新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

窃取30亿条用户信息 某上市公司被告
2019-08-09 14:05:08


微博莫名关注了多个陌生营销帐号

QQ突然被加进陌生群组

“自动”成为网红的“粉丝”

……

这或许皆因你账户被数据“黑灰产”团伙操控


timg (8).jpg


中国浙江省绍兴市警方此前破获的一起涉及30亿条用户数据窃取的案件揭开了其中的奥秘。一家正式挂牌新三板的公司通过劫持运营商流量,违规窃取用户数据,为旗下在微博、微信、等互联网平台的账号强行加粉,一年营收超3000万元人民币。


这起被称为“史上最大规模数据窃取案”的受害者包括百度、腾讯、阿里等96家互联网公司。


8月5日,绍兴越城区检察院已对该犯罪团伙中的周某等7名被告人提起公诉。


据悉,7名被告人所在的北京瑞智华胜科技股份有限公司于2017年正式挂牌新三板。该公司2014年即以竞标方式,先后与中国多家电信运营商签订营销广告系统服务合同,进而拿到了运营商服务器的远程登录权限。


为了劫持运营商流量,该犯罪团伙将自主编写的恶意程序放在运营商内部服务器上,当用户流量经过服务器时,恶意程序自动清洗、采集出用户cookie(用户登录网站的账户密码等数据)、访问记录等关键数据,后存放在境内外多个服务器上。


“该案造成网络用户海量个人信息数据泄露,社会危害性极大,造成公众恐慌。”承办该案的检察官施晟向记者表示,与以往通过撞库、植入木马等犯罪手法相比,该案作案手段更新颖,手法更隐蔽。


案件告破引发中国诸多互联网公司共鸣。中国社交媒体新浪微博发布公告称,大量用户指出自己账号存在异常,经排查正是由于网络劫持导致,已第一时间将案件中涉及的微博账号关闭,“此案的侦破将为微博社区环境秩序的提升带来积极影响”。


绍兴市越城区公安局网警大队相关负责人表示,中国警方全力开展“净网行动”以来,发现黑灰产团伙或黑数据公司是当前用户数据泄露的罪魁祸首,“他们盗取数据和使用数据毫无底线,并且在非法获取数据后肆意滥用”。


《网络安全法》相关规定:


第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序

第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。


瑞智华胜则一体化完成了数据盗取和使用,这意味着网络黑产暴露的环节减少,反侦查能力提升。同时,能够完成网络黑产的“自产自销”,也说明了违法行为主体已具备一定的技术、市场开发能力。简单地说,已从个体化的黑客违法升级为集团化黑产。


这也提醒我们,除了加强网络安全人才的引进,加大办案经费和网络监管设备等方面的经费投入,还要开放利用市场中的网络安全资源,才能综合提高网络监控和案件侦破能力。


  • 信息安全
  • 个人隐私
  • 网络安全法
  • 信息安全
  • 个人隐私
  • 网络安全法