事实-案例网络安全信息披露-新手白客自学

事实-案例网络安全信息披露-新手白客自学

近日，南都·隐私护卫队从公安部官网获悉，全国公安机关在过去一年里深入推进“净网2021”专项行动，针对个人信息保护问题组织开展侦查打击工作，共破获侵犯公民个人信息案件9800余起，抓获犯罪嫌疑人1.7万余名，并公布十大典型案例。

这些案例涉及内鬼窃密、个人信息买卖、身份冒用、电信诈骗等多种违法情形。其中一起案件查获个人信息量多达数十亿条，另一起案件涉案金额高达1.9亿元。

内鬼猖獗：窃取个人信息数十亿条

公告显示，江苏公安网安部门侦查查明，犯罪嫌疑人何某利用为相关单位、企业建设信息系统之机，非法获取医疗、出行、快递等公民个人信息数十亿条，搭建对外提供非法查询服务的数据库，并通过暗网发布广告招揽客户出售信息。这一“内鬼”窃取个人信息案为十大案例中查获个人信息数量最高的一起。

追溯个人信息泄露源头，行业内部人员“监守自盗”是无法回避的问题。南都·隐私护卫队此前了解到，在2018-2020年的“净网行动”中，公安机关抓获侵犯公民信息的行业“内鬼”3000余名，在“净网2021”专项行动中则抓获“内鬼”500余名。

2021年9月，重庆的电信代理商平某利用工作权限有偿替他人查询个人电话号码，半年内非法查询并贩卖公民手机号信息40余万条，共获利八万余元。同年4月，广州某通信运营商公司的五名内部员工伙同他人假借礼品兑换之名获取用户身份证号、银行卡号等个人信息后，偷开、倒卖微信号250万个，并出售给他人从事网络诈骗等犯罪活动，非法获利8700万元。

去年个人信息保护法施行之际，南都·隐私护卫队以“侵犯公民个人信息”、“买卖公民个人信息”等为关键词，在裁判文书网上获取了8602份判决书，以此观察2016年至今相关案件的数量分布、涉案信息量、涉案金额和量刑趋势等。

数据显示，在8602份判决书中，利用职务之便贩卖公民个人信息的行业内部人员占据贩卖公民个人信息主体总数的67.56%，占据了大多数。近三分之一的“内鬼”来自电信公司、客服、中介，近四分之一来自公安机关内部。

购买个人信息实施诈骗获利近2亿

电信诈骗往往与个人信息泄露息息相关。在十大案例中，就有两起是通过窃取、购买个人信息以实施电信诈骗。

公告指出，安徽公安网安部门侦查查明，犯罪嫌疑人吴某成立多家健康咨询公司，通过网上购买、交换有保健品购买记录的老年人信息200余万条，通过特定话术、夸大效果推销虚假保健品，骗取6万余名老年人共计1500余万元。

另有广东公安网安部门侦查查明，珠海某艺术品策划公司从某App维护人员汪某处购买App在运营过程中获取的古董持有人员个人信息200万余条，以协助拍卖古董为名，骗取客户服务费、托管费，非法牟利1.9亿余元。该公司员工邝某、黄某还将公司非法获取的个人信息贩卖给其他电信网络诈骗团伙。

在南都·隐私护卫队分析的8602份文书中，有6949份提到被告获得数据后的用途，其中34.36%用于推广，10.48%和诈骗相关。因信息泄露而遭遇广告骚扰甚至电信诈骗，不少人对此感到困扰。

去年6月，最高人民法院刑三庭副庭长李睿懿曾在新闻发布会上透露，2020年全国电信网络诈骗案件涉及财产损失达353.7亿元。据不完全统计，2021年以来全国电信网络诈骗案件日均发案2700起，日平均损失达到了1.4亿元。

2020年10月，南都曾报道过不法分子冒充某电商平台客服实施电信诈骗一事。“假客服”在能准确说出用户个人信息的前提下，声称商品有质量问题需进行多倍赔付，后诱导用户提供银行卡号、验证码等转走钱款。据悉，反映接到此类诈骗电话的消费者已近百人，被骗金额几千到十几万元不等。

值得一提的是，去年10月23日，一部针对电信诈骗的专门性立法开始公开征求意见，《反电信网络诈骗法》草案中对电信业务经营者、银行业金融机构和非银行支付机构、互联网服务提供者的安全责任等作出了明确规定。

盗用身份信息出租游戏账号牟利170万

去年8月30日，国家新闻出版署下发《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》，明确要求网络游戏企业仅可在周末和节假日向未成年人提供一小时服务，所有网络游戏必须接入防沉迷实名验证系统，严格落实游戏账号实名注册，不得以任何形式向未实名注册和登录的用户提供游戏服务。

为此，不少未成年玩家想尽办法“破解”防沉迷系统，随之催生了新的生意。一些黑灰产人员通过盗用公民身份信息进行非法注册，再将游戏账号出售给未成年人。

针对这类黑灰产，公安机关严厉打击。此次公布的十大案例显示，经辽宁公安网安部门侦查查明，山东某网络科技公司从网上购买公民信息，在辽宁阜新石某团伙的技术支撑下，突破游戏公司验证机制，非法注册实名网络游戏账号1.8万余个，向未成年人出售，非法牟利170余万元。

公安部强调，公安机关网安部门将会同有关部门，认真贯彻落实刑法和个人信息保护法、数据安全法等法律法规，完善打击危害公民个信息和数据安全违法犯罪长效机制，坚持打击和防范并重，做好源头防控，持续保持严打高压态势，不断提升人民群众的安全感。

采写：南都见习记者樊文扬

~

网络安全学习，我们一起交流

~