隱私黑洞

【演播室】

共同打造高質量的生活，歡迎收看《每周質量報告》。在以前的節(jié)目中我們多次報道過，有些消費者在姓名、身份證號、電話號碼等個人信息泄露之后，導致銀行卡或者網絡支付工具中錢財被盜的案例。而在不少案例當中，當事人都不知道自己的這些個人隱私信息到底是什么時候、通過什么途徑泄露出去的。日前，杭州警方破獲了一起侵犯他人個人隱私的案件，從這起案件當中我們不難發(fā)現(xiàn)，不法分子要想掌握我們的個人信息其實并不困難，而且就算個人信息被盜取了，我們也并不知情，那么，這么不法分子到底是怎么做到的呢？來看記者的調查。

【正文】

今年3月份，杭州市下沙經濟開發(fā)區(qū)的一家快遞公司的負責人發(fā)現(xiàn)，有人在網上公開買賣他們公司快遞單上的信息，而且銷售量還很大。

【同期】報案人 李先生

因為這個面單信息我們是不允許，連收垃圾都不好賣的，賣廢紙都不好收的 應該全部是燒毀銷毀的。再后來我們公司想了以后，應該是人家盜取的，因為數(shù)量也有一萬多張，所以我們就報案。

【正文】

接到報案后，杭州警方立即展開了調查，調查過程中辦案民警發(fā)現(xiàn)，確實在一些公開的網絡論壇和QQ群中，有人在大量兜售快遞面單信息，這些信息以圖片格式存在，面單上除了有快遞編碼之外，還詳細地記錄著收貨和發(fā)貨雙方的姓名、手機號碼、聯(lián)系地址等個人信息。

在進一步了解過程中我們發(fā)現(xiàn)，這些信息記錄雖然十分詳細，但是在網上銷售的價格卻非常便宜，一條記錄有收貨人姓名、手機號碼、收貨地址的所謂“有效數(shù)據(jù)”信息，賣家只要5毛錢。而如果有人愿意以“打包批發(fā)”的方式集中購買，一個包含上萬條個人信息的數(shù)據(jù)包要價也不過幾百元錢。

隨著調查的不斷深入，警方發(fā)現(xiàn)集中銷售這些個人隱私信息的賣家網名叫“家有頭豬”，經他手銷售的個人信息不僅數(shù)量很多，而且更新也很快。經過調查，辦案民警最終確認，這個網名叫“家有頭豬”的嫌疑人姓莫，落腳點在?？谑?，于是警方立即趕往?？趯@名嫌疑人進行抓捕。

當辦案民警找到這名嫌疑人時，他正在處理前一天剛拿到的快遞信息，準備打包出售。在嫌疑人的電腦里，辦案民警發(fā)現(xiàn)了大量已經打包好的個人信息，經過分析確認這些信息數(shù)據(jù)竟然多達1400多萬條。

【同期】杭州市下沙經濟開發(fā)區(qū)公安分局民警 徐亦斌

1400多萬條的信息，基本上都是生活中正常都在使用的聯(lián)系電話 還有住址，那么可以通過這個信息直接找到你，甚至有一些信息更詳細一點的，直接說出你的身份證號碼、你的工作單位、你的學歷，家庭情況， 小孩子這些它都能說的出來。

【正文】

犯罪嫌疑人告訴記者，由于他銷售的個人信息準確度高，而且價格又很便宜，所以在網上銷路一直很好。

【同期】嫌疑人 莫某

很多一買都是買上萬條的，買上萬條，他們做生意，就是比如很多那種都是搞什么電池，生產那種充電寶。比如你買了一個手機，那你是不是想要一個充電寶，他會打電話來推銷他的產品，就是這樣子的。

【正文】

另外，這名這名嫌疑人還告訴我們，他手頭的個人信息之所以賣得好，還有一個原因就是這些信息都是新鮮信息。

【同期】嫌疑人 莫某

新鮮嘛，比如隔了一個月，隔了一年，一年以后不知道您用不用這個電話了，現(xiàn)在買的這個，肯定是您在用這個電話嘛，對不對，然后他們出去就會說這個比較完整，比較新。

