部分掌握公民個人信息的大公司,正逐漸成為信息泄露的主要源頭。1月14日,重慶市公安局江北分局打掉了一個倒賣公民信息的團伙,該團伙聯(lián)合重慶聯(lián)通公司一名技術人員,利用聯(lián)通機房的系統(tǒng)漏洞,提取系統(tǒng)中的短信內容,以每單高達1萬元的價格出售。
重慶聯(lián)通公司一名員工向 《每日經濟新聞》記者透露,對于客戶的個人信息,聯(lián)通公司有一套保護機制,但其中也有缺陷。比如聯(lián)通公司針對內部員工查詢客戶個人信息設置了相關權限,但在執(zhí)行過程中,對于權限的應用則比較“靈活”,存在越級查詢的可能性。
有業(yè)內人士表示,此次案件的背后也折射出聯(lián)通公司內部管理機制存在軟肋。“根據目前倒賣個人信息市場的行情來看,每單1萬元的價格非常高,這些信息內容肯定經過了篩選,該名技術人員所利用的系統(tǒng)漏洞很可能就是內部管理的問題”。
員工高價賣信息
1月14日上午,重慶江北“12·5”專案成功破獲,公安機關對向某平、向某杰等6名犯罪嫌疑人實施了抓捕。
尤為引人注意的是,重慶江北“12·5”專案中,重慶聯(lián)通公司的一名技術人員扮演著重要角色。
重慶江北支隊刑警謝林坤在接受媒體采訪時曾介紹,重慶聯(lián)通公司技術人員何某受雇于向氏兄弟,利用其職務優(yōu)勢,非法為委托人獲取其他公民的聯(lián)通手機通話清單和短信清單,一份電話清單就可獲取高達1萬元的回報。
重慶江北分局方面人士也向《每日經濟新聞》記者證實了以上內容。
事實上,關于大型通信服務商泄露用戶個人信息的事件并不少見。早在2009年的中央電視臺“3.15”晚會上,就曝光了山東移動公司以盈利為目的,大量向用戶發(fā)送商業(yè)廣告短信,并出售用戶信息給垃圾短信公司的行為;2012年4月,四川警方也成功破獲了一起電信部門“內鬼”向外泄露客戶基本信息的案件。
重慶市網絡安全保衛(wèi)總隊證監(jiān)室主任王樹福就表示,目前一些能掌握公民信息的主管部門,已成為泄露公民信息的主要源頭,也成為犯罪分子的重點滲入對象。而作為掌握公民個人信息的部門,也應該進一步加強內部管控。
內部管控受質疑
據重慶江北分局宣傳科張姓工作人員介紹,上述何姓聯(lián)通公司技術人員,之所以能夠調取大量用戶詳細信息,所利用的就是其系統(tǒng)的漏洞。
與《每日經濟新聞》記者有所接觸的一名重慶聯(lián)通公司在職員工則表示,對于客戶的個人信息,公司有一套保護機制,但其中也存在一定缺陷。“公司所有員工在入職前,都會有一系列針對保護客戶信息的培訓,強化員工保護客戶信息的概念,特別是對于那些有著查詢客戶信息優(yōu)勢的部門,比如客服部、技術部,培訓也更為嚴格”。
此外,聯(lián)通公司針對員工查詢客戶信息還設置了嚴格的權限,不同級別、不同工種所能查詢到的信息也不同。不過上述員工透露,公司所設定的權限在操作上卻比較 “靈活”,存在越級查詢的可能性。
不少市場分析人士認為,導致聯(lián)通公司技術人員輕易獲取客戶大量核心信息的根源在于上述提到的對于查詢權限的執(zhí)行管控力度上。
“這里所指的系統(tǒng)漏洞,應該是指管理上的漏洞。”獨立電信分析師付亮說,在通信運營公司內部,技術部的一般員工能接觸到客戶信息,但售價高達每條萬元的信息則需要經過技術篩選,要拿到這類信息,需走嚴格的程序。
付亮同時表示,此次信息泄露也不排除聯(lián)通信息系統(tǒng)存在漏洞的可能性。“不過如果是信息系統(tǒng)有漏洞,那么其售賣信息的含金量則不會如此高,在個人信息泄露成本降低的今天,聯(lián)通等通訊服務商應該進一步加強內部管控。”他說。
對于此次信息泄露事件,《每日經濟新聞》記者曾多次撥打重慶聯(lián)通公司媒體公關部電話,但截至發(fā)稿,均無人接聽。