“内鬼”作怪,你的信用信息竟然成了牟利工具
金融行业的“内鬼”屡屡作案,团队化案件的方式更加完善。一些“内外勾结”犯罪甚至可以建立一个全链条的犯罪团伙,从获取、交易到实现、非法使用个人信息。
文|樊朔
编辑|郭丽琴
由于犯罪产品升级和金融企业“内鬼”,个人信用信息这一高度敏感的信息被频繁泄露。
最近,北京市高级人民法院(以下简称“北京高院”)报告了一起侵犯公民信用信息的案件。
沈某利用就业方便,采用“撞库” 获取某银行个人信用信息系统账户密码,利用其大型国际信托有限公司与该银行之间的专线互联终端,多次非法登录该银行个人信用信息系统,查询下载存储他人信用信息报告100份。此前,沈某曾采用同样的犯罪手段,共查询并下载了1000多份存储他人信用报告。
根据北京高院的介绍,“撞库” 它是网络安全领域的一个概念,一般是指攻击者通过一些自动化工具批量向数据库网站的相关界面提交大量随机的登录名称/密码组合,记录可以成功登录的组合,窃取账号,为其他违法犯罪活动的实施做准备。
北京市高级人民法院党组成员、副院长孙玲玲透露,此类犯罪原因包括行业内的“内鬼”反复作案,团队化作案方式更加完善。“一些‘内外勾结’型犯罪甚至可以建立一个全链条的犯罪团伙,从获取、交易到实现、非法使用个人信息”。
《财经》试图通过采访案件当事人,整理相关司法文件,恢复依靠大量公民个人信用信息“喂养”的多条黑色产业链。
“撞库”获取个人信用信息
升级技术手段这是导致个人信息侵犯频繁发生的重要原因。
孙玲玲指出,随着“木马”程序、“静默”插件、“爬虫”软件等信息技术手段的广泛应用,技术升级迭代显著提高了非法获取信息的速度和规模。随意、快速地抓取信息数据,从而乱用、泄露的情况并不少见,而且很多知名的因特网公司也多次成为受害目标。根据统计,近三分之一的案件涉案公民的个人信息来自于技术盗窃。
根据交通银行国际信托有限公司(以下简称“交通银行国际信托”)前项目经理沈某于1987年出生,是上海人。他有研究生文化,分别于2018年2月5日和3月23日获得中国人民银行个人信用信息系统账户密码,通过中国人民银行与交通银行国际信托有限公司专线互联终端,非法登录中国人民银行个人信用信息系统(服务器位于北京市西城区),查询下载存储100份他人信用信息报告。
另外,在2013-2014年间,沈某采取了同样的作案手段,共查询并下载了1000多份存储他人的信用报告。
法庭最终判处沈某侵犯公民个人信息罪,判处有期徒刑一年,并处罚金400元。
根据《刑法》第二百五十三条,侵犯公民个人信息罪是指向他人出售或者提供公民个人信息,违反国家有关规定。情节严重的,处三年以下有期徒刑或者拘役,并处或者单独处罚;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。如果U2002违反国家有关规定,在履行职责或提供服务过程中获得的公民个人信息将被出售或提供给他人,则按照上述规定受到严厉处罚。公民个人信息被盗或者以其他方式非法获取的,按照第一款的规定进行处罚。
北京观韬中茂(上海)律师事务所合伙人吴丹君告诉《财经》,从信息泄露的数量来看,沈非法获得的其他信用报告数以千计。在2017年最高人民法院和最高人民检察院发布的《关于处理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,将信用信息纳入敏感信息,可以通过非法获取、销售或提供50条信用信息来犯罪。因此,本案涉及的信用信息数量巨大,具有典型性。
此前,沈某所在的交通银行国际信托也受到了个人信息的处罚。财经发现,2019年4月22日,交通银行国际信托未经同意查询个人信息和企业信用信息,被中国人民银行武汉分行罚款29万元。
《信用信息行业管理条例》第三十八条规定,信用信息机构、金融信用信息基础数据库运营机构因违法提供或者出售信息、因过错泄露信息等行为的,国务院信用信息行业监督管理部门或者其派出机构应当责令限期改正,对单位处以5万元以上50万元以下罚款;对直接负责的主管和其他直接负责人处以1万元以上10万元以下罚款;如有违法收入,没收违法所得。对信息主体造成损失的,依法承担民事责任;涉嫌犯罪的,依法追究刑事责任。
通过“撞库”获取个人信息的罪行并不少见。吴丹君说,“撞库”是黑客非法入侵系统的常用技术手段。
国际信贷巨头Transunion于2022年3月发表声明,确定其在南非的分公司服务器被称为N4WootySectu的巴西黑客组织非法访问。5400万人的个人信息(约占南非总人口的90%以上),包括联系电话、电子邮件地址、ID号码、家庭地址和消费者信用评分。
沈某的犯罪行为仍然属于个人犯罪,主观恶性低,且无扩散传播,无利可图。
据《北京晚报》报道,沈某的计算机技术非常好。在他询问的人中,有自己的亲戚朋友和一些社会名人。根据这些人的身份信息和公众设置登录名称和密码的习惯,沈某猜测自己的个人信用信息系统登录名称和密码是“碰撞数据库”的,并成功查询并下载并保存了100份其他人的信用信息报告。沈解释说,他查询并下载这些信用信息报告是“有趣”的。
沈某的辩护人是北京德恒律师事务所律师林杰。他告诉《财经》,沈某当时并没有以盈利为目的。下载后,他只在自己的电脑上保留了获得的信息,没有传播。它的心态只是为了证明自己的计算机技术实力,在对公共数据进行分析后,利用自己的专业知识进入系统进行撞库攻击, 但是进入系统之后,并没有对系统进行攻击或篡改。林杰认为,虽然他的行为本身违反了法律,但客观上揭示了网络系统存在的缺陷和漏洞,对后期的修复和加固起到了警示作用。
根据判决,辩护人认为,一方面,沈确实是非法查询,但并没有通过恶劣手段非法获取个人信息,主观恶性较低。另一方面,沈没有扩散和传播他获得的个人信用报告,没有任何利润,社会危害较低。最后,法院采纳了这些辩护意见,同时考虑到沈如实供述了自己的罪行,并在法庭上承认了自己的罪行和自责,从而从轻处罚。
犯罪团伙如何运行“全链条”?
