《新聞1 1》2016年10月10日完成臺本
——到底是誰竊取著我們的信息?!
(節目導視)
解說:
公安部督辦,25地警方聯動,200多人落網,一起特大侵犯公民個人信息案告破。
瀋陽市刑偵局11.11專案辦案組民警孟慶輝:
信息種類,涵蓋我們應該所知道的所有的(公民個人)信息種類。
解說:
內部人士出賣公民信息獲利,買賣公民信息的黑市在網際網路平臺隨處可見。
孟慶輝:
公民的開房記錄、航班記錄,包括涉及到電信部門的手機定位,這些信息都能掌握,令我們很吃驚。
解說:
機構網絡,黑客能夠輕易入侵,通訊運營商、銀行成為個人信息洩露的重點。
爆料人老徐:
5分鐘我就能搞到1000個這種信息,包括卡主的姓名、卡號、身份證、電話號碼,還有他的銀行密碼。
解說:
《新聞1 1》今日關注:到底是誰竊取著我們的信息?!
演播室主持人白巖松:
您好觀眾朋友,歡迎收看正在直播的《新聞1 1》。
在剛剛過去的這個十一黃金周當中您被騙了嗎?估計可能好多人舉手了,但是也有相當多的人不舉手。那好了,我再換一個問法,您是否接到了騙子發給你的這個簡訊,或者說詐騙的這種信息,您只不過是沒上當而已,我估計可能百分之百的人都快舉手了,沒辦法,只有現在我們的手頭有一個手機,平常除了跟親朋好友聯繫之外,就是跟騙子鬥智鬥勇了。那整十一黃金周期間騙子們得有多忙呢?來,我們看兩條信息。
第一個這是10月1日到7日360手機衛士識別攔截各類騷擾詐騙電話多少呢?10.4億次,幾乎平均每人一次了,這僅僅是360這塊,然後什麼是高峰呢?上午9到12點,這也是人上班時間,剛上班的時候熱情比較高,佔比約全天的20%,平均每天要攔截越1.5億次。接下來同樣是這七天,這是騰訊的手機管家,然後標記,就是用戶標記,主動的舉報了騷擾電話2.3億次,其中標記了詐騙電話是6500萬次,恐怖片吧,然後也是上午9點到11點是詐騙簡訊最活躍。看完這樣兩組數據的時候,約莫、大概你就知道整個十一黃金周的時候,人家騙子是一點沒休息,非常敬業。我的一個同事接到了騙子電話,後來跟這個騙子吵起來了,沒隔不久騙子給他發了個簡訊,說我們這也是一份工作,你們北京人太沒素質了,弄我們不知道該哭,還是笑。
好了,十一黃金周剛結束,今天晚上的《新聞聯播》不知道您看了嗎,《新聞聯播》當中有這樣的一條,還很長的新聞,25個省市自治區的警方聯手剛辦完了一起特大買賣個人信息的案件,那除了平常的什麼身份證號等等,司空見慣,那都不算個事了,其中有幾個讓我感到是觸目驚心,不僅包括著銀行的卡號,還包括您的密碼,還有開房記錄,以及你的訂票、訂航班的記錄,甚至包括計時的你的手機移動攔擊的信息,也就是說你現在在哪兒都能夠買賣到,聽完這樣的信息,你怕了嗎?來,咱們一起看一下。
(播放短片)
解說:
25個省市區公安部門聯動,201名犯罪嫌疑人落網,42個信息洩露源頭被剷除。昨天公安部官網公布了「2015.11.11」買賣公民個人信息犯罪專案告破的消息引發關注。
公安部刑偵局副巡視員陳士渠:
2015年11月份,瀋陽公安機關在工作中發現有人通過微信和QQ大肆販賣公民個人信息,這個情況上報到公安部之後,公安部把它確定為一起專案,要求瀋陽公安機關來立案偵查。
解說:
事情的起因是在今年年初瀋陽的高女士,人沒去外地,銀行卡也就在身上,但她卻發現卡裡的錢被外地人取走了。
記者:
您這個卡除了您以外,還有誰知道密碼?
受害者高女士:
沒有,就我一個人知道。
記者:
只有您一個人知道?
