2011年8月5日,23名犯罪嫌疑人站上北京市第二中级人民法院的被告席。其中7名来自电信运营商的“内鬼”,交待了非法提供个人信息的层层内幕。长达40分钟的宣判,引爆了北京当年最大的倒卖公民信息案。
近十年过去,虽然各方的打击力度不断加大,信息黑产却依然在暗中野蛮生长,变得更加隐蔽化与精细化。肩负“拿料”重任的“内鬼”,悄无声息地侵入了各行各业。手握大量个人信息的企业甚至政府部门,面临着一场从技术到意识都亟待升级的持久战。
· 1 ·潜伏者与窗口期
银行、保险、卫生、交通、快递……信息时代到来,各行各业都跟数据产生紧密关联,黑产内鬼早已不再局限于通信行业。个人信息在企业的经营业务中层层流转,留下了诸多可供内鬼利用的漏洞。犹如一场猫鼠游戏,内鬼的嗅觉总是比企业管理者和安全人员敏锐。
跟外部攻击者相比,内鬼鲜少曝光于公众视野,但他们带来的危害,丝毫不亚于外部攻击者。据公安部统计,2016年至2017年5月,全国公安机关抓获了5000多个侵犯公民个人信息案的犯罪嫌疑人,其中450多人是各行业内部人员。公安部网络技术研发中心主任许剑卓出席相关发布会时表示,内鬼已经成为实施侵犯公民个人信息犯罪的重要主体。
某保险类企业安全人员乜远,曾亲身参与内鬼调查行动。他回忆,异常最初被发现,来自系统警报:保险销售员徐某的账号,在非工作时间内高频读取了客户资料信息,并通过技术手段向外传输信息。
“客户投保资料里包含详细的身份和财产信息,甚至连名下车辆和房产都很清楚。这样的信息在黑市上还是很值钱的。”乜远说,徐某窃取信息时使用了自动化的脚本程序,导致其窃取效率大大提高,就像从小农时代进入工业时代。“手工只能一条条地记录,换上脚本,一分钟可以抓取很多条。”
让乜远印象深刻的是,徐某对访问频次进行了有意识的控制。“短时间的大量访问会立即触发警报。这个人不是很集中地在某个时间去查,是断断续续地去查的。”乜远说。正因为此,徐某的窃取行为持续了一个多月才露出马脚。安全人员发现异常时,徐某已经离职。
在此后的调查中,乜远协助完成了数据取证工作,也曾跟同事一起去徐某的工作地点调取监控录像,以使证据能形成有效、完整的闭环。由于工作分工,调查的后续事项交由法务同事处理,徐某到底有没有被抓获归案,乜远并不知晓。
“很难立即发现内鬼的异常。”他无奈地表示,保险企业的销售业务员数量惊人,达到百万规模。业务员出于日常业务需要,本就有权访问部分客户信息。即便企业已经采取了数据分级管理,任何访问和传输都有记录,系统也需要积累足够多的非正常访问才能发出异常警报,这为内鬼提供了窗口期。
与保险企业类似,体量越大、业务拓展越迅速、人员流动性越高的企业,越容易给内鬼提供可乘之机。智能手机巨头苹果、快递企业顺丰、电商平台淘宝、生活服务平台美团,都曾曝出业务人员倒卖客户信息的案例。
这些企业并非没有数据安全管理措施,只是很多时候无法立即发现内鬼。裁判文书网公开案例显示,相当一部分内鬼案发,是因为企业遭受了更明显的损害。比如,泄露出去的信息引发了诈骗案件,受害人报警,警方顺藤摸瓜发现了内鬼的存在。此外,还有部分内鬼是主动投案。
天空卫士高级安全顾问宋威说,过去,企业发现数据泄露的时间是半年到一年左右,现在的用时已大大缩短,但平均也需要一到三个月。
· 2 ·金钱美色与侥幸心理
2017年夏,浙江苍南警方破获一起苹果“内鬼”售卖个人信息的特大案件。据统计,两次行动抓获的35名犯罪嫌疑人中,有32名为苹果公司国内分公司的在职员工或苹果外包公司的前员工。犯罪嫌疑人用非法所得购买了保时捷、奔驰等豪车,还有广州的一套房产。图自微信公众号“平安苍南”。
