【pg電子·(中國)娛樂官方網站】黑產團伙安插平臺“內鬼”竊取用戶信息“日入過萬”

黑產團伙通過境外社交平臺招募行業“內鬼”。

正逢《個人信息保護法》實施兩周年，黑產南都大數據研究院調查發現，團伙pg電子·(中國)娛樂官方網站盡管近年我國不斷加強對侵犯公民個人信息違法犯罪活動的安插打擊，仍有黑產團伙頂風作案，平臺使用境外通訊工具及資金交易平臺逃避境內打擊，用戶以高額利益引誘關鍵行業人員充當“內鬼”，信息協助盜取個人信息。日入

調查

　　行業“內鬼”倒賣個人數據 黑產團伙境外平臺做買賣　　

南都大數據研究院近日接到報料反映，過萬有數個黑產團伙通過境外社交平臺兜售個人隱私數據，內鬼從外賣、黑產網購，團伙到航班、安插火車行程信息，平臺甚至連銀行流水、用戶征信報告等高度敏感的數據均在交易范圍內。

根據報料線索，南都記者進入部分在某境外社交平臺經營的pg電子·(中國)娛樂官方網站聊天群組。觀察發現，這些群組成員數量動輒過萬，最多的一個甚至有超過24萬名群組成員。在群組內，相關人員不時發布有關個人隱私數據交易的推銷廣告，并附上數張通過業務系統后臺查詢隱私數據的頁面截圖或照片，以彰顯其實力。

對方向記者發來一份業務價格明細表，表中可見，該群組人員出售的數據涵蓋戶籍、民政婚姻、車輛登記、酒店住宿、通話記錄等多種類型。不同數據售價不一，其中收費最高的一項是提取國內某社交軟件好友清單，開價8000元一次。該人員聲稱，買家只需要提供目標對象的社交賬號，即可提取該賬號的所有好友名單，具體包括已添加聯系人賬號、頭像、昵稱、個人備注、已關注公眾號等信息。

問及數據來源，該人員承認其數據大部分來自相關行業關鍵崗位人員。其會根據買家需求對接相關人員，直接從業務系統后臺提取所需內容。為證明所言非虛，對方還發來多張不同平臺業務系統后臺截圖，涉及國內多家知名企業。南都記者留意到，其中一張某外賣平臺的業務系統截圖顯示，其查詢到的個人訂單時間為2023年10月24日，與南都記者發起調查的時間相距不到一周。

行動

　　持續嚴打形成阻嚇 部分團伙刪號“跑路”　　

近年，明星航班行程信息遭曝光、“內鬼”盜取快遞運單、招聘網站倒賣簡歷等事件均曾引發公眾關注。我國也一直在加強對個人信息保護力度。

據今年8月公安部新聞發布會透露數據，自2020年以來，全國公安機關依法重拳打擊侵犯公民個人信息違法犯罪活動，累計偵破案件3.6萬起，抓獲犯罪嫌疑人6.4萬名，其中抓獲電信運營商、醫院、保險公司、房地產、物業、快遞公司等行業“內鬼”2300余名。

最高人民檢察院也曾披露數據，2020年，全國檢察機關起訴侵犯公民個人信息犯罪6000余人，2021年起訴人數攀升至9800余人，2022年起訴9300余人，近年案件數量保持高位，近三成被告人被判處三年以上有期徒刑。

持續嚴打態勢確實對黑產團伙形成一定阻嚇。據知情人士向南都記者展示的一份社交群組記錄，2022年下半年，曾陸續有黑產團伙發布通知建議成員“低調行事”，暫停部分業務，甚至有團伙直接刪號“跑路”。

　　現狀

　　黑產團伙死灰復燃 只以虛擬貨幣交易　　

但隨著時間推移，一些逃過打擊的團伙又再浮出水面、試探行情。據知情人士透露，今年下半年來，有黑產團伙開始嘗試“重建產業鏈”，再次招募“內鬼”。相關社交群組記錄顯示，這些“復活”的黑產團伙大多打出“日入過萬”“快速變現”等宣傳語，誘惑關鍵崗位人員加入，并宣稱可一對一指導對方如何規避風險。更有團伙點名提出希望與國內某知名銀行的工作人員“合作”。

南都記者也嘗試以購買外賣記錄數據為由，接觸其中一個“復活”群組。與其他團伙相比，他們交易時顯得更加謹慎，雖然同樣承認數據源來自行業“內鬼”，但拒絕提供業務系統截圖或照片作為數據真實性憑證，只能以文字轉述、整理表格等形式向買家交付數據。在支付渠道方面，該團伙也提出只能通過虛擬貨幣交易，不接受任何境內支付工具。

據知情人士介紹，以往執法部門和涉事企業調查“內鬼”時，可以根據相關業務系統截圖信息或照片拍攝時間，比對企業內部的業務系統登錄時間、數據查詢記錄等方式定位“內鬼”身份。黑產團伙顯然已關注到這一“風險點”，有意隱藏“內鬼”蹤跡。

　　追因

　　“內鬼”泄露公民個人信息 成信息遭侵犯的主要原因　　

今年8月，北京市高級人民法院曾召開新聞通報會，介紹北京法院侵犯公民個人信息犯罪案件審判情況。據北京高院黨組成員、副院長孫玲玲介紹，2018年以來，北京全市各級法院共審結侵犯公民個人信息犯罪案件219件，其中一審179件、二審40件，判處犯罪分子294人。超過半數的案件，被告人供職于公司企業、事業單位或系個體企業經營者。其中，公司職員(包括中高級管理層、法人代表)所占比例最大，為50.3%。

侵犯公民個人信息的犯罪手段越發隱蔽，“內鬼”泄露公民個人信息的行為較為突出。據北京高院介紹，買賣和交換仍是侵犯公民個人信息犯罪的主要手段；放眼整個犯罪鏈條，內部人員泄露信息是侵犯公民個人信息犯罪的主要源頭。

近年來，我國出臺《網絡安全法》《數據安全法》《個人信息保護法》等一系列法律法規，對數據處理者形成法律約束，嚴禁數據隨意共享和流轉，業界也持續完善用戶數據安全的“護城墻”。

《個人信息保護法》明確規定，個人信息處理者應當采取措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失。也就是說，雖然企業可能也是數據泄露的受害者，但如果其未盡到個人信息保護義務的話，仍要承擔包括行政處罰責任在內的法律責任。

數字化時代，個人信息保護與數據黑灰產治理是一項長期性、系統性的工程。奇富科技信息安全知微實驗室負責人吳業超也曾指出，數據流通使用涉及多環節、多合作機構，企業注重自身數據安全管理的同時，也要把控好第三方合作和管理，完善數據全鏈路監控和管理體系，同時積極探索與監管機構、公安等合作打擊治理數據黑灰產?！　?/p>

總第091期

統籌編輯:董曉妍

采寫:李偉鋒　袁炯賢

實習生　張欣　梁穎琛　傅紀嵐

出品:南都大數據研究院

數據安全治理與發展研究課題組