高女士:
對,一直在我的手中,都沒離開過我。
解說:
高女士是想不明白,銀行卡信息和密碼到底是怎麼洩露出去的,實際上今年4月份,一名爆料人就曾披露在網絡空間裡存在著一個龐大的買賣公民個人信息的黑市。
爆料人老徐:
這種信息其實在黑市裡很容易搞到的,我用5分鐘我就能搞到1000個這種信息,包括卡主的姓名、卡號、身份證、電話號碼,還有他的銀行密碼,這都不是問題,只有5分鐘1000個都沒有問題。
解說:
而老徐披露的這個黑市也早就引起了警方的注意,隨著調查的深入,警方發現犯罪分子獲取的公民信息數量之過,範圍之廣,遠遠超過了預想,此外一些只有警方能夠查到的,涉及到公民隱私的敏感信息在黑市裡竟然也能輕鬆買到。
孟慶輝:
公民的開房記錄、航班記錄,包括涉及到電信部門的手機定位,這麼說,公安可以掌握這些信息,也可以查到這些信息,但我們需要多個部門合作,多警種合作,但一個人通過網際網路平臺,他把這些信息都能掌握,令我們很吃驚,說實話很吃驚。
解說:
此次案件的偵辦主要以瀋陽警方為主,僅僅是瀋陽警方就有200多名警力參與,鎖定了國內9個規模較大的開買公民信息的犯罪集團。
瀋陽市公安局副局長鄧萬宏:
攻堅最難的有兩個階段,一是調查取證,因為犯罪嫌疑人在作案的時候都是秘密地進行的,都是通過幾層的關係,幾層網;第二個難度在哪兒呢?整個的案件是跨省的,跨省區域的案件,所以說它的難度比我們瀋陽市內的偵查案件相對增加了非常大的難度
解說:截至目前,經初步查明,涉及該案的侵犯公民個人信息犯罪團夥有信息洩露源頭,一級代理商、二級代理商,下遊代理商和客戶多個層級組成,各團夥既獨立形成上下線,又相互交叉,形成聯繫密切的犯罪集團。信息洩露源頭相對獨立,但同時又為多個信息販賣代理商提供信息,代理商通過建立微信群、QQ群買賣信息。
白巖松:
一想到你的銀行的密碼人家都能買到,我覺得後背都發涼了,那我們來看看這次特大,就是買賣個人信息的案件它的一些數據和特點,首先參與部門請注意是公安部組織,然後遼寧、四川等25個省區市的公安機關統一行動,抓獲的數量,共抓獲犯罪嫌疑人201名,今天有人看到這201名數字的時候順口來了一句「全斃了得了」,但是不行,依法治國,該怎麼判怎麼判,但問題是在目前這個時代下買賣個人信息量刑還是有些輕。剷除源頭42個信息洩露的源頭,摧毀團夥多少個?9個。信息種類就不要說了,民航、銀行上網,你想想連手機定位,你的密碼,開房的記錄,這該是過去公安,而且公安一個人還掌握不了,它得是辦案子的時候很多部門合作才能夠拿到,多嚇人。
好了,接下來我們要連線一位全程參與了案件偵辦的公安部刑偵局副巡視員陳士渠。
(電話連線)
白巖松:
陳局您好。
公安部刑偵局副巡視員陳士渠:
您好。
白巖松:
首先其實讓人吃驚的先是這個公安部來統一的這個指導,然後25個省市自治區公安部門要參與其中,這意味著什麼?是否也在反映著犯罪的某種特點?
陳士渠:
對,他是9個犯罪團夥,他的犯罪團夥的成員是遍布25個省直轄市和自治區的,所以在公安部的統一指揮下,這25個省自治區和直轄市的公安機關統一開展了這個調查和抓捕的行動,才摧毀了這些團夥。
白巖松:
那意味著這25個省市自治區他們單獨成立,同時也有橫向聯繫是嗎?
陳士渠:
對,因為現在買賣公民個人信息好多是通過QQ和微信進行的,實際上犯罪團夥成員他遍布不同的省,並不影響他進行這種買賣的交易。
白巖松:
接下來一個其實讓人後背發涼的就是突然,原來以為只是銀行的卡號被人家弄走了,現在連密碼都弄走了,開房記錄、訂票信息,甚至手機定位,那像這種有的時候,我們說這是公安辦大案的時候幾個部門合作才可能得到的信息,現在也得到,他在給我們提什麼樣的醒?而這樣的行為是否應該更加重判?