【正文】

那么，莫某到底是怎么獲得這些新鮮的快遞信息的呢？在審訊過程中嫌疑人交代，他的快遞信息都是從一個網名叫“踏實做人”的人那里買來的。這個人手上的快遞信息幾乎每天都會更新，而且要價也相當便宜，1400萬條個人信息總共才要了他1000多塊錢。

【同期】審訊現(xiàn)場畫面

民警：你找踏實做人這個人買來的，對嗎？

嫌疑人：對。

民警：總共是花了多少錢 買來的。

嫌疑人：1000多塊錢。

【正文】

辦案民警隨即對這個網名叫“踏實做人”的嫌疑人展開的調查，然而讓辦案民警沒想到的是，這個“踏實做人”竟然還是個在校學生。民警找到他的時候，他也感到很意外，甚至完全不知道自己的行為已經觸犯了法律。

【同期】警方提供畫面

民警：我給你打個比方 人家詐騙 講小王 小孫

嫌疑人：我已經跟他們說了讓他們不要那個（犯罪）

民警：我知道 后面的事情也控制不了 他再去賣 懂不懂

【正文】

嫌疑人告訴記者，他賣的個人信息之所以非常便宜，是因為他獲得這些快遞信息非常容易，甚至可以說幾乎沒有任何成本。

【同期】杭州市下沙經濟開發(fā)區(qū)公安分局民警 徐亦斌

本身他是想做網絡安全測試，想為自己今后找工作尋找一些便利，那么在這些測試過程中，他發(fā)現(xiàn)了物流公司或者是其他公司的一些安全漏洞。

【正文】

辦案民警在嫌疑人的電腦里發(fā)現(xiàn)，這里儲存的快遞公司信息不止一家，這名嫌疑人告訴我們，有的網站的數(shù)據(jù)庫存在一些比較低級的漏洞，比如弱口令漏洞、上傳漏洞等等，而這些漏洞就是他獲取大量個人隱私信息的秘密通道。

【同期】嫌疑人（取保候審）

快遞公司有個弱口令，弱口令就是一個很簡單的密碼，然后到那邊之后可以進去它的后臺，有些漏洞它很簡單，但是沒注意。

【正文】

嫌疑人告訴記者，成功通過漏洞進入網站后臺后，還需要上傳一個后門文件，才能獲取到數(shù)據(jù)庫的訪問權限。

【同期】嫌疑人（取保候審）

后門（工具），后門可以控制整個網站。

記者：那你通過這個后門（工具）把數(shù)據(jù)庫就能拖出來了是嗎？

對。就能拖出來。如果清楚這個漏洞，什么都清楚的時候，20秒之內就可以搞定，如果不知道的話，你可能20天都搞不定。

【正文】

辦案民警告訴記者，為了能夠持續(xù)利用這個后門拖取數(shù)據(jù)庫里的信息，從而源源不斷地獲取更新數(shù)據(jù)，嫌疑人在成功植入后門文件后，還想方設法將這個文件隱藏起來，不仔細檢查，會很難發(fā)現(xiàn)。

【同期】杭州市下沙經濟開發(fā)區(qū)公安分局民警 徐亦斌

他會做一個偽裝，就是說他把上傳進去的那個文件，修改文件創(chuàng)建時間，以及它的文件名修改的會和你系統(tǒng)里自帶的那些文件名比較相似，也就是說你正常情況下是無法察覺的。

【正文】

為了直觀的展示這個過程，記者請來了網絡安全專家搭建了一個虛擬的購物網站，在這個網站的數(shù)據(jù)庫中儲存著大量注冊用戶的信息，其中包含用戶名、密碼、郵箱、賬戶金額、地址等。

