在当今社会,一部手机就可以串联起身边所有的圈子。而在熟人彼此来往的电话之间总是夹杂着一些“不速之客”——推销、理财、保险甚至是诈骗。这次或许你识破之后只是吐槽一番,下次或许你就在不经意间走进了对方的套路,你永远不知道下一次他在哪挖好坑等着你。而让你深陷这样已知或未知险境的原罪就是信息泄露。


内鬼 利益驱动 


任何人只需提供一个手机号码,就能在网上买到他人的身份信息、名下资产、手机通话记录、滴滴打车记录等多项个人信息?今年2月,有媒体曝光不法分子利用腾讯QQ平台贩卖公民个人信息一事。


随后公安部对此进行了侦办,在网上出售个人信息的嫌疑人分别是网名“水中取火”的杨某和网名“孤星泪”王某,涉案信息泄露的源头也于近日被查清:滴滴客服业务的外包公司员工王某利用职务便利违规查询获取并转卖滴滴打车记录,中国联通天津分公司员工陈某利用职务便利违规查询并转卖联通手机即时定位信息。


事实上,这已不是联通首次发生信息泄露事件,去年10月份,法院审理了关于联通员工出售公民信息一案,据了解,该员工利用联通公司的数据,通过QQ出卖带有家庭住址、身份证的公民个人信息近13万条,“裸号”近10万条,获利近10万元。


为此,新金融观察记者致电联通电话客服,一位值班经理表示,公司使用的管理手段是限制员工接触用户资料的,对留存的用户身份证复印件、材料和系统存储信息妥善保管、严格保密,不会出售或非法向他人提供。如果当用户个人信息泄露或者可能泄露的时候,公司会立即采取补救措施,将造成的以及可能造成的严重后果,公司会备案电信管理机构报道并配合相关部门进行调查,如有员工违反企业规定,将追究个人和单位的责任,造成用户和公司重大损失的将依据法律移交相关部门追究法律责任。


对于新金融观察记者提出的,联通多次涉及信息泄露是否在其管理或系统上是否存有漏洞以及事件发生后是否有整改措施等问题,该经理表示会将该问题向公司反馈,相关部门将对此回复。不过遗憾的是,截至发稿,新金融观察记者尚未得到回复。


另一方面,滴滴对新金融观察记者表示,公司在事件发生后已在第一时间组成了专项工作组彻查原因。此外,为了保护用户信息和人身安全,公司已采取了各种技术手段和措施,滴滴将会加强打击此类违法犯罪行为。

 


平台 屡禁不止


作为当事人之一的腾讯,曾在案件曝光之时表示,对报道中出现的相关QQ群已采取了永久封停措施,并针对涉嫌信息贩卖的QQ群扩展排查。


事实上,QQ早已成为犯罪分子非法交易公民信息的重要平台。


在今年的两会上,马化腾表示,倒卖个人隐私信息是很多诈骗犯罪的主要来源,对于倒卖个人隐私信息行为需要进一步打击,不管在立法层面还是执法层面,都需要加强。同时,针对犯罪分子采用“变种关键字”等伪装手段,马化腾认为将通过建立大数据,从个案中寻找规律,做到精准打击。


据他透露,2016年初至2017年3月,腾讯通过QQ团队的排查和用户的举报,共查处涉及个人信息贩卖的QQ群4700多个,封停3500多个QQ帐号。


但事情还远远没有结束。


新金融观察记者在QQ上尝试搜索此次犯罪嫌疑人的网名“水中取火”时发现,如今该账号依然活跃在这条黑色产业链中。其头像上面的文字为“查开房记录、手机通话记录、手机号定位”,其QQ签名为:“一手实力查询,数据统一出自各特殊部门”。此外,另一同名QQ账号在3月24日成立了一个200人的QQ群,公告栏上写道:“因怕记者暗访,此群只限长期合作的代理加入,代理不准拉人进群,陌生人请加群主咨询。”目前,该群已有43名成员。


1.jpg


不仅如此,新金融观察记者在QQ上搜索关键字,出现了十数个关于信息出售的QQ群,其中规模最大的有近2000个成员。记者在加入群后看到其管理员的头像写着“黑客接单”,在其资料图中还有两张疑似为黑客程序的截图。接着,记者又加入了一个近千人的QQ群,其头像注有“人肉搜索”等字样,其管理员的签名为:“各类信息査询出售”。

 

2.jpg


 

根源 监管缺位


事实上,信息泄露不仅出现在上述的企业之中,很多公司都面临着信息安全的问题。


中国电子商务研究研究中心特约研究员、上海市信息安全行业协会专委会副主任张威对新金融观察记者表示,信息技术的发展有一种负面导向型的趋势,首先发展的是倾向于违法犯罪的技术,随后发展的才是正面的技术,所以,很多企业通过高新技术来推动自己的业务发展,就不可避免会碰到由信息技术产生的安全问题。“比如此前肆虐全球的勒索病毒。”


在价值利益的驱动下,犯罪分子可以有各种方式侵入企业,让信息泄露出来,诱导企业员工只是一种途径,最重要的是信息泄露之后谁该负责。


“企业保管的用户信息泄露了,它有没有受到了处罚并且对用户进行了赔偿?这应该是核心问题,该问题不解决,企业就会对信息泄露睁一只眼闭一只眼。”他表示。


对此,张威进一步解释道,对于企业来说,其目的是要盈利,而企业对保障信息安全的投入属于净支出,对盈利没有直接效果,所以从企业的角度来看,其对此类投入是抵触的。这样一来,企业在维护信息安全方面就缺少了驱动力,而这个驱动力就是外部的监督监管。


“泄露信息的源头很多都是来自于采集信息的企业。但目前的情况是,一个企业已经泄露的用户信息甚至因此对公民的日常生活造成了一定影响,而它并没有承担相应的后果,这才是信息泄露事件频发的根源所在。”在张威看来,用户信息泄露曝光之后,涉事企业最看重的是用户对此事的看法,企业增加多少投入去保护信息安全需要先评估此事对企业的影响。“假如泄露的不是公民的个人信息而是公司的财务信息,我相信企业会投入很大的资源去维护。”张威调侃道。