在整条个人信息贩卖的产业链中,肩负“拿料”重任的内鬼无疑是最关键的一环。与公众认知有出入的是,内鬼并非都是企业中收入不高的基层员工,手握更多信息的中层往往更有价值。为了“策反”内部人员充当内鬼,信息贩子往往使出浑身解数。
2017年7月,江苏常州市公安局牵头的专案组破获了一起侵犯公民个人信息大案。据媒体报道,48名内鬼中有一人梁某,是湖南长沙某银行信贷部主任。
梁某最初与信息贩子周某某相识纯属偶然。周某某得知梁某能通过银行系统查询个人征信信息,就想与梁某“合作”。梁某本身收入不差,周某某便多次请客吃饭、送钱,还用上“美人计”,为梁某介绍年轻女性。最终,梁某被周某某拉下了水,每查询一条个人征信信息,他从周某某处收费300至350元。
不过,并非所有内鬼都能如梁某般获得超乎常人想象的经济回报。据公开资料梳理,各行业人员做内鬼收取的不义之财,也分三六九等。有人出售7000余条个人信息获利24万元,单条信息价格达到30元。有人出售11万余条个人信息,仅仅换来2500元,单条信息价格不到3分钱。
这些差异,折射出内鬼案例的一个潜在共性:金钱诱惑之外,内鬼们所在的企事业单位管理不严,内鬼意识不到自己的行为已经违法或是存在侥幸心理,是他们作案的重要诱因。
2017年12月,北京东城区人民法院审理了该区首例侵犯公民个人信息案。被告人张某是年轻的“90后”女孩,在北京某金融信息服务有限公司担任运营经理。庭审时她说,知道公司规定客户资料不能外泄,有一次要给公司做数据分析,才把客户资料传给朋友龚某某。龚某某后来把这些数据卖了出去,她跟着分了钱。
该案中部分聊天记录。图自央视网。
张某在庭审现场(图中扎马尾女性)。图自央视网。
与张某持类似想法的人不在少数。纵观裁判文书网公开的案例,甚至有多名公职人员,出于为朋友帮忙的心理,有意无意地做了内鬼。四川省南充市一起判决显示,南充的一名协警,在被上司训斥“现在查这么严,居然还用外挂程序查询”后,仍然受人所托,查询了大量含有姓名、电话号码、车辆登记等内容的公民个人信息。
一边是数据产业迅速发展、个人信息的经济价值日益突显,一边是数据收集机构和大众对于个人信息保护的长期“无意识”,二者的不平衡,造成了当今内鬼频发的困境。具有打击和规范效应的网络安全法、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高”司法解释)等法律去年才开始实施,普法之路仍然很长。
· 3 ·职业内鬼
值得注意的是,纵观近两年曝光的内鬼案例,有自己的本职工作、因一时糊涂被“策反”的人员之外,“职业内鬼”的身影开始出现。
2017年初,公安部破获一起盗卖公民信息的特大案件,涉及50亿条公民个人信息。其中一名涉案人员郑某某,案发时在京东担任网络工程师。京东称,在打击黑产的日常行动中发现此人是黑产人员,立即向公安机关提供了线索。
随后有媒体报道,郑某某在加入京东之前,曾在国内多家知名互联网公司工作。警方介绍,郑某某“技术水平较高”,去各公司应聘时基本都会被录用。他长期与犯罪团伙合作,成功盗取信息后就离职,继续到下一家公司应聘。
实力雄厚、管理相对严格的大企业里,为什么也有内鬼的活动空间?“大企业的安全防护很难跟上业务形态的发展,尤其是互联网企业。”天空卫士高级安全顾问宋威分析,互联网行业的特点是开放性和流动性强,业务形态难以固定,企业没法对数据进行“一刀切”式的封锁管理,很难进行有针对性的防护。
此外,随着大数据技术的发展,数据共享成为企业合作的内容,越来越多的企业委托第三方进行数据存储和管理,接触数据的人员增加,也加剧了信息泄露的风险。