【同期】網絡安全專家 唐威

通常很多我們發(fā)現(xiàn)不注意安全的這種管理員的話，他甚至是使用比如說123456、12345678這種非常簡單的密碼，當做后臺的密碼。我們輸入用戶名，密碼123456，點擊登錄，OK 現(xiàn)在已經登錄成功了，這就說明這個網站是存在弱密碼這么一個漏洞的。

【正文】

網絡安全專家告訴記者，利用管理員的身份進入后臺，并不等于實現(xiàn)了對整個網站的控制，通常網站后臺只是一個內容發(fā)布平臺，要想獲得數(shù)據(jù)庫訪問權限，就需要上傳一個后門工具文件。

【同期】網絡安全專家 唐威

首先我們準備了一個黑客常用的一個后門程序，我們給它起名叫backdoor，然后我們將這個后門文件選中，并且上傳。好，現(xiàn)在這塊已經顯示，我們已經成功的將我這個后門文件傳到了網站的服務器上?，F(xiàn)在我們已經進到這個網站數(shù)據(jù)庫的后臺了，然后我們看一下我們剛才上傳的這個文件，這個backdoor實際上就是我們剛才上傳的這個后門工具，現(xiàn)在已經可以看到它已經在網站的服務器中了。

【正文】

網絡安全專家告訴記者，成功上傳了這個文件，就相當于掌握了一把開啟網站服務器后門的鑰匙，有了這把鑰匙就能獲得超級權限，控制整個服務器。然后只要找到通往數(shù)據(jù)庫的路徑，就可以進入數(shù)據(jù)庫導出自己需要的客戶信息了。（動畫）

【同期】網絡安全專家 唐威

我已經進入到數(shù)據(jù)庫訪問的后臺 這里邊就存放著網站所有的數(shù)據(jù)庫（信息），對于黑客來說價值最高的用戶信息的數(shù)據(jù)。就是在這兒，我們可以看到有member（用戶），在這個表單里邊實際上就存放了所有這個網站注冊用戶的信息，包括了有用戶名，也就是用戶ID 密碼以及用戶的性別，然后他賬戶里的金額、包括用戶的郵箱等等這些信息。

【正文】

專家告訴記者，黑客通過漏洞登陸網站后臺，上傳后門工具，繼而控制整個網站服務器，這個操作過程并不復雜，難的是如何在前期測試出網站存在什么樣的漏洞，繼而為己所用。（動畫）

然而在調查過程中，專家告訴記者，像弱口令、上傳漏洞這樣的漏洞其實很初級，但是也并不少見，甚至有些大型網站的后臺登陸密碼就是一個弱口令，而這樣低級的漏洞一旦被黑客利用，網站的安全就會受到威脅。

【同期】嫌疑人（取保候審）

一個大型的網站，大部分漏洞都補的比較全，但是有一些漏洞，也很奇葩，比如說有一些地方，密碼是123456，這就沒辦法。

【正文】

專家告訴記者，這些漏洞在實際操作中只要稍加注意其實是很容易就能避免的。

【同期】網絡安全專家 唐威

弱口令漏洞的話，我們就可以把這個網站的密碼設置得復雜一點，并且要養(yǎng)成一個定期更改的一個機制就可以了。上傳漏洞也是這樣，我們把這個上傳的這種接口給它封住，或者首先我要經過多層次身份驗證以后，才可以實現(xiàn)這個操作就可以了。

【演播室】

我們再來簡單梳理一下杭州警方破獲的這起案件，郭某利用一些快遞公司數(shù)據(jù)庫的漏洞，幾乎零成本地獲取大量個人隱私信息，并以低價賣給了中間人莫某，莫某將這些信息分類處理后，以每條5毛錢甚至更低的價格在網上兜售，而一些廣告商、銷售商甚至是別有用心的不法分子，在網上買來這些個人信息，用來推送廣告甚至竊取用戶銀行卡或者網絡支付工具中的錢財。專家說，其實這些犯罪嫌疑人竊取個人隱私信息的手段并不高明，但是我們的個人信息被竊取販賣的問題卻一直禁而不止、難以解決，這又是為什么呢？

