3月10日起，公安部部署打擊黑客攻擊和網絡侵犯公民個人信息犯罪專項行動。昨天，江蘇省公安廳網絡安全保衛總隊通報，過去3個月江蘇警方破獲黑客及侵犯公民個人信息犯罪189起，抓獲嫌疑人699名。當前，侵犯公民個人信息犯罪形成了黑色產業鏈，黑客和“內鬼”成為公民個人信息泄露的最主要源頭。當天，江蘇警方發布典型案例，為市民保護個人信息支招。

　　通訊員 蘇宮新

　　揚子晚報全媒體記者 于英杰

　　權威發布

　　699名嫌疑人落網 繳獲個人信息40億條

　　根據公安部統一部署，江蘇警方采取嚴打高壓和綜合整治等措施，重點打擊制作傳播黑客工具、實施網絡攻擊、黑客竊取數據和單位內部人員倒賣公民個人信息等方面犯罪活動。

　　目前，江蘇警方共立案黑客犯罪案件70起，破案49起，抓獲犯罪嫌疑人248名；立案網絡侵犯公民個人信息犯罪案件162起，破案140起，抓獲犯罪嫌疑人451名，其中“內鬼”源頭18名，繳獲電信、金融、汽車、戶籍、通話記錄、賬號密碼、外賣信息等公民個人信息40余億條。

　　5月中旬，江蘇省公安廳出動400多名警力赴廣東、湖南、湖北、甘肅等10余個省、市，對涉案犯罪嫌疑人開展集中抓捕，共偵破案件39起，抓獲犯罪嫌疑人183名。同時，警方對省內2584家黨政機關、企事業單位的重要信息系統和6765個重點網站開展執法檢查，發現隱患500余個，約談了10家未完成整改的單位。

　　黑客和“內鬼”

　　成信息泄露主要源頭

　　省公安廳網絡安全保衛總隊負責人說，個人信息泄露的渠道很多，比如沒有撕毀的快遞單、網上參與活動登記個人信息等等�！安贿^，真正導致大規模個人信息泄露的源頭主要是兩個，一是黑客攻擊，二是握有大量個人信息的相關企業、單位、平臺的‘內鬼’�！�

　　黑客利用自己掌握的網絡技術，入侵相關網站后臺，竊取公民個人信息進行販賣；“內鬼”則往往是相關企業、單位、平臺的內部人員，他們利用自己的權限獲取公民個人信息販賣牟利。幾乎每一起侵犯公民個人信息犯罪案件中，個人信息的源頭都不會單純來自黑客或“內鬼”，而是兩類犯罪嫌疑人都參與其中。

　　起底泄露源

　　黑客篇

　　自學者建起“帝國”，全國賣黑客軟件

　　去年12月初，淮安市公安局網安支隊發現，有本地網民通過QQ買“X-Password”系列黑客軟件。“交3888元成為會員，便可通過軟件破解他人在網絡上的賬號密碼�！被窗彩泄�安局網安支隊副支隊長鄭楊介紹。

　　警方發現，黑客軟件由“X-Password”和“X-Datebase”兩款軟件組成�！癤-Datebase”是賬號、密碼查詢庫，交費會員將想查詢的他人賬戶用戶名輸入后，其便能找到綁定該賬號的相關信息。“X-Datebase”數據庫中，關于公民個人信息的數據有數億條。

　　“X-Password”則能實現密碼重組、驗證、撞庫、遠程下馬等功能，最終能實現強力破解他人QQ、郵箱等密碼，盜取蘋果ICLOUD賬號，以達到進入QQ、郵箱或非法解鎖手機或遠程控制他人手機等目的。

　　經查，2015年7月以來，廖某制作“X-Password”系列黑客軟件，由李某、朱某某、黃某等人作為代理，在網上進行銷售。先后售出1000余人次，涉及30余省市數百人，非法獲利400多萬元。

　　讓人意外的是，作為黑客軟件的制作者，32歲的廖某只有初中文化。他交代，因為文化程度不高，自己一直飽受他人歧視，尤其是丈母娘。

　　于是，廖某“奮發圖強”，自學軟件技術，最終開發出“X-Password”系列黑客軟件。廖某先統一軟件價格，然后制定了分級代理的銷售模式。他不僅自拍了10多分鐘的黑客軟件使用教學視頻，在網上宣傳，還建立了專用QQ群，管理銷售代理和會員，進行技術交流。

　　“通過賣黑客軟件賺錢后，廖某買房、買車，還給老婆買了不少高檔用品�！睋�介紹，目前8名主要嫌疑人已被刑拘。

　　內鬼篇

　　保健品公司哪來那么多客戶信息賣？

　　今年3月，睢寧縣公安局網安大隊發現，有人在多個QQ群內發廣告，出售各種快遞公司快遞單信息。警方明確發布廣告的嫌疑人，是睢寧當地一家保健品公司的工作人員胡某。

　　睢寧縣網安大隊長王森介紹，這家保健品公司的實際負責人周某為推銷保健品，需要大量公民個人信息，用來打電話定點推銷。一個偶然機會，他得知河北人胡某手上有相關資源，便將其招聘進公司，負責保健品推銷方面的工作。胡某一方面通過網絡購買相關公民個人信息，并將用過的信息重新打包后出售或與人交換。“周某公司一度曾達到每天撥打上千個電話。”王森說。