除了沈某的个人犯罪,还有很多犯罪案件。个人信用信息通过金融企业的“内鬼”流出,成立了从获取、交易到实现、非法使用个人信息的全链条犯罪团伙。
据吴丹君介绍,就目前公布的信用信息泄露案例而言,内部员工泄露是近年来常见的一种方式。“内部员工更熟悉企业的规章制度和信息存储处理方法,部分员工有权查询个人信息,为其犯罪提供了便利。” 吴丹君说。
《财经》通过搜索相关案件的法律文件,发现多起信用信息泄露案件涉及信用信息的非法查询、交易和变现。
例如,北京银行也发生了一起信用信息被出售的案件,主要犯罪嫌疑人是其内部人员。
判决显示,2017年8月至2017年12月,吴某某在北京银行股份有限公司上海分行张江分行临时工作期间,仍协助诸某某、陈某某(另案处理)在明知诸某某、陈某某(另案处理)使用银行系统查询公民个人信用信息并向闫某提供费用的情况下,非法为闫某(另案处理)查询公民个人信用信息。并且通过电子邮件将查询相关信用信息发送给闫某。截至事件发生时,公安部门核实吴某某已向闫某提供830多条公民个人信用信息。截至事发,公安部门核实,吴某某已向闫某提供830多条公民个人信用信息。最终,法院判决吴某某侵犯公民个人信息罪,判处有期徒刑一年两个月,缓刑一年两个月,并处罚金4000元。
在多种情况下,也有金融企业内部员工使用信用查询授权书,非法查询公民信用信息,并且形成直接销售个人信息或者通过下游贷款业务获利的犯罪链条。
金融服务公司员工和银行内部员工在2019年深圳市中级人民法院审理的“王某华、黄某宁、谢某伟等侵犯公民个人信息罪”案件中,形成了非法查询客户信用报告,然后提供贷款业务的非法链条。
判决显示,2017年9月以来,某金融服务有限公司获得了大量客户的个人信息(包括姓名、贷款类型、贷款额度、贷款期限、联系电话等。)从他人处获得开发客户的贷款,并将信息交给了同一家公司的谢某伟和林某忠。谢某伟、林某忠分批将信息交给公司业务员,让业务员根据信息拨打客户电话,推荐客户贷款。如果客户有贷款需求,业务员会要求客户填写信用查询授权书。
通过事先建立的微信群,黄某宁、林某忠等人将授权书、身份证等材料的图片发送给一家银行的三个“内鬼”。三人查询公民信用报告后,将信用报告的图片发送给黄某宁、林某忠等人。黄某宁、林某忠等人根据收到的信用报告,为需要贷款的用户提供中介贷款服务,并根据最终贷款金额收取相应的比例点。2017年11月20日,深圳市公安局福田分局民警在深圳市福田区抓获黄某宁、谢某伟、林某忠,现场查获3282条非法使用公民个人信息。
在辽宁省抚顺市中级人民法院2019年审理的“邹某某、周某某侵犯公民个人信息案”中,7名被告形成了以某融资担保公司信用信息泄露为中下游的非法交易。
判决显示,2017年以来,中间人邹某某利用上游非法渠道提供的微信等软件账号名称和密码,非法获取黑龙江银鼎融资担保有限公司5000多条个人信用信息并出售给罗某等人,非法获利2万余元。
作为犯罪链的下游,从2015年开始,李某利用微信等软件非法获取上述1000多条个人信用信息,并出售给王某等人,非法获利1万余元。
最后,邹某某、李某、罗某、王某因侵犯公民个人信息罪被判处有期徒刑四年、三年、六个月、三年、两个月、一年、八个月;他们被罚款2万元、1万元、1万元、3000元,并被继续追回一些违法行为。其中,邹某某、李某、罗某被认定情节特别严重。
信用信息泄露也催生了多层次犯罪团伙和链条更加复杂。
2019年,江苏省淮安市警方依法打击7家涉嫌侵犯公民个人信息犯罪的公司,1亿多条涉嫌非法缓存公民个人信息。其中,a股上市公司拉卡拉支付有限公司旗下的考拉信用信息服务有限公司(以下简称“考拉信用信息”)涉嫌非法提供9800多万次身份证返回照片,盈利3800万元。经调查,考拉信用信息从上游公司获取界面后,非法出售查询界面,非法缓存公民个人身份信息,供下游公司查询牟利,导致公民身份信息大量泄露,包括身份证照片。
考拉征信只这是侵犯公民个人信息犯罪链条的一部分。