南都记者发现,除了郑某某这样技术水平较高、混入大型企业的人员,还有一部分黑产人员瞄准了小微企业的管理漏洞,伺机潜入企业内部作案。小型电商公司,是受害的重灾区。
据公开资料显示,2016年6月开始,江西人赖某冒名“刘坤和”,先后到广州市白云区多个网店应聘,入职后便伺机窃取客户交易信息,转手卖给诈骗人员。6月15日至7月23日期间,赖某先后四次出售客户信息约686条,共牟利人民币4195元。
与单打独斗的赖某不同,有些人选择带队作案且技术含量更高,福建人麻海鑫、杨强、陈敏就属于后者。2016年,三人经事先商量,在福建省龙岩市新罗区、漳平市等地张贴高薪招聘员工的广告。招到人后,杨强将小工们带到义乌、杭州等地,让他们以应聘的名义混入多家公司,在客服电脑中植入木马程序,从而获取订单数据。
交待作案细节时,杨强供述,他在义乌呆了20天左右,每天安排两组人外出安装木马病毒。安装人员反馈种植木马病毒的店铺、病毒的前四位代码后,他再打电话通知麻海鑫,麻海鑫确认木马安装成功,杨强就能得到4000元好处费。麻海鑫、陈敏等人负责售卖数据,从中非法牟利。
南都记者统计发现,至案发时,三人涉案订单数量共计超过百万条。受害网店中既有开业十年的口碑好店,也有粉丝数量超过千万的网红店,服装、食品、家具领域均有所涉及。
遭泄露的订单信息往往流入诈骗人员手中。诈骗人员有专门的一套“台词”,以商品有问题需要退款等为由,诱导受害用户转账。图自微信公众号“平安三明”。
腾讯网络安全专家于旸,曾在其微博“tombkeeper”分享发现职业内鬼的经历。 “2015 年,我们公司另一个事业群的 HR 发给我一份简历,请我帮忙判断能力水平。但我一看简历上的时间线就感觉这人有问题。”于旸说,这名应聘者在每家公司都只干6个月,不但换公司还换城市,自己由此起了怀疑。
他进一步调查发现,该应聘者存在简历造假——一般的造假者是为了美化自己的工作水平,该人则是为了掩盖既往经历。最后证实,该人果然隶属于一个黑产团伙,而且之前已经在至少两家互联网公司卧底过。“干这行的人数远比你们想象得多”,于旸在微博上作出如是评论。
种种案例表明,稍有不慎,企业就可能遭遇职业内鬼:小企业没有足够的安全防护意识和能力,很容易成为受害对象。大企业虽有强大的安全团队,但世间并无百分百的安全,严防死守也并非一朝一夕就能练成,令人防不胜防的职业内鬼仍能找到窃取信息的途径。随着网络安全法等个人信息保护相关法律法规的的实施,国内企业的意识正在逐步觉醒,但真正守护好自己的核心系统与关键数据,对大小企业来说都绝非易事。
· 4 ·更加隐蔽化与精细化
2016年,南都记者曝光信息黑产,个人信息买卖的猖獗程度首次为公众广泛知晓,报道中的“700元买到开房记录”成为全网热搜关键词。今年2月,央视推出调查报道,再次在黑产内部引爆。但南都记者发现,黑产们并没有就此放弃生意,只是提高了警觉,信息的价格也涨了上去。
在QQ平台,原本的催收群、侦探群、信息群,换上了便民服务、技术联盟、民间调查等名号。他们在QQ空间内放上各种信息表单的照片和视频,暗示业务仍在继续。
QQ平台仍能搜索到大量“信息查询”群。
南都记者直接添加其中一些人的QQ 和微信,大多数人都没有反应。成功加上一名信息贩子后,记者尝试询价,对方反问:“难道你不是熟人介绍的吗?”记者声称熟人介绍的信息贩子都联络不上,对方才继续回话。
在讨价还价的过程中,这名信息贩子表示,查不了银行资产,但可以查开房记录,收费标准是近半年580元,查询时间每加一年加价100元,先付定金。记者佯装质疑,此人表示信息来源是公安系统,如记者有疑虑,也可以不交定金,看到证明截图后再交全款。
