常州某单位支付宝网络接口被黑,大量客户信息遭非法获取

2017-12-31 11:02:49  常州网

  “房屋买卖、投资理财、保险股票、产品推销……”每天我们常常会被这类骚扰电话或短信搞得不厌其烦。在大数据时代,信息资源成了重要的生产要素和社会财富。但与此同时,个人信息泄露问题严重,个人信息安全也成为一个全社会高度关注的问题。近年来,法律对侵犯公民个人信息犯罪的相关规定越来越严格,今年6月1日起实行的《网络安全法》规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。也就是说,买、卖公民个人信息都是违法行为,需承担相应的法律责任。

  典型案例

  刷单扫号盗信息,买家卖家双获刑

  去年底,天宁警方接支付宝(中国)网络技术有限公司报案,称常州某单位支付宝账号网络接口被黑客攻击,网页中大量含有客户详细个人信息的支付宝账号被非法获取。经追查该测试登录的支付宝账号的IP地址,警方成功查到并抓获具有重大作案嫌疑的张某。

  淘宝刷单赚零花钱,发现“商机”

  张某交代,2016年7月,为了赚些零花钱,他在网上学会了为淘宝店“刷单”,开始“创业”。张某发现,要提高刷单量、赚更多的钱,需要拥有更多的淘宝账号。于是,张某通过QQ群及微信群寻找淘宝账号的卖家,因此发现“重要商机”,网上有大量人员求购淘宝账号。于是他想到,如果自己在网上收购淘宝账号,再加价转手卖出,足不出户就能赚钱。

  此后,张某一边以每个2.5元至5元不等的收购价,在网上大量收购淘宝、支付宝账号,一边打出“长期供应支付宝、淘宝账号,量多从优”的广告,招揽客源,声称“这个账号里没有你的真实信息,如果你用来开店,遇到差评直接可以舍弃,方便很多,甚至可以卖违禁品。”

  由于张某低价收购来的淘宝号、支付宝账号中,有很大一部分是长时间不用等原因被淘宝官方冻结的,于是张某就会通过申诉,更改账号原始的手机号和密码,然后以40元一条淘宝账号,20元左右一条支付宝账号转手,这样一来,即使账号修改成功率仅在百分之二十左右,张某依旧赚得不错。

  不满足收购倒卖账号,开始攻击服务器扫号

  几次成功交易后,张某有了相对稳定的进货渠道,也结识了同行老林。与张某不同,老林手中掌握着支付宝找回、修改支付宝密码、淘宝账号实名制异常等多款软件,只需购买相对便宜的手机号、邮箱账号等原始账号数据,无须经过官方申诉的途径,就可以直接窃取淘宝、支付宝账号密码等个人信息,本小利大,远比张某之前收购倒卖账号赚得多,是这个黑色产业链中的顶端参与者。

  想到张某已先后花费2万余元,在自己这里购买了2000多个支付宝账号,4000多个淘宝账号,老林经不住张某软磨硬泡,就把相关软件以友情价打包卖给了张某,并教会了他如何通过攻击服务器、扫号获得账号密码。

  扫号倒卖收获丰,搭档买家均落法网

  据张某交代,他是通过批量将邮箱账号、手机号等原始数据导入软件,然后通过软件运行去攻击支付宝的服务器,匹配出可以正确登录的密码,进而获取其账户信息。

  张某坦白,自从学会了老林的独家秘笈,他很快便捞到了第一桶金,将扫号获得的400多条淘宝账号和300条支付宝账号卖给了网友小董,非法经营额近2.5万元。

  为了跑量营利,更快更多地在网上淘金,张某开始不断冲击各地淘宝、支付宝终端服务器,直至案发。近日,张某及其上游搭档老林,下游买家小董均因涉嫌侵犯公民个人信息罪,被天宁区检察院提起公诉。经天宁区法院开庭审理,老林被判处有期徒刑二年缓刑三年,张某被判处有期徒刑三年缓刑三年,小董被判处有期徒刑一年缓刑二年。

  (文中人物均为化名)

  检察分析

  我们的信息是怎么泄露的?

  天宁区检察院王晓纯介绍,个人信息泄露的渠道很多,比如没有撕毁的快递单、网上参与活动登记个人信息等等。“不过,真正导致大规模个人信息泄露的源头,主要是两个,一是黑客攻击,二是握有大量个人信息的相关企业、单位、平台的‘内鬼’。”

  近年来,黑客攻击窃取个人信息呈增长趋势。“黑客”对医疗、金融、房地产、学校、培训机构等信息非常偏爱,他们不仅会利用程序攻击、设立钓鱼网站等方式通过一些通讯平台窃取信息,甚至会入侵一些政府机构、大型国企、高校等官网,窃取管理员的账号和密码,下载复制大量公民信息。“他们的攻击手段日益多样,且更新很快,通常获得信息后,都是通过网络交易平台寻找下家售卖牟利。”王晓纯说。

  另一个个人信息泄露的重要原因就是“内鬼”。一些可以接触到大量个人信息的行业和岗位人员,他们利用职务便利,非法收集、交换、出售公民个人信息,从中牟利,车辆信息、征信报告、银行账户、房产、教育、医疗等信息也都成了“抢手货”。例如此前我市出现的一起淘宝卖家利用工作岗位的便利,将掌握的数千条淘宝买家信息以每条7.5元的价格在网上出售获利。

  此外,市民本身一些日常的生活习惯也是造成信息泄露的原因。例如随手乱扔购物付费单据、快递单,链接共用WIFI,在网上投送简历,在社交软件注册用户信息等,都可能暴露自己的个人信息,给不法分子留下可乘之机。

  检察说法:购买公民个人信息,需承担法律责任

  天宁区检察院检察官王晓纯介绍,在网上出售或购买公民个人信息都属于违法行为,而使用非法获得的网络账号也存在很大的法律风险。

  我国刑法规定,违反国家规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

  “今年6月1日起《网络安全法》正式实施后,扩大了犯罪主体的范围。增加了‘窃取或者以其他方法非法获取公民个人信息的,依照前款规定处罚’的条目,也就是说买、卖公民个人信息犯罪都将涉嫌犯罪。”

  其中非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的就可以入刑,王晓纯提醒,一些商家为了精准营销,往往也会采取购买目标客户个人信息的方式进行产品推广,这种做法就极有可能涉嫌到犯罪,往往营销目的还未达成,商家就热生了官司。

  而从民事责任上来讲,因未经对方许可非法利用他人的个人信息、账户的行为本身也构成侵权,侵权行为给对方造成损失的,侵权人需要承担赔偿被侵权人损失等相关法律责任。

  此外,就买家的自身风险而言,有些买家购买相关的账号作为自用,也有不少风险。“因购入的这些账号是别人的账户,一旦对方发现后进行相关举报或控告时,该账户将面临立即查封等相关后果,届时该账户中如有大量的存款也会相应冻结而无法取出。”

常州某单位支付宝网络接口
精彩推荐