据警方称,其中,北京黑格科技有限公司在从考拉征信等四家公司购买查询界面后,开发了“身份验证返照”业务端口,提供给湖南九象信息有限公司等下游公司。湖南九象信息有限公司开发了一个黑色爬虫网站,通过爬虫软件非法获取数十家小额贷款公司的公民贷款和逾期数据,然后公开提供收费查询,并提供北京黑格科技的“身份验证返回照片”业务。付款后,任何人都可以通过在网站上输入公民姓名和身份证号码来查看获得公民身份证的照片。
此后,广州诺涵科技有限公司基于湖南九象信息有限公司提供的公民个人信息,不仅出售公民个人信息,还进行小额贷款和软暴力催收。是一个组织严密、分工明确、涉案人数众多的犯罪团伙。此外,广州诺涵科还开发了爬虫云等软件,用于公司贷款和非法销售以获取公民个人信息。
如何堵塞泄漏漏洞?
面临着“撞库”等技术手段,以及金融企业“内鬼”频繁发生的个人信用信息泄露情况,该如何应对?
孙玲玲指出,监管系统仍然需要完善,避免信息流失乱用的系统功能还不够,超范围收集、使用等一系列问题仍然比较突出,特别是面对格式条款、“一揽子”使用协议,公民寻求帮助的途径、方式不明确,难以高效、有力地维权。
中国人民银行《信用信息业务管理办法》第三十七条规定,信用信息机构应当严格限制公司内部查询和获取信用信息的工作人员的权限和范围。信用信息机构应当保留工作人员查询和获取信用信息的操作记录,明确记录工作人员查询和获取信用信息的时间、方法、内容和用途。
吴丹君告诉《财经》,金融企业可以从管理和技术两个方面控制内部员工的行为:
建立信用信息合规管理机制,加强必要的合规教育和培训。金融企业需要对现有的制度方法进行整理、修改或补充,密切关注本行业出台的信息保护规则,及时整改,将外部监管规则落实到具体的管理制度中,填补制度上的不足,并通过双重监管方式向当地监管机构备案,加强对员工的管理。同时,要建立自查自纠的工作机制,定期对员工的信用信息操作进行内部合规和审计,加强直接责任人、管理人员和监督人员的职责,提高管控效率。
从技术上讲,金融企业需要加强数据安全防护技术的升级,利用最新的防火墙,针对不同的攻击方式,构建相应的入侵检测模式,改进安全防御模式。同时,监控内部员工对数据的异常收集。在制度上,加强对内部员工操作权限的监管,不能正式审核业务,防止内部员工滥用职权。
上海华诚律师事务所高级合伙人吴月琴表示,金融企业信用信息系统除了内部员工的疏忽、恶意行为或技术缺陷可能导致数据泄露外,还面临以下问题:
(1) 信用调查人员缺乏风险防控和合规管理理念。部分征信人员对“最小授权”、“专人专用”、“人户统一”等原则没有落实到位,存在长期未使用账户、检测客户、一户多用等情况。
(2) 缺乏信用信息安全技术保障措施。黑客入侵、恶意程序等黑客攻击可能会导致敏感数据泄露;与供应商或第三方共享信息也可能存在数据安全漏洞;身份认证措施不完善可能导致虚假账户开立等欺诈行为。
(3) 目前,一些金融机构的信用信息系统操作日志只能记录查询账户,不能定位更多关于违规查询所用设备和IP地址的信息。作为保证信用信息安全的重要手段,信用信息查询前置系统通过防控检查和后续内部监控管理来保证信息安全。但很多金融企业往往在资金有限的情况下“重业务、轻合规”,不愿意投资信用信息查询前置系统。
吴丹君说,金融信用信息系统在与第三方合作过程中数据传输的泄露,以及合作伙伴的故意或疏忽造成的泄露,也是一大风险。金融企业要注意完善第三方合作管理模式,包括提前调整第三方机构合规能力、签订数据保护协议、监控合作流程、项目结束后删除数据等。
今年6月,国家金融监督管理总局办公厅向中国银行业监督管理局、银行保险公司发布《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》),要求银行保险公司对比通报问题,深入调查供应链隐患,有效加强整改。根据《通知》,近日,部分银行保险公司外包服务提供商发生多起安全风险事件,对银行保险公司的网络、数据安全、业务连续性产生了一定影响,说明银行保险公司在业务外包管理中存在突出风险问题。
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com