月至2012年4月,童某通过开设淘宝网店、QQ聊天、飞信聊天等方式,出售个人信息。短短几个月,非法获利6万余元。案发后,办案人员发现多起转账记录,仅从童某的QQ邮箱已发出的涉案邮件中,就提取出了公民个人信息1.2万余条。
管理疏漏
暴露出个人信息安全隐患重重
法院审理认为:被告人身为国家机关工作人员,将本单位在履行职责过程中获得的公民个人信息对外出售,其行为已构成出售公民个人信息罪。
最终,商城县人民法院依法判处被告人拘役6个月,缓刑1年;处罚金1万元,违法所得6万余元予以追缴;作案用电脑等设备予以没收。
童某出售个人信息仅是公安机关自身发现并破获的一起案件,属于整个灰色产业链的上游。而转手信息的中间商,购买信息的所谓调查公司、讨债公司、广告推销公司,甚至诈骗团伙,从全国破获的案件来看,已具备不小的规模。
郑州市公安局一位长期从事经侦工作的民警介绍,在买卖使用个人信息的整个产业链里,案发多在下游,源头最为难查。政府机关、企事业单位、服务机构,尤其是金融、电信、交通、教育、医疗等单位有更多机会接触公民个人信息,管理稍有疏漏,就可能出现泄露现象。个人信息经转手贩卖,可获2到3倍以上的暴利。
有资料显示,借助互联网,信息买卖呈现跨地区的特点,广东、四川、河南等地成为主要流出地。而侵害个人信息的违法犯罪在全国大中城市普遍存在,经济发达地区尤为严重。
打击偏软
保护个人信息安全任重道远
《刑法修正案(七)》于2009年2月通过并实施,其中在第二百五十三条后增加了侵犯公民个人信息犯罪方面的内容,明确:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”
律师王红伟认为,《刑法修正案(七)》新增侵犯公民个人信息犯罪,但法律针对性不强,条款较粗疏,对于侵犯公民个人信息的行为,什么情形应追究刑事责任、什么情形应予以行政处罚没有一个明确标准。这将导致泄露和买卖公民信息的违法成本过低。相关犯罪危害性大,获利丰厚,但最高判刑不过3年,缺乏震慑力。目前来看,房地产公司、物业公司、中介机构、教辅机构、俱乐部等越来越多的服务机构可以轻松获取个人信息,保护个人信息安全显得更加任重而道远。
本文来源:https://www.2haoxitong.net/k/doc/704670d5998fcc22bcd10da6.html
文档为doc格式