　　警方發現，犯罪嫌疑人通過非法獲取、提供、交換買賣的公民個人信息種類，涵蓋全國多個省市的電子產品銷售、物流快遞等多個領域，數量高達數百萬條�！拔覀兣袛啵�這些公民個人信息泄露的源頭可能來自黑客攻擊、物流快遞業內部員工。”徐州市公安局網安支隊五大隊大隊長劉光偉介紹，警方很快明確了該犯罪鏈條上的20多人身份。

　　4月20日，睢寧縣公安局出動50多名警力，成立15個抓捕組，截至目前，抓獲嫌疑人24名，其中23人被刑拘，從嫌疑人電腦中扣押公民個人信息500多萬條。

　　王森介紹，抓獲的嫌疑人中，既有提供信息的黑客、“內鬼”，也有購買信息用于電話推銷的人士�！皟裙怼鄙婕岸嗉倚⌒唾徫锞W站和部分快遞企業，他們有的利用自己網站管理員的權限，將后臺的客戶信息打包販賣，有的則是快遞企業員工，通過內部平臺收集快遞單上的公民個人信息。多名犯罪嫌疑人交代，他們販賣出的個人信息累計1000余萬條，非法牟利數十萬元。

　　■延伸閱讀

　　發現企業數據庫漏洞 勒索20個比特幣被判刑

　　趙某自詡是“白帽子黑客”，發現蘇州一家企業數據庫的漏洞后，在凌晨匿名向企業發送郵件索要20個比特幣，否則將把數據另作他用。迫不得已，該企業支付20個比特幣后才免于遭殃。不過，這個黑客趙某最終被抓。日前，蘇州吳中法院以敲詐勒索罪對趙某判刑3年，并處罰金2000元。通訊員 沈君燕 揚子晚報全媒體記者 于英杰

　　向企業勒索20個比特幣

　　“告訴你一個不幸的消息，你們的數據庫泄露了。如果這些數據落到黑客手中，將對你們公司造成不可估量的損失，我認為我們有必要合作，作為一個白帽子黑客，我選擇了匿名，隨便賺點錢花……”2016年8月1日凌晨，一封匿名郵件打破了蘇州某公司的平靜。這封郵件提到的數據庫，涉及700多萬注冊用戶和1000多萬的訂單信息。

　　收到這份匿名郵件后，該公司邊報警邊聯系維護該企業數據庫的某信息技術公司，告知其客戶及訂單數據已被黑客掌握。當天，該信息技術公司出面向這名黑客的賬戶支付了20個比特幣。第二天，這個黑客就把服務器漏洞的詳細信息和修復方案、代碼筆記等信息通過郵件方式發送給該公司。

　　“白帽子黑客”發現漏洞

　　這名黑客是趙某，他在大學期間自學編程，畢業后當過教師，后在一家程序公司上班，從事程序員的相關工作。趙某經常登錄網站學習編程，2016年7月，他在瀏覽該學習網站時，偶然發現一個程序編寫的代碼筆記，筆記中標明該代碼可以成功登錄某公司數據庫服務器，并有數據庫的賬號和密碼。趙某抱著試試看的心理，登錄進去，意外發現該公司的大量客戶信息和訂單。

　　在搞網絡信息的人眼中，企業客戶、訂單信息意味著財富，趙某深知這一點。他通過QQ群搜索功能搜到了該公司QQ群，并找到了群主QQ號，然后就給這個QQ號發了開頭的那封匿名郵件，并提供了比特幣的付款地址以及他的暗網郵箱地址（即不可追溯來源的郵箱）。

　　所謂“白帽子黑客”，是指那些用自己的黑客技術來做好事的電腦技術高手，可以說是合法的黑客，現實當中這些人就是信息安全專業人士，他們的工作就是尋找、測試和修補危機計算機的漏洞，讓狂野的互聯網更安全。趙某自稱“白帽子黑客”，可他的行為有些不光彩。他索要20個比特幣當報酬，按去年8月份的市場價，就相當于人民幣7萬多元，若按現在的價格，則可能超過40萬元。

　　認定構成敲詐勒索罪

　　接到報警后，蘇州警方立即立案并展開偵查。去年8月11日，在山西運城警方協助下，趙某被蘇州警方抓獲。到案后，趙某主動提出并協助退還了涉案比特幣，取得了該公司的諒解。

　　吳中法院經審理認為，趙某敲詐勒索公私財物，數額巨大，其行為已構成敲詐勒索罪。他歸案后如實供述其罪行，可以從輕處罰；又積極退贓，取得該公司諒解，可以從輕處罰。據此，法院以敲詐勒索罪對其判刑3年，并處罰金2000元。蘇宮新 于英杰