2019-05-24
——通過非法手段,爬取正規招聘網站2億條用戶簡歷;
——把簡歷數據“打造”成公司產品,賣到不同行業領域,非法獲利過億……
記者從北京市公安局網安總隊獲悉,按照公安部“凈網2019”專項行動部署,北京警方近期破獲備受關注的巧達科技非法獲取計算機信息系統數據案,這家企業非法爬取用戶數據,數量之大、牟利之巨,令人咋舌,公司法人王某某等36人被檢察機關依法批準逮捕。
業內人士指出,近年來,大數據行業中數據造假,竊取、買賣公民信息等亂象頻發,不斷觸碰數據安全和法律底線,亟待加強治理、規范發展。
起底巧達科技“黑產”:最大簡歷庫全憑竊取
去年10月,北京市公安局海淀分局警務支援大隊接到轄區某互聯網公司報案稱,發現有人在互聯網上兜售疑似為該公司的用戶信息。根據這條線索,警方迅速開展調查,巧達科技(北京)有限公司非法竊取信息的犯罪事實逐漸浮出水面。今年3月,巧達科技被查封,涉案員工被警方依法刑事拘留。
公開資料顯示,巧達科技成立于2014年7月,號稱擁有中國最大的簡歷數據庫。這些簡歷信息等數據被用在教育培訓、保險、招聘等行業,為巧達科技帶來了大量收入。2017年,該公司全年收入4.11億元,凈利潤1.86億元。
然而,警方查明,與正規招聘網站的簡歷由用戶自己上傳不同,巧達科技的簡歷數據庫全部是通過非法手段爬取而來。“嫌疑人通過利用大量代理IP地址、偽造設備標識等技術手段,繞過招聘網站服務器防護策略,竊取存放在服務器上的用戶數據。”網安總隊辦案民警李文濤說,從不同網站竊取來的信息被重新合并、排列,重名或是信息不全的信息經過“再比對”后形成完整的簡歷和用戶畫像。
據悉,巧達科技非法獲取的簡歷超過2億條。基于這些數據,公司開發了“72招瀏覽器”,將其簡歷數據庫以13800元每年的價格賣給有需求的企業客戶,客戶就可以在瀏覽器上直接調取簡歷信息。
辦案民警介紹,在巧達科技竊取數據過程中,還因傳輸數據量過大導致報案公司服務器數十次中斷服務,影響上千萬用戶正常訪問,帶來嚴重的經濟損失。
行業發展頻頻“迷航”
記者梳理發現,從大規模數據竊取到“流量劫持”,從App超范圍信息收集到數據“殺熟”,大數據行業發展中暴露的問題給信息安全和公民隱私均帶來較大威脅。
2018年,浙江警方曾偵破一起大規模數據盜取案。警方查明,北京一家以新媒體營銷為主業的公司,與覆蓋十余省市的運營商簽訂營銷廣告系統服務合同,通過在運營商服務器中布置惡意采集信息程序,從運營商流量池中非法獲取用戶數據。案件中,犯罪團伙操控用戶賬號,進行微博、微信、QQ、抖音等社交平臺的加粉、刷量、加群、違規推廣,非法獲利,犯罪團伙旗下一家公司一年營收就超過3000萬元。
據阿里安全部《2018網絡黑灰產治理研究報告》估算,2017年,我國網絡安全產業規模為450多億元,而“黑灰產”已達近千億元規模,用戶信息泄露、網絡黑客勒索和電信詐騙等問題仍頻繁出現,圍繞互聯網衍生的“黑灰產”行業正在加速蔓延。
網安民警表示,隨著網絡“黑灰產”形成了專業化、精細化的產業鏈,除了利用大量數據違法變現,一旦掌握全面的用戶信息,不法分子就可通過精準的用戶畫像,實施精準的電信詐騙等多種犯罪行為。據統計,2018年,北京警方破獲的北京及全國電信網絡詐騙案件近1萬起,控制犯罪嫌疑人2000余名,同比分別上升30%和10%。
規范治理需多方合力
記者了解到,我國與大數據、個人信息保護相關的法律相繼出臺,對于數據保護制度化建設起到了積極作用。業內人士認為,治理數據行業亂象是一項系統性工程,除繼續制定完善有關法律規范外,還需要監管部門和企業共同努力。
中國人民大學教授孟雁北建議,在大數據權屬確定及行為規制方面,亟待構建一個更宏觀的系統化法律框架體系,以盡可能避免不同法律之間的沖突,在調整個人信息保護、大數據的運用及數據規制上,形成一個相對有機融合的法律體系。
北京市公安局網安總隊相關負責人表示,在下一步工作中,公安機關將堅持“打源頭、摧平臺、斷鏈條”的工作思路,依照網絡安全法、刑法等法律法規,認真履行公安機關擔負的職責,針對非法獲取計算機信息系統數據、利用信息網絡侵犯公民個人信息等違法犯罪行為,依法開展嚴厲打擊。
同時,警方提醒互聯網企業,在收集、存儲、使用用戶個人信息數據開展合法經營時,要嚴格按照國家法律法規,落實數據保護責任,采取必要的技術防范措施,確保用戶信息數據的安全。