杭州警方破获非法买卖个人信息案
相信不少人都有这样的经历,买了房子,装修的短信就没完没了;买了新车,保险公司的短信就铺天盖地。这些短信的背后,是我们个人隐私信息的泄露。那么我们的个人隐私和信息到底是如何被泄露?如何被买卖的呢?日前,杭州警方破获一起侵犯他人个人隐私案件。
今年3月份,杭州市下沙经济开发区的一家快递公司的负责人发现,有人在网上公开买卖他们公司快递单上的信息,而且销售量还很大。
报案人李先生:因为这个面单信息我们是不允许,连收垃圾都不好卖的,卖废纸都不好收的应该全部是烧毁销毁的。再后来我们公司想了以后,应该是人家盗取的,因为数量也有一万多张,所以我们就报案。
上万条快递信息网上公开叫卖
接到报案后,杭州警方立即展开了调查,调查过程中办案民警发现,确实在一些公开的网络论坛和QQ群中,有人在大量兜售快递面单信息,这些信息以图片格式存在,面单上除了有快递编码之外,还详细地记录着收货和发货双方的姓名、手机号码、联系地址等个人信息。在进一步了解过程中我们发现,这些信息记录虽然十分详细,但是在网上销售的价格却非常便宜,一条记录有收货人姓名、手机号码、收货地址的所谓“有效数据”信息,卖家只要5毛钱。而如果有人愿意以“打包批发”的方式集中购买,一个包含上万条个人信息的数据包要价也不过几百元钱。
警方锁定嫌疑人落脚点实施抓捕
随着调查的不断深入,警方发现集中销售这些个人隐私信息的卖家网名叫“家有头猪”,经他手销售的个人信息不仅数量很多,而且更新也很快。经过调查,办案民警最终确认,这个网名叫“家有头猪”的嫌疑人姓莫,落脚点在海口市,于是警方立即赶往海口对这名嫌疑人进行抓捕。当办案民警找到这名嫌疑人时,他正在处理前一天刚拿到的快递信息,准备打包出售。在嫌疑人的电脑里,办案民警发现了大量已经打包好的个人信息,经过分析确认这些信息数据竟然多达1400多万条。
杭州市下沙经济开发区公安分局民警徐亦斌:1400多万条的信息,基本上都是生活中正常都在使用的联系电话还有住址,那么可以通过这个信息直接找到你,甚至有一些信息更详细一点的,直接说出你的身份证号码、你的工作单位、你的学历,家庭情况,小孩子这些它都能说的出来。
犯罪嫌疑人说,由于他销售的个人信息准确度高,而且价格又很便宜,所以在网上销路一直很好。
嫌疑人莫某:很多一买都是买上万条的,买上万条,他们做生意,就是比如很多那种都是搞什么电池,生产那种充电宝。比如你买了一个手机,那你是不是想要一个充电宝,他会打电话来推销他的产品,就是这样子的。
另外,这名这名嫌疑人说,他手头的个人信息之所以卖得好,还有一个原因就是这些信息都是新鲜信息。
嫌疑人莫某:新鲜嘛,比如隔了一个月,隔了一年,一年以后不知道您用不用这个电话了,现在买的这个,肯定是您在用这个电话嘛,对不对,然后他们出去就会说这个比较完整,比较新。
嫌疑人利用网站漏洞盗取海量信息
这么大量的公民个人信息,嫌疑人又是从哪获得的呢?在审讯过程中嫌疑人交代,他都是从一个网名叫“踏实做人”的人那里买来的。这个人手上的快递信息几乎每天都会更新,而且要价也相当便宜。
办案民警随即对这个网名叫“踏实做人”的嫌疑人展开的调查,然而让办案民警没想到的是,这个“踏实做人”竟然还是个在校学生。嫌疑人告诉记者,他卖的个人信息之所以非常便宜,是因为他获得这些快递信息非常容易,甚至可以说几乎没有任何成本。
杭州市下沙经济开发区公安分局民警徐亦斌:本身他是想做网络安全测试,想为自己今后找工作寻找一些便利,那么在这些测试过程中,他发现了物流公司或者是其他公司的一些安全漏洞。
[page]
部分网站存低级漏洞致信息泄露
办案民警在嫌疑人的电脑里发现,这里储存的快递公司信息不止一家,这名嫌疑人告诉我们,有的网站的数据库存在一些比较低级的漏洞,比如弱口令漏洞、上传漏洞等等,而这些漏洞就是他获取大量个人隐私信息的秘密通道。
嫌疑人:快递公司有个弱口令,弱口令就是一个很简单的密码,然后到那边之后可以进去它的后台,有些漏洞它很简单,但是没注意。
嫌疑人说,成功通过漏洞进入网站后台后,还需要上传一个后门文件,才能获取到数据库的访问权限。
嫌疑人:后门(工具),后门可以控制整个网站。
记者:那你通过这个后门(工具)把数据库就能拖出来了是吗?
嫌疑人:对。就能拖出来。如果清楚这个漏洞,什么都清楚的时候,20秒之内就可以搞定,如果不知道的话,你可能20天都搞不定。
嫌疑人说,成功上传了这个文件,就相当于掌握了一把开启网站服务器后门的钥匙,有了这把钥匙就能获得超级权限,控制整个服务器。然后只要找到通往数据库的路径,就可以进入数据库导出自己需要的客户信息了。
为了能够持续利用这个后门拖取数据库里的信息,从而源源不断地获取更新数据,嫌疑人在成功植入后门文件后,还想方设法将这个文件隐藏起来,不仔细检查,会很难发现。
杭州市下沙经济开发区公安分局民警徐亦斌:他会做一个伪装,就是说他把上传进去的那个文件,修改文件创建时间,以及它的文件名修改的会和你系统里自带的那些文件名比较相似,也就是说你正常情况下是无法察觉的。
专家说,黑客通过漏洞登陆网站后台,上传后门工具,继而控制整个网站服务器,这个操作过程并不复杂,难的是如何在前期测试出网站存在什么样的漏洞,继而为己所用。然而在调查过程中,专家告诉记者,像弱口令、上传漏洞这样的漏洞其实很初级,但是也并不少见,甚至有些大型网站的后台登陆密码就是一个弱口令,而这样低级的漏洞一旦被黑客利用,网站的安全就会受到威胁。专家告诉记者,这些漏洞在实际操作中只要稍加注意其实是很容易就能避免的。
网络安全专家唐威:弱口令漏洞的话,我们就可以把这个网站的密码设置得复杂一点,并且要养成一个定期更改的一个机制就可以了。上传漏洞也是这样,我们把这个上传的这种接口给它封住,或者首先我要经过多层次身份验证以后,才可以实现这个操作就可以了。