近日,“运营商内鬼偷取公民信息非法获利8000万”引发关注。南都记者注意到,近年来,内部人员窃取客户信息,偷开、倒卖账号事件并不鲜见,被出售并用于从事网络犯罪的公民信息高达数百万条,涉事金额至少在百万元以上。

为何公民信息遭运营商“内鬼”偷取事件频频发生?如何解决?有专家表示,运营商“内鬼”往往是企业外部黑产的重点围猎对象,被“拉下水”的几率很高。专家建议,公司应明确个人信息分级分类的权限,特别要对批量化的导出下载等敏感事件进行预警,避免公司“内鬼”带来的风险。

文|樊文扬

运营商“内鬼”假借礼品兑换收集他人银行卡号等

据媒体报道,今年2月,广州警方接到市民反映,某通讯营运公司“客服人员”来电以手机积分即将过期为由,要求客户尽快用积分兑换礼品。随后“客服人员”会用短信将链接发到用户手机里。而所谓的优惠换购,其实是不法之徒在偷偷收集公民个人信息。

广州市公安局民警称,当用户进入由“客服人员”提供的换购链接进行选购时,支付页面会要求用户提供手机号、银行卡号、身份证号等超过正常收集范围的信息。通过此手段掌握了公民个人信息后,不法分子就去注册大量微信账号,出售给他人用于从事网络诈骗等犯罪活动。

据了解,该犯罪团伙共有9名成员,其中5人是某通信运营商公司的内部员工。自2020年10月至2021年1月,该团伙窃取公民信息,偷开、倒卖微信号250万个,涉案972宗,非法获利8700万元。目前该团伙人员已全部落网。

运营商漏洞:“静默期”号码可注册、出售

记者梳理发现,运营公司内部人员窃取公民信息,偷开、倒卖账号已非首次。

据新华社报道,今年4月2日,宁波警方破获一起特大电信诈骗案。嫌疑人刘某作为华南某通信运营商网管中心负责人,利用运营商系统内权限将900余万条号码出售给向非法短信接口团伙。该团伙用这些号码注册微信实施网络诈骗,涉及被骗资金400余万元。

值得注意的是,一个手机号只能注册一个微信账号,不法分子是如何利用买来的号码成功注册大量新微信号的?

据办理该案件的广州民警介绍,运营商一般会提前半年从工信部门获得一批号码段,这批号段的手机号码未实名注册和激活,半年之后再推向市场销售。而运营商公司的“内鬼”们,通过内部渠道批量获取了这些未开通手机号的验证码,然后通过内部软件批量化注册大量微信号。

据悉,半年之后,这些被注册了微信的手机号销售到市场,于是出现有人开办新卡却发现已经被注册微信号的情况。

独立电信分析师付亮对南都记者表示,偷取公民信息的“内鬼”是钻了运营商监管的“空子”。

“这些号码是前任机主抛弃后被运营商回收的,从运营商回收号码到再次售出,其中有4个月以上的‘静默期’。在此期间该号码保存在运营商的仓库中无法使用。”付亮解释。

他还指出,用处在“静默期”的号码注册微信号再贩卖出去,原则上并不涉及机主的用户隐私。因为不法分子相当于是用第三方信息注册的微信,与前机主无关,与再买到该账号的后机主也无关。这种行为的主要危害在于将账号出售给不法分子从事诈骗活动,从而造成财产损失。

“‘内鬼’抓住了运营商监管不严的漏洞,能在‘静默期’里通过内部渠道偷取到账号,并用内部软件批量注册。直到有用户反映,拿到的新号码已经被开过微信了,才引起运营商的重视展开自我复查。”付亮说。

专家:应明确权责,实现业务全流程可追溯

为什么公民信息遭运营商内鬼偷取事件频频发生?应如何解决?

对此,北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任吴沈括总结了公民信息泄露事件中“内鬼”频发的三个原因。

第一,相比外部人员,他们和数据资产的距离更近,有业务方便,容易得手;第二,“内鬼”往往是企业外部黑产的重点围猎对象,被“拉下水”的几率更高;第三,个别企业设定的不合理业绩要求往往间接促使内部人员为了满足考核要求去铤而走险。

他还指出,这类问题的应对思路应是多方共治的多策并举。“首先,要推动企业内部建立清晰有效的‘定岗定责定人’制度,实现业务操作全流程的可追溯、可审计,确保‘数据-业务-人员’的严格匹配。其次,应鼓励支持建立面向社会大众的投诉举报激励机制,发挥社会力量的外部监督作用。再者,强化典型监管执法案例和司法裁判案例,以案说法,为数据业务运营和民众维权提供清晰的指引。”

从监管角度来看,付亮认为运营商应尽快填补“漏洞”。他强调,要定期对账号数据展开常规性核查,检测是否存在异常性使用现象,从根源上扼杀通过注册贩卖微信号实施网络诈骗的苗头。

此外,谈及“运营商内鬼偷取公民信息”一事,浙江垦丁律师事务所联合创始人麻策直言,个人信息的泄露最难防的并不在外部,而是内部泄露风险。公司在运营中应通过培训加强员工网络安全意识,明确个人信息分级分类权限,特别对批量化的导出下载等敏感事件进行预警,避免公司“内鬼”带来风险。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。