又有7家公司被查!4亿条个人信息泄露,被1分钱卖给网贷
又有7家公司被查,警方已经抓到人了!11月19日,江苏淮安警方破获了一起信息泄露案件,7家科技公司涉嫌非法缓存公民个人信息超1亿条。其中,每天有2500万人次使用的支付软件拉卡拉,因为旗下公司考拉征信涉嫌非法提供身份证返照查询9800多万次、获利3800万元,已经有20名涉案人员被警方抓捕。
今日(11月20日),拉卡拉股票跌停、市值已跌去20亿元;该公司回应称目前处于取证阶段,卡拉征信只是配合调查。尽管这一声明指出案件还未落实,但市场对个人信息泄露的反映仍在发酵。截至目前,警方已经立案侦查侵犯公民个人信息案件29起,缴获公民个人信息4.68亿余条。这些被泄露被贩卖至房车营销机构、网贷机构、催收机构甚至博彩机构,被泄露的人中不乏明星、上市公司高管、投资者等。这些个人信息全套的售价,最低竟然只卖一分钱!都有哪些公司被查?就在不久前的10月21日,51信用卡被警方突击调查的一幕才刚发生。昨天(11月19日),江苏淮安警方就再次通报了一起骇人听闻的个人信息泄露案件,有7家公司涉嫌非法缓存公民个人信息超1亿条。警方是怎么发现这些线索的呢?据通报,2018年4月,江苏淮安警方在网上巡查时发现,有人非法购买公民个人信息,之后,嫌疑人高某主动到警方投案。
51信用卡被突击现场高某交代,他花500元从网名叫“过去、将来”的人手里购买了317条公民个人信息,这些信息包括手机号、姓名、身份证号和家庭地址。他买这些信息的目的是打电话,给网络小贷公司拉客户。顺藤摸瓜之下,警方锁定了高某的上线申某。随后又通过申某的上线“挖”到了违法从事个人信息贩卖、小额贷款、软暴力催收等业务的广州诺涵科技公司。在进一步的侦查过程中,警方发现该公司的公民个人信息主要来自湖南九象信息有限公司。锁定相关犯罪证据后,淮安警方在长沙、深圳分别将湖南九象公司的法定代表人和技术主管抓获。审讯得知,九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。
黑爬虫网站页面随即,警方将北京黑格公司和考拉征信公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获,并于今年4月在北京将他们上游公司的5名涉案人员抓获。经查,北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。不查不知道,一查吓一跳。泄露个人信息谋取非法利益的考拉征信,正是仅次于支付宝、微信支付的全国第三大支付公司、有着A股市场“支付第一股”之称的拉卡拉的子公司。
支付场景中常见的拉卡拉POS机拉卡拉本身作为支付巨头,截至到2019年6月30日,累计签约商户数2100万户,累计交易笔数达36.7亿笔、交易金额1.7万亿元;拉卡拉旗下各类主要APP用户总数也达到了1500万,公众号粉丝数合计约2000万,每天有2500万人次使用这一支付方式支付。这些数据意味着,有上千万用户的个人信息,在使用拉卡拉的过程中面临着泄露风险。正因如此,考拉征信的涉嫌信息泄露的消息一出,拉卡拉的股票在11月20日开盘即迎来跌停,市值跌去了20亿元。截止目前,该公司的相关人士回应称,“目前只是取证阶段,考拉征信是配合调查。拉卡拉只是考拉征信众多股东之一,拉卡拉与考拉征信之间的财务、业务、经营等都是各自独立的。”个人信息黑产规模已超千亿警方通报中提到,广州诺涵公司内部将公民个人信息称为“流量”。该公司开发了小贷平台“乐花管家”从事贷款业务,以所谓的“流量”作为其推销贷款和软暴力催收的基础。广州诺涵公司获取“流量”的方式,除从湖南九象公司购买以外,还包括与其他公司交换,以及开发爬虫云等软件、利用技术手段爬取其他小贷公司的“流量”等等。在开展贷款、催收业务的同时,该公司也通过非法出售“流量”牟利。
广州诺涵公司内部的业绩会议照片而广州诺涵的主要上线公司湖南九象公司,则是一家直接从事非法获取、贩卖公民个人信息的企业。与51信用卡涉嫌使用爬虫技术非法获取个人信息类似,该公司开发有一个黑爬虫网站,通过爬虫软件非法获取数十家小贷公司的公民贷款和逾期数据。湖南九象公开提供收费查询服务,并提供“身份核验返照”业务,付费后任何人均可在其开发的网站输入公民姓名和身份证号码,查询获取公民身份证相片——这些照片由用户在使用拉卡拉等公司软件时上传。实际上,公民除了在使用互联网及各类软件时会泄露公民个人信息外,时代周报新媒体此前就曾报道过,简历也是个人信息泄露的一个重要途径。由上述渠道泄露出去的个人信息,经不法分子或不法公司通过爬取、窃取等方式收集和贩卖后,导向了房地产、汽车、教育培训、游戏等行业的营销机构,甚至是网贷、催收、博彩等常年行走在灰色地带的不法公司。有媒体此前曾报道,泄露和贩卖个人信息产业已经发展成为一条产业规模超千亿元的黑色产业链。
被泄露的大量个人信息“流量”只是这个黑色产业当中的“黑话”之一,黑产从业人员往往会用首字母指代某些业内专有名词。此前微博爆发过的明星个人信息泄露事件中,“sfz”“sjh”“hj”等分别用于代称“身份证(号码)”“手机号”“户籍”的暗语,就曾大量出现在网络上。另外在大量贩卖个人信息的QQ群等社交媒体中,“WZ加粉,CP直推,QP跑量,BC引流”等暗语,也是黑产从业者常用的代号,用来指向个人信息的用途,分别代指“网赚”“彩票”“棋牌”和“博彩”。很多人手机上经常会收到“六合彩”等非法推销短信,就是泄露后被不法分子通过这些方式推送的。至于被贩卖的个人信息本身是极其廉价的,2019年8月出现的“明星个人信息价格从几元到几十元不等,全套信息也只需要一百多元”实际上已经是卖出天价。
简历数据库公司巧达科技因涉爬被查封媒体报道显示,此前曾有人在QQ群里售卖“2019上市公司高管,新三板高管数万条”个人信息,售价也只有一万元——平均下来,一套上市公司高管个人的信息,价格也只有几毛钱。股民的电话、住址、姓名等个人信息,价格最低更低至1分钱,它们主要被用于股票等证券产品推销。据统计,近年警方已经立案侦查侵犯公民个人信息案件29起,缴获公民个人信息4.68亿余条,涉案金额9400余万元。在51信用卡被突击调查前后,已有巧达科技等多家爬虫公司被查。随着监管不断施压,未来还会有更多涉及个人信息黑产的公司“暴雷”。