某信息贩子号称能查询开房记录、通话记录、身份证大轨迹等多种个人信息。其空间内还有展示信息查询工具的小视频,配音男子称开房记录“全国16省可查”。
成功添加好友后,该信息贩子表示,“开房记录是公安系统内部的”。
裁判文书网公开案例显示,过去多年中,QQ 和微信一直是信息贩子们交易的首选工具。据南都记者了解,自2016年至今,腾讯共查处涉及个人信息贩卖的网络群组4700多个,封停3500多个即时通讯个人帐号。一些内鬼和信息贩子转而开始使用暗网和外国即时通讯产品,以绕过腾讯和有关部门的监管。
买卖来源于需求,到底是谁在给内鬼和中间商付钱?南都记者梳理发现,大概可以分为以下几类:催收人员、销售人员和诈骗人员。其中,诈骗人员非法获取个人信息,被工信部视为通信诈骗整治工作中新的突出问题。工信部有关负责人介绍,个人信息泄露已成为信息诈骗的根源。要加强源头治理,工信部须与网信、公安等部门协同共治,督促企业整改个人信息过度收集、泄露或滥用等问题。
曾在互联网借贷平台短暂工作过的雷雨告诉南都记者,他所接触的互联网借贷企业几乎没有个人信息保护的概念,彼此交换信息倒是常态,一些催收公司会主动将个人信息提供给借贷公司,作为换取业务的筹码。“我们公司有30多个人,几乎每个人都能接触到一手的客户信息,我甚至能看见用户做人脸认证的照片。”雷雨说。
广东警方“净网安网”行动中查获的金融类黑灰产信息。图自广东省公安厅。
· 5 ·家丑
这半年,某互联网企业程序员林岳感到,公司的安全管控氛围越来越严。合规部门负责人已经在多次内部大会上分享内控经验,包括抓到了几年前作案、已经离职的内鬼。就在前不久,公司还通知全体员工安装几款软件,他觉得此举是要进一步监控员工的操作日志和传输内容。
林岳所感受的变化,不仅存在于他供职的企业。天空卫士高级安全顾问宋威说,越来越多的企业意识到了内部数据安全的重要性。“很多企业会要求先试用产品,测试结果通常都会让他们大吃一惊。信息外泄几乎每天都在发生,严重程度远远超出了他们的想象。” 宋威直言。
尽管技术界在研究更完善的解决方案,彻底根除内鬼,似乎是个不可能完成的任务。“如果各种行为都有详细的记录,很多异常是可以发现的。不过企业的发展一般是业务优先,安全的措施一般是后面补上的。比如详细的日志记录和权限管控,可能就做得不那么细致。”一位安全专家说。
宋威则表示,在很多企业里,安全团队的主要任务是维持业务安全,而不是集团内整体安全的管理。要防止数据外泄,企业首先要进行繁杂的数据梳理,分析各个业务线,确定哪些是需要保护的数据。有的时候,企业自己都没想到系统某个设置会造成数据外泄,也就很难做到事前预防。
在企业,发现内鬼的时间一般是一到三个月,在政府机构,窃取行为可延续长达一两年之久。据裁判文书网,从2015年5月到2016年6月,河北省晋州市市场监督管理局工作人员支彦荣通过QQ向中间商提供了160万条来自河北省工商企业注册系统中的公民个人信息,直到中间商落网才被牵出。
尽管企业和政府机构也是内鬼的受害者,但出事后,它们一般抱着家丑不可外扬的心态,悄悄地进行处理。尤其是企业,更不愿事件曝光后导致自己的商誉受损,息事宁人,方为上策。北京中海义信司法鉴定所主任石鹏认为,这也是造成很多内鬼能连续作案的重要原因。
一名知乎网友在内鬼相关问题下的留言。
· 6 ·重操旧业与各方合力
从徐玉玉案发生到去年“两高”司法解释实施,再到今年2月公安部部署全国开展“净网2018”专项行动,一轮又一轮的打击高潮出现,大批黑产成员落网。但严厉的打击背后,还有若干深层问题待解。
