杭州警方破获非法买卖个人信息案

　　相信不少人都有这样的经历，买了房子，装修的短信就没完没了；买了新车，保险公司的短信就铺天盖地。这些短信的背后，是我们个人隐私信息的泄露。那么我们的个人隐私和信息到底是如何被泄露？如何被买卖的呢？日前，杭州警方破获一起侵犯他人个人隐私案件。

　　今年3月份，杭州市下沙经济开发区的一家快递公司的负责人发现，有人在网上公开买卖他们公司快递单上的信息，而且销售量还很大。

　　报案人李先生：因为这个面单信息我们是不允许，连收垃圾都不好卖的，卖废纸都不好收的应该全部是烧毁销毁的。再后来我们公司想了以后，应该是人家盗取的，因为数量也有一万多张，所以我们就报案。

　　上万条快递信息网上公开叫卖

　　接到报案后，杭州警方立即展开了调查，调查过程中办案民警发现，确实在一些公开的网络论坛和QQ群中，有人在大量兜售快递面单信息，这些信息以图片格式存在，面单上除了有快递编码之外，还详细地记录着收货和发货双方的姓名、手机号码、联系地址等个人信息。在进一步了解过程中我们发现，这些信息记录虽然十分详细，但是在网上销售的价格却非常便宜，一条记录有收货人姓名、手机号码、收货地址的所谓“有效数据”信息，卖家只要5毛钱。而如果有人愿意以“打包批发”的方式集中购买，一个包含上万条个人信息的数据包要价也不过几百元钱。

　　警方锁定嫌疑人落脚点实施抓捕

　　随着调查的不断深入，警方发现集中销售这些个人隐私信息的卖家网名叫“家有头猪”，经他手销售的个人信息不仅数量很多，而且更新也很快。经过调查，办案民警最终确认，这个网名叫“家有头猪”的嫌疑人姓莫，落脚点在海口市，于是警方立即赶往海口对这名嫌疑人进行抓捕。当办案民警找到这名嫌疑人时，他正在处理前一天刚拿到的快递信息，准备打包出售。在嫌疑人的电脑里，办案民警发现了大量已经打包好的个人信息，经过分析确认这些信息数据竟然多达1400多万条。

　　杭州市下沙经济开发区公安分局民警徐亦斌：1400多万条的信息，基本上都是生活中正常都在使用的联系电话还有住址，那么可以通过这个信息直接找到你，甚至有一些信息更详细一点的，直接说出你的身份证号码、你的工作单位、你的学历，家庭情况，小孩子这些它都能说的出来。

　　犯罪嫌疑人说，由于他销售的个人信息准确度高，而且价格又很便宜，所以在网上销路一直很好。

　　嫌疑人莫某：很多一买都是买上万条的，买上万条，他们做生意，就是比如很多那种都是搞什么电池，生产那种充电宝。比如你买了一个手机，那你是不是想要一个充电宝，他会打电话来推销他的产品，就是这样子的。

　　另外，这名这名嫌疑人说，他手头的个人信息之所以卖得好，还有一个原因就是这些信息都是新鲜信息。

　　嫌疑人莫某：新鲜嘛，比如隔了一个月，隔了一年，一年以后不知道您用不用这个电话了，现在买的这个，肯定是您在用这个电话嘛，对不对，然后他们出去就会说这个比较完整，比较新。

　　嫌疑人利用网站漏洞盗取海量信息

　　这么大量的公民个人信息，嫌疑人又是从哪获得的呢？在审讯过程中嫌疑人交代，他都是从一个网名叫“踏实做人”的人那里买来的。这个人手上的快递信息几乎每天都会更新，而且要价也相当便宜。

　　办案民警随即对这个网名叫“踏实做人”的嫌疑人展开的调查，然而让办案民警没想到的是，这个“踏实做人”竟然还是个在校学生。嫌疑人告诉记者，他卖的个人信息之所以非常便宜，是因为他获得这些快递信息非常容易，甚至可以说几乎没有任何成本。

　　杭州市下沙经济开发区公安分局民警徐亦斌：本身他是想做网络安全测试，想为自己今后找工作寻找一些便利，那么在这些测试过程中，他发现了物流公司或者是其他公司的一些安全漏洞。

　　[page]

　　部分网站存低级漏洞致信息泄露

　　办案民警在嫌疑人的电脑里发现，这里储存的快递公司信息不止一家，这名嫌疑人告诉我们，有的网站的数据库存在一些比较低级的漏洞，比如弱口令漏洞、上传漏洞等等，而这些漏洞就是他获取大量个人隐私信息的秘密通道。

　　嫌疑人：快递公司有个弱口令，弱口令就是一个很简单的密码，然后到那边之后可以进去它的后台，有些漏洞它很简单，但是没注意。

　　嫌疑人说，成功通过漏洞进入网站后台后，还需要上传一个后门文件，才能获取到数据库的访问权限。

　　嫌疑人：后门(工具)，后门可以控制整个网站。

　　记者：那你通过这个后门(工具)把数据库就能拖出来了是吗？

　　嫌疑人：对。就能拖出来。如果清楚这个漏洞，什么都清楚的时候，20秒之内就可以搞定，如果不知道的话，你可能20天都搞不定。

　　嫌疑人说，成功上传了这个文件，就相当于掌握了一把开启网站服务器后门的钥匙，有了这把钥匙就能获得超级权限，控制整个服务器。然后只要找到通往数据库的路径，就可以进入数据库导出自己需要的客户信息了。

　　为了能够持续利用这个后门拖取数据库里的信息，从而源源不断地获取更新数据，嫌疑人在成功植入后门文件后，还想方设法将这个文件隐藏起来，不仔细检查，会很难发现。

　　杭州市下沙经济开发区公安分局民警徐亦斌：他会做一个伪装，就是说他把上传进去的那个文件，修改文件创建时间，以及它的文件名修改的会和你系统里自带的那些文件名比较相似，也就是说你正常情况下是无法察觉的。

　　专家说，黑客通过漏洞登陆网站后台，上传后门工具，继而控制整个网站服务器，这个操作过程并不复杂，难的是如何在前期测试出网站存在什么样的漏洞，继而为己所用。然而在调查过程中，专家告诉记者，像弱口令、上传漏洞这样的漏洞其实很初级，但是也并不少见，甚至有些大型网站的后台登陆密码就是一个弱口令，而这样低级的漏洞一旦被黑客利用，网站的安全就会受到威胁。专家告诉记者，这些漏洞在实际操作中只要稍加注意其实是很容易就能避免的。

　　网络安全专家唐威：弱口令漏洞的话，我们就可以把这个网站的密码设置得复杂一点，并且要养成一个定期更改的一个机制就可以了。上传漏洞也是这样，我们把这个上传的这种接口给它封住，或者首先我要经过多层次身份验证以后，才可以实现这个操作就可以了。