陳士渠:
它這裡邊實際上是兩方面的因素,一方面確實有些單位和有些企業,它只收集了信息,不重視這個管理,給了一些犯罪分子可乘之機,尤其是有的行業,有些內部人員把這些信息賣出去的。另外一方面就是有些單位和這個企業,它的信息系統非常脆弱,一個水平並不高的黑客就可以攻進這個系統,把相關的信息拿走,這兩種情況是導致當前公民個人信息洩露比較嚴重的原因。
白巖松:
另外接下來可能是,剛才我在節目一開始的時候給大家通報了十一黃金周這七天裡頭,僅僅是360和騰訊加起來就奔13億次,就是這個詐騙的這種信息了,那在這麼大量,而且不見收手的這種情況下,您覺得這次偵辦完的大案之後,給我們提供了怎樣的一種借鑑,今後是否還要靠這樣的大案去打?還是日常,包括法律變得更加嚴格等等。
陳士渠:
因為這個侵害公民個人信息犯罪它危害十分的嚴重,當前又處於多發的狀態,所以首先公安機關會繼續保持這種高壓的態勢,不間斷的組織打擊行動,通過打擊來震懾犯罪。另外我們也希望相關部門要儘快完善公民個人信息立法,明確界定像公民個人信息收集方、保管方和使用方的權利義務和法律責任,強化對信息系統的安全防護,完善相關的規章制度,切實保障公民個人信息安全,這樣打防結合才能解決這個問題。
白巖松:
好,非常感謝陳局給我們帶來的解析,謝謝。接下來我們就透過這樣一個特大的買賣個人信息案件去詳細的了解一下我們的信息到底是被給弄走了?
(播放短片)
犯罪嫌疑人張某:
20到50(元)一條。
記者:
20到50(元)一條,信息都包括什麼呢?
張某:
就是起飛時間、地點、航班號。
解說:
張某是中國民航信息網絡股份有限公司,也就是通常簡稱的中航信的機票代理商,中航信是民航集團旗下的信息系統,可以說是航班信息的總後臺,而作為中航信的代理商,張某有機會接觸到航班信息。
張某:
中航信它給你一個大的帳號,這個大的帳號可以分好多小的帳號,小的帳號還可以再分小的帳號。
記者:
那它可以分多少個?
張某:
沒有限制
記者:
那這些小帳號權限都是一樣的嗎?
張某:
權限都是一樣的。
解說:
中航信系統的軟體是一套開放的軟體,任何人都可以下載,下載安裝之後,只要有登陸帳號就可以訪問中航信的資料庫,中航信通常只會發給經銷商一個帳號,但是經銷商可以通過某種軟體分出若干個登陸帳號,而張某就是借著自己身份上的便利,通過分號軟體把公民的身份證號、航班信息等賣了出去。
記者:
你們業內或者你聽說過別人因為放小號被處罰或者被封號嗎?
張某:
沒有,沒有,沒有,從來沒有過。
解說:
監守自盜,內部人員洩露公民信息,這樣的案例不僅發生在民航業,在通信、銀行等行業也有著類似的現象,徐某曾是江西贛州農業銀行的員工,在黑市中他專門出售客戶銀行帳戶信息。
犯罪嫌疑人徐某:
查的是銀行卡卡號,還有銀行卡餘額,還有預留手機號碼可以查。
記者:
全國的銀行卡號都能查?
