信息安全保护如何上紧锁？

盗窃近两万条培训机构学员信息,倒卖给诈骗团伙

嫌疑人获刑9个月缓刑一年

使用弱口令密码,甚至是初始密码储存学员信息

培训机构“保护不力”被罚款

“黑客”窃取近2万条培训机构学员信息,以1380元的价格倒卖至境外诈骗团伙,学员陆续接到以“机构退费”为幌子的诈骗电话……是“黑客”技术高超,还是机构对公民信息保护有疏漏?昨日,厦门市公安局网安支队民警现场向媒体揭秘案情,提醒全市企业切实履行网络和数据安全保护义务,采取有效的安全防护举措,不让信息安全大门“虚掩”,防止“黑客”有机可乘。

【案件】

“黑客”入侵办公管理系统

学员老师均接到诈骗电话

2023年2月底,多名在厦门某教育培训机构学习的学员表示,接到自称是该机构工作人员的电话,对方能准确说出学员的学科信息、缴费情况、课程进度等,并称“机构近期将闭店升级,会陆续清退学费”,如有学员表示配合的,对方就拉起一个群聊,进而实施诈骗。起初,学员们有的认为是机构的续费营销电话,有的认为是偶发的诈骗电话,并没有当一回事,但该机构的员工(老师)也陆续接到类似的诈骗电话。

厦门网警随后介入调查,发现该教育培训机构办公管理系统被“黑客”入侵,系统数据被窃取、泄露。网警通过数据分析、日志研判、循线追踪,很快锁定犯罪嫌疑人。3月29日,厦门警方赶赴吉林通化,将犯罪嫌疑人朱某某(男,33岁,吉林通化人)抓获,现场查获银行卡、笔记本电脑、手机等作案工具。

经查,犯罪嫌疑人朱某某利用系统漏洞,非法入侵该教育机构的办公管理系统,窃取近2万条包含学号、姓名、手机号、身份证号等内容的学员信息数据并售出,从中获利1380元。

“该犯罪嫌疑人自学黑客技术,针对企业存在网络安全漏洞的信息系统进行非法入侵。”思明分局网安队二级警长郑江锰介绍,该犯罪嫌疑人自2022年12月开始实施犯罪行为,但很快在2023年3月被厦门警方控制。

【分析】

1

侵犯公民个人信息

要负哪些责任?

嫌疑人被判刑九个月,缓刑一年

并处罚金四千元

8月11日,朱某某犯侵犯公民个人信息罪,被思明区人民法院判处有期徒刑九个月,缓刑一年,并处罚金人民币四千元,没收全部非法所得。目前,购买信息的违法人员正在进一步追查中。

厦门公安提醒,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,否则将依法予以行政处罚;构成犯罪的,将依法追究刑事责任。

据了解,3年来公安部部署全国公安机关开展“净网”专项行动,严打侵犯公民个人信息违法犯罪活动,锚定行业内部泄露源头,重拳打击行业“内鬼”,共抓获电信运营商、医院、保险、房地产、物业、快递等行业“内鬼”2300余名。从目前公安机关侦破的案件来看,侵犯公民个人信息犯罪主要有以下三大环节——

谨防侵犯公民个人信息犯罪三大环节

信息获取环节

犯罪分子通过黑客技术、内鬼、App非法采集、骗取或收买等方式,非法获取互联网上即时通信、电子邮箱等应用软件传输的个人信息,政务、商务、社交等网络平台存储的个人信息,行业内部信息系统搜集的个人信息和公民持有的个人信息。

信息倒卖环节

非法获取的公民个人信息,接下来会流转到信息买卖中间商手中。他们有的打着行业信息交流的旗号组建即时通信群组,自称为“查档”中介,根据客户需求倒卖公民个人信息;有的在互联网上搭建售号平台,倒卖微信、QQ、微博、小红书、抖音等各类网络账号,通过低买高卖赚取差价。

下游犯罪环节

非法获取的信息最终用途,一方面是为网络水军、网络洗钱等犯罪活动提供银行卡、虚拟身份等物料支撑;另一方面是为电信网络诈骗、敲诈勒索等提供精准靶心。整体来看,侵犯公民个人信息已成为大量涉网违法犯罪的上游犯罪。 (据人民网)

2

教育培训机构

是“无辜的受害者”吗?

使用初始密码储存学员信息

培训机构须负责

网安部门在对网络违法犯罪案件开展侦查调查工作时,将执行“一案双查”制度,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。任何组织和个人都要切实履行好网络安全保护义务和数据安全保护义务,采取有效的安全防护措施确保网络和数据安全,对不履行网络和数据安全保护义务等行为的组织或个人,有关主管部门将依法予以相应的行政处罚;构成犯罪的,将依法追究刑事责任。

本案中,根据“一案双查”工作制度,厦门市公安局网安支队指导思明公安分局网安队同时启动对该教育培训机构网络安全义务履行情况的监督检查。也就是说,公安机关依法进一步核实,教育培训机构是否只是“无辜的受害者”?

显然,该教育培训机构也要为顾客的个人信息泄露负一定责任——网安支队监督检查发现,该教育培训机构未落实数据安全保护主体责任;未建立人员安全意识教育培训及责任追究制度;未采取信息系统防病毒、防网络攻击等技术措施,存在未履行网络安全保护义务的违法行为。

“我们检查发现,该教育培训机构储存个人信息的系统密码存在两个通道,其中一个通道的密码为弱口令,甚至是初始密码。” 网安支队第一大队大队长崔磊打比方:如果说,“黑客”相当于一个盗窃犯,而系统密码就相当于门窗,弱口令等于门窗只是虚掩着,盗窃犯轻轻一推,就可以登堂入室,随意窃取信息。“我们建议不仅要使用强口令,更要为核心信息加密,将核心信息放入一个‘保险柜’,进一步做好保护。”崔磊说。

根据《中华人民共和国网络安全法》第二十一条、第五十九条第一款之规定,警方依法责令该教育培训机构在规定时间内对网络信息系统存在安全漏洞进行调整,并依法处以罚款1万元;对直接负责的主管人员侯某某处以罚款5000元的行政处罚。

法律链接

《中华人民共和国数据安全法》第四十五条:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

【数据】

据悉,今年来,我市公安网安部门按照上级工作部署,深入开展“净网2023”专项行动,切实维护网络安全,有力推进互联网治理工作,侦办破坏计算机信息系统、侵犯公民个人信息等刑事案件140起,抓获犯罪嫌疑人164人,对网站、信息系统、App等开展网络与数据安全监督检查1262家次,督促整改中高危漏洞5324个,办理违反网络安全类行政案件119起,屏蔽过滤违法有害信息共计33.7万余条,关停网络账号26.4万余个。

【提醒】

增强保护意识

遵循“四不”原则

不点击来源不明的链接

不安装来路不明的软件

不扫描没有安全保障的二维码

不在陌生链接中填写个人信息

本版文/本报记者 柯恺筠

通讯员 厦公宣(除署名外)

（编辑：马慧彬）