“2007年前后,我在北京的‘北京卿群信息有限公司’上班,这个公司主要就是卖公民个人信息,我在这个公司干3年左右就回信阳老家了,后来听说公司的老板被公安机关抓了。” 在河南省宝丰县人民法院审理的一起案件中,证人王某供述,“以前在北京的时候就知道买卖信息可以赚到钱”,回老家结婚后偶然得知朋友黄某甲在工商所上班,便鼓动丈夫和黄某甲一同干起了信息倒卖。
梳理裁判文书网案例可以发现,即使是在“两高”司法解释出台后,涉案人员的刑期也多在一年左右,最高不过四年,与多年前相比并没有明显变化。加上嫌疑人被抓后通常有悔过表现,普遍会获得减刑判决。
公开资料中的部分“内鬼”案例。
北京师范大学刑科院暨法学院副教授吴沈括认为,从刑法修正案(七)到刑法修正案(九),再到“两高”司法解释,扩大刑事保护的范围、细化刑事介入的范围标准、提升个人信息的保护水平,是明显的变化趋势。但在司法实践中,针对侵犯公民个人信息的犯罪,仍然存在查处难、证明难、定罪难的“三难”情况。
“非刑事层面的数据流转规则目前依然不甚清晰,导致司法机关在刑事介入时存在一定的不确定性,进而造成处罚力度相对不足。从目前来看,由于黑产人员逃避法律追究的不法意识与能力在不断增强,黑色产业链不断细化、延长,目前的处罚强度,确实难以在根本上产生持久的有效震慑。”吴沈括说。
2017年,25岁的青年雷远,人生第三次被判刑。裁判文书网资料显示,出生于1992年的他,2011年因犯诈骗罪被判处拘役5个月;2013年因犯合同诈骗罪被判处有期徒刑一年六个月;2017年又因犯侵犯公民个人信息罪,被判处有期徒刑三年六个月。而雷远会接触个人信息倒卖,竟是因为以前服刑时,听狱友介绍说“网上贩卖个人信息比较赚钱”。
从公开曝光的案例看,不少涉案人员与雷远呈现出相似的特征:受教育水平较低,无固定职业,曾有过犯罪记录。
北京中海义信司法鉴定所主任石鹏分析,这些人原本就很难找到正式的工作,走上倒卖信息的不法道路堪称“顺其自然”。这一行进入门槛低,信息几经倒手便能获得高额回报。对黑产人员而言,种种“好处”,压过了违法与获刑的风险。
他回忆,有一次,他跟警察朋友聊起个人信息黑产,对方告诉他,三年前就抓过的一名犯嫌疑人,最近又因为倒卖个人信息被抓了。同一名侦缉人员,同一名嫌疑人,几年后因为同样的案由再次相遇。石鹏说,朋友也觉得很无奈。
在石鹏看来,现有的惩治体系还不够有效。“这些人被抓过一次后如果再重操旧业,肯定就更懂得如何反侦察和销毁证据,更不容易被抓获。”他觉得,个人信息买卖的黑产就像一张无比巨大的网,目前只是其中的若干节点被销毁了,整个网络的销毁绝非易事。
据了解,除了采用数据加密、权限管理、安全审计等企业内控方法来防范内鬼风险,一些深受内鬼所累的企业,开始探索联合共治机制。以快递业为例,包括顺丰、圆通、申通、中通、韵达等在内的多家快递企业已加入快递物流征信平台,合力将存在泄漏客户信息等失信行为的人员纳入全行业“黑名单”。“管理上要建立威慑力,威慑力不是说抓到后才判决多少年,而是体现在只要对方伸手,就要抓到对方。”顺丰有关负责人说。
另一个正在被推广的办法是,利用技术手段设置安全号码,使用户的个人信息在企业或政府的业务流转中不显示或不完全显示,以减少个人信息被泄露的可能性,如外卖、快递、专车等行业先后推出的安全号码或隐私面单服务。
不能否认的是,个人信息安全意识的提高在隐私保护中仍扮演重要的作用,用户善于利用技术保护个人信息,能够从源头上减少隐私被窃取的可能。
吴沈括认为,根本解决之道,仍在个人信息保护立法。同时,他建议政府鼓励建设打击侵犯公民个人信息犯罪黑色产业链的社群,以最大范围内凝聚政府、产业与公民团体的集体力量,不断增强公民保护个人信息的意识,以推动形成针对黑产威胁的群防群治态势。
(文中乜远、徐某、雷雨、林岳为化名)