徐某:
對,只要在銀行系統裡都可以查到。
解說:
徐某將客戶信息以每條60到90元的價格出售,半年獲利近三萬元,實際上銀行的日常操作都有一定的規律,如果能夠從機制上堵住漏洞,也能夠防範銀行員工洩露客戶信息。
徐某:
主機上應該(重點監控),查詢得特別多的(員工帳號),爆發式、井噴式那種(查詢),一天可能正常的話查六七個,但是你每天,每天查詢二三十個,四五十個,這方面如果從一開始就抓,應該也不會出現這種事情。
解說:
而在近期一些暴光的涉縣出售個人信息的案件中,還有其他行業的內鬼,比如河北安定新安縣交警大隊的協警人員利用職務之便,登陸公安機關的辦公系統,「公共運輸管理綜合應用平臺」出售他人車輛信息,駕駛人信息,獲利五萬餘元,涉及近兩萬名市民的個人信息被洩露。
公安部網絡安全保衛局副局長張宏業:
下一步公安機關將繼續加大對侵害公民個人信息犯罪活動的打擊力度,重點打擊販賣、竊取非法利用環節,同時將督促容易造成公民個人信息洩露的各個環節加大自查自糾的力度。
解說:
據統計自今年5月全國公安機關打擊整治網絡侵犯公民個人信息犯罪以來,截至9月21日共抓獲犯罪嫌疑人3300餘人,其中包括行業內鬼270餘人。
白巖松:
你看中國們早就說過一句話,叫「家賊難防」,不管這是多久多久之前說過這樣一句話,放在今天網際網路時代,依然好使,只不過換成叫「內鬼」。我們來看看,4月份剛才短片也有了這個數據,專項這種打擊,抓獲犯罪嫌疑人3300人,其中抓獲銀行、教育、電信、快遞、證券、電商網站等行業的內鬼,內部人員就達到了270多人,而且特別讓人憤怒的,你想想是他賣一個信息可能60、90元,或者怎麼怎麼樣,但是一轉身騙人可能就幾百萬,甚至有人可能就自殺了,就死了,他在這掙的是幾十塊錢,但是產生了一種乘法效應,這種惡就不斷的以乘法的方式懲罰著整個社會,這簡直是太糟糕了,我們又該如何懲罰這樣的內鬼?接下來馬上連線中國網絡空間安全協會的副理事長杜躍進。
(電話連線)
白巖松:
杜理事長您好。
中國網絡空間安全協會的副理事長杜躍進:
您好。
白巖松:
首先我們抓到了這樣的一個內鬼,但是抓到內鬼的時候還是一種個人他會得到法律的懲處,但是內鬼所在的這個單位是否也應該承擔一定的責任,這樣的話他才能感受到一定壓力?
杜躍進:
這個東西要兩方面看,首先單位肯定要有一定的責任的,但是呢,也要看具體的情況,因為在國外有一種做法就是擔心這個單位會故意隱藏這個情況,所以有些情況下會有免責,就是這個單位主動的發現這個情況,並且上報出來,要免責,否則的話大家都捂著這個事情反而是更不好的。
白巖松:
那接下來的時候,可能就面臨,比如公安在打擊的時候,辦這樣一個大案,我們能看到其實也非常非常難,但是現在有點防不勝防,僅靠公安的話勒緊這個口袋是非常艱難的,需要相關的部門應該做一些什麼呢?
杜躍進:
這個問題非常好,其實這個裡面是要有方法的,比如說今天片子裡講到的很多事情,方法到位的話很多都是可以發現的,比如說我們現在正在往外推出一種叫「數據安全成熟度的模型」這樣的概念,它是基於我們在過去的經驗的基礎上提煉稱國際、國家的行業標準,就是解決這個事情的,企業他自己能夠有一套方法來及時發現自己是不是有內鬼在做這樣的事情,同時也可以讓監管部門用它來衡量一個企業,或者任何一個部門,它的數據安全是不是保護的足夠好。
白巖松:
也就是用技術的方式解決您剛才在回答第一個問題的那種擔心,如果你的壓力壓的太狠的話,它可能就捂著,現在有了這種更好的基礎監管,它又得主動的去防範,同時又沒法捂。
杜躍進:
對的,技術加管理,它要先做到位,做到位的情況下,因為安全是沒有百分之百絕對的,你做到位的情況下,再出現事情它主動上報是免責,但是沒做到位的話,企業應該有責任。
白巖松:
好,一會兒問題繼續向您請教,接下來我們要關注的是其實在內鬼的同時,也有很多外鬼在想辦法,什麼叫外鬼呢?打有網際網路之後,這個黑客一直就伴隨著它,而且有些黑客還自己以「英雄」這種方式來標榜自己,但其實也給很多的普通人帶來了非常大的侵擾。來,我們就看看我們的個人信息與很多黑客行為之間的關係。
(播放短片)
解說:
網上購物、發紅包、訂機票,當我們享受著網絡給予的便利時,我們的隱私信息也正在被非法分子利用,而那些含有大量身份信息的網際網路網站,往往因為自身的漏洞而成為數據洩露的主要源頭。
記者:
入侵到哪些網站?