【正文】

調查過程中記者發(fā)現(xiàn)，非法竊取公民個人信息的案件近年來一直呈高發(fā)態(tài)勢，今年4月，海南省?？谑旋埲A區(qū)法院就審結了一起非法買賣和非法獲取公民個人信息案件，1名交警和7名保險行業(yè)相關從業(yè)人員，因非法獲取和買賣100多萬條車輛保險信息被判刑。

而就在不久前，深圳市南山區(qū)法院也審理了一起非法獲取公民個人信息案，4人因非法侵入順豐公司網站服務器，批量下載大客戶結算快遞運單數(shù)據(jù)被判刑。

法律專家告訴記者，在2009年通過實施的刑法修正案七中，將非法買賣和非法獲取公民個人信息列為刑事犯罪的新類型，并制定了相應的定罪量刑標準，因此最近幾年因非法買賣和非法獲取公民信息而受到刑事處罰的案例不斷增加。但是專家同時也指出，與目前個人信息安全非法買賣的嚴重程度相比，現(xiàn)在大多數(shù)地區(qū)對此類案件還沒有明確的立案標準，執(zhí)法和處罰的力度顯然還遠遠不夠。

【同期】北京師范大學法學院教授 劉德良

孩子上學 然后學校里我估計可能是 學校里把信息給（泄露）了，他知道我是誰的家長，然后我的孩子上幾年級這一年每天都能收到好多這種（垃圾短信），到派出所里去報案的時候，派出所的人他不知道有這樣的法律規(guī)定，他認為刑法第253條在實際適用當中，只有大規(guī)模的這種買賣侵權行為的時候，你發(fā)現(xiàn)你抓住現(xiàn)行了，或者是有媒體曝光了，后者真正有什么情況下才可能（受理）。

【正文】

另外，專家還強調，非法獲取和買賣公民個人信息的行為之所以屢治不止，還有一個原因就是其背后隱藏著的完整的利益鏈條，很多商家和不法分子在非法獲取到他人隱私信息之后，有不當?shù)美目臻g，而這些行為的違法成本又相對較小，個人信息被濫用的情況相當嚴重，因此如何加強對濫用個人信息的行為的打擊和懲處力度，也是亟待解決的重要問題。

【同期】北京師范大學法學院教授 劉德良

垃圾短信騷擾電話接了很多，我們國家恰恰在這一塊上沒有相應的規(guī)定， 美國的騷擾電話 就是你打商業(yè)推銷電話的話，這個法律規(guī)定是禁止打的，你要打 我要接到你的電話的話，要求你承擔法律規(guī)定有一個民事賠償數(shù)額，比方說是100美元還是120美元 重點規(guī)制濫用環(huán)節(jié) 打擊濫用 那么這一塊如果要遏制了 前邊（買賣）就沒有了動力。

【演播室】

生了孩子，賣奶粉的短信就來了；買了房子，裝修的短信就沒完沒了；買了新車，保險公司的短信就鋪天蓋地。面對這樣的現(xiàn)象您是不是雖然感到無奈，卻又覺得習以為常了呢？其實在這些垃圾短信的背后，是我們個人隱私信息泄露的問題，給我們留下的是更嚴重的財產甚至是人身安全方面的巨大隱患和威脅。專家認為，我們在呼吁加強執(zhí)法、加強處罰的同時，還應該細化和強化可能造成個人信息泄露的各種渠道的監(jiān)督和管理方式；另外，消費者發(fā)現(xiàn)個人信息泄露的時候，也應該引起足夠的重視，必要的時候應該向公安機關或有關部門反映相關情況。對于經營個人信息的黑色隱秘鏈條，必須把它當成一只過街老鼠，人人喊打，人人去打，畢竟這是和我們每個人的利益都息息相關的大問題。好，感謝收看《每周質量報告》，下周同一時間再見。