犯罪嫌疑人楊某:
入侵到像疾病預防控制中心這個系統,免疫規劃管理系統,一般新生兒(資料)都是(在這裡),基本上有些網站也是他們(詐騙團夥)發給我,他們說這種網站裡有我們要的資料,我們就開始自己入侵。
解說:
楊某今年21歲,他從小迷戀網路遊戲,初中沒有畢業就已經輟學,輟學後他開始自學電腦網路知識,2015年年初楊某開始攻擊相關政府部門的網站,非法獲取個人信息,並在網絡上進行售賣,而楊某入侵政府網站所獲取的個人信息被犯罪團夥掌握後再實施不同的詐騙方案,包括發放殘疾人補貼、新生兒疫苗補貼和汽車退稅等等。
駐馬店市平輿縣公安局刑警大隊中隊長劉峰:
他們行騙的步驟基本上分為三步,第一個人也就是第一個打電話的,他首先是冒充政府職能部門(人員),先把你的姓名、身份信息告訴你,讓你不要有太大的戒備心理,然後告訴你去和哪個部門再聯繫。
解說:
近年來以披露的網上信息洩露事件中,包括英語考試報名網站、旅遊網站、快遞網站、航空公司官網等等,他們大都是由於系統漏洞而導致大量用戶定單信息洩露,而目前有很多的政府、企業和個人網站由於沒有足夠力量組建專業安全團隊,缺乏專業的修復建議和修復驗證機制。
白巖松:
其實有網際網路開始就有黑客的這種存在,但是也有很多黑客不一定達到了非常非常高的水準,但卻可以攻擊很多含有我們個人信息的,甚至是官方的網站,這樣的網站是不是整個安全的保護也太脆弱了,等於是把我們全洩露了。好,接下來繼續連線中國網絡空間安全協會的副理事長杜躍進。
(電話連線)
白巖松:
杜理事長您看剛才我也說了,有些黑客也許水平並沒有達到很高很高的水平,但卻可以攻進很多的這種,夾帶著,隱藏著我們很多個人信息這樣的一種官方網站,那這些官方網站究竟是它不重視呢?還是技術能力不強?還是意識?還是很多方面?您怎麼看待這樣一個問題,是不是太脆弱了?
杜躍進:
確實是非常脆弱的,脆弱的原因我覺得您剛才講的三個都有,我們只要看一看投入就知道了,中國現在大概有超過450萬家網站,但是有多少個網站,它有足夠的安全設備,安全人員和運維的人員來防護它們,這些網站散在各個地方,黑客只需要找那個防護最差的就容易了,就可以了,非常非常多。
白巖松:
如果說前一段時間是蘿蔔快了不洗泥,網際網路剛進入中國沒多久,大家快速的發展,但是到現在已經引起全社會高度的這種重視,而且一個悲劇又一個悲劇接連發生,您覺得在這個時候要用什麼樣的一種力量,得讓這些網站把這個安全的門關緊?
杜躍進:
一個是確實要在法律的層面,要讓這些網站知道,它手裡的數據是要承擔責任的,它要敬畏手裡的數據,如果它在這個安全的能力上面,完全達不到一定的要求的話,其實它不應該來把這個網站放到自己手裡,它應該放到一個比較更安全的一個公共環境,比如說可靠的「雲」上面,更有好的力量保護它安全才可以,我覺得必須要這樣做才可以避免隨便一個什麼人就搞一個網站,隨便一個產品就收集個人信息,但是完全不去保護這些信息。
白巖松:
杜理事長其實在做這期節目,我們《1 1》已經做了很多期關於個人信息的這樣一個節目了,但是在做的過程中就感覺其實有些東西在變本加厲,進入網際網路時代,我們仿佛很多事變的更加便利了,但是每天需要我們真實個人信息要提供的越來越多,您覺得接下來在這個領域有沒有一些方法能夠讓我們變的更安全一點,否則這樣的話簡直防不勝防。
杜躍進:
其實是有方法的,一方面現在有些地方採集信息是一些沒必要的信息在採集,有一些地方是我們簡單化的要求做什麼事情都全部實名,太多的沒必要的信息提供給服務商了,實際上在技術上是一種辦法,能夠說儘量減少你不必要的信息洩露出來,但這個工程量比較大,這是我想說的第一點。第二點,其實還應該強調,在今天的網際網路領域裡面,大家不是說某個單位做好數據安全就可以了,我形象的比喻,把它叫「豬隊友」,因為別人家數據一洩露,可能就導致把你自己這邊繞過去了,所以整體的安全水平比較要提高才可以的。
白巖松:
好,非常感謝您帶給我們來的解析,其實聽著會有一些希望,但是還需要的是儘快的落實,我們才會安全一些。