个人信息黑产链：内鬼与黑客并存一次交易数十万条

　　个人信息黑产链｜内鬼与黑客并存，一次交易动辄数十万条

　　澎湃新闻记者 卫佳铭 实习生 廖丹

　　针对网上“12306平台疑似旅客信息泄漏，低价出售410万旅客信息”一事，2018年12月28日晚，“中国铁路”官方微博发布消息回应称：“网传信息不实，铁路12306网站未发生用户信息泄露。”

　　澎湃新闻注意到，12306网站购票账户包括身份证号、银行账号、手机号码、邮箱等公民个人信息。而在网络上，通过QQ、微信、贴吧等渠道贩卖上述信息的案例亦屡见不鲜。这些以个人信息为“商品”的交易，其源头从何而来？

　　2019年1月2日，澎湃新闻在中国裁判文书网检索到近五年共75份判决书后发现，在侵犯公民个人信息的案件中，犯罪嫌疑人盗取公民个人信息的主要渠道有三：通过网络廉价购买大量信息二次倒卖、利用职务之便盗取信息和利用黑客技术攻入计算机系统。

　　“二道贩子”：从网络购买大量信息后“批发”赚差价

　　澎湃新闻以“侵犯公民个人信息罪”、“12306网站”为关键词在中国裁判文书网上共检索到19份判决书，多数犯罪嫌疑人从上家低价“批发”大量未经细分处理的12306网站用户信息后，再分类进行二次出售获利。

　　在四川省剑阁县人民法院2018年8月4日发布的一审判决书中，被告人周亮即从网上出售12306数据的“上线”处购买了大量数据，内容有公民注册邮箱、姓名、身份证号、手机号和密码信息，并伙同他人将数据分类处理后再出售。周亮因犯侵犯公民个人信息罪，被判处有期徒刑一年，缓刑一年，并处罚金10000元。

　　澎湃新闻注意到，在上述19份判决书中，仅一份提及了信息源头：2018年2月9日，江西省余干县人民法院审理的一起案件中，江苏滨海县公安局交警大队八滩中队辅警李某舟利用工作便利，偷偷使用同事的数字证书进入“全国综合查询平台”、“全国人口信息查询平台”、“全国车辆管理信息查询平台”获取公民身份信息及车辆信息140万条，并出售给他人非法获利240616元。经李某舟之手流出的信息后被“黄牛”用来在12306网站注册账号帮他人抢票，并从中获利。

　　倒卖个人信息赚取差价，是侵犯公民个人信息案件中最常见的非法获利方式。许多不法分子通过QQ、微信等方式在网络上联系，确定价格并批量出售、倒卖公民个人信息。

　　澎湃新闻发现，此类案件通常涉及的信息量巨大，购买成本则相对较低，给了嫌疑人赚取差价的空间。

　　在鸡西市鸡冠区人民法院2018年的一起判决中，被告人陈海波通过QQ购买了大量个人信息进行倒卖。

　　2013年，陈海波曾因犯侵犯公民个人信息罪被成都市金牛区人民法院判处拘役四个月。出狱后几年，他又“重操旧业”，于2017年3月起联系“下线”李某，出售自己从网络上购买的大量公民个人信息，包括姓名、住址、联系方式等。

　　经过公安机关的排查，在陈海波的硬盘、U盘中发现的公民个人信息共有87.4万条之多。通过自己和李某的多次交易，陈海波手中掌握的公民个人信息共使他非法获利多达18.3万余元。

　　在二次倒卖公民个人信息的案件中，被贩卖的公民信息常常被作为“下线”的购买者用于其他不法用途，例如：非法营销、网络诈骗等。

　　对此，中国人民大学法学院教授时延曾在受访时表示，从某种意义上说，任何预谋的犯罪行为，都要事先收集有利于犯罪的信息，包括被害人的信息。而就网络犯罪看，行为人更依赖个人信息，尤其是侵犯财产类的犯罪。

　　在山东省莱芜市中级人民法院2018年6月二审裁定的一起判决中，被告人蒋志波从一个专门从事倒卖公民个人信息的QQ群中购买了大量来源于购物平台的公民个人信息，包括姓名、电话等基础信息，并将这些信息和自己之前收集过的危房业主、交通事故信息打包二次出售给了此案中另一名嫌疑人林泽超。

　　蒋志波供述称，他购入信息的价格仅为10元/万条，折算下来，每十条的价格仅一分钱。他说，因为这些信息获取的时间较早，“进价”就相对便宜一些。通过出售这些信息，蒋志波累计赚取了10650元。

　　买卖“成交”后，这些公民个人信息被林泽超用于从事网络诈骗、微商等业务。

　　监守自盗：辅警盗用民警数字证书盗取公民信息

　　裁判文书显示，在不少案件中，嫌疑人供职于通信公司、车辆管理机构、公安局等要害部门，通过获取权限，直接盗取了大量公民个人信息用于非法牟利。

　　湖北麻城市中级人民法院2018年二审的一起判决中，被告人孙立飞通过华为公司业务员肖某购买了大量包含用户姓名、电话号码和移动积分在内的移动用户个人信息资料，并将其中50万条信息以5万元的价格并出售给开设公司、盗取移动用户积分的李少辉。

　　随后，李少辉在南昌市注册创办了一家网络公司，从2016年9月开始，指派公司话务员冒充移动公司客服骗取用户移动积分，兑换成电子券牟利。

　　从2016年10月23日到2016年11月24日，仅用了一个月，这家公司的成单量就达到2500多单，12月的成单量近4000单。

　　为规避一些用户的屏蔽，李少辉与同案被告人何建福购买了80多部手机和大量电话卡，一旦被屏蔽就立刻换号。

　　“每天下班前，话务员都会把已兑换的积分打成清单，客户资料上还会有标记，‘2’就是打过两遍电话，‘3’就是打了三遍”，该公司话务员何建福说。

　　事实上，员工们也曾对公司的业务产生过怀疑。话务员张瑛曾发现一些用户反映没有收到积分兑换礼品，充值话费也没有到账，还有一些员工在微信群里提出公司存在诈骗嫌疑。可是，由于福利待遇还不错，张瑛并没有选择离开。

　　最终，截至李少辉归案，他的公司共骗取移动用户积分逾三千万分。

　　除此之外，澎湃新闻还发现了多起辅警盗用民警数字证书盗取公安内网公民信息的案例。

　　在淄博市张店区人民法院2017年4月24日的一起判决中，被告人詹耿彬就是一名在东莞市公安局大朗分局刑警大队工作的辅警。

　　作为伏击组辅警内勤，詹耿彬平时便可以经常接触公安内网。利用伏击组民警梁某平时放在单位抽屉里的数字证书，詹耿彬动起了歪脑筋。通过公安内网，詹耿彬可以直接获取公民身份信息、出入境信息、护照照片、户籍照片等个人信息。

　　在发现了这一“致富手段”后，詹耿彬便堂而皇之在QQ上声称出售“一手信息”。通过一段时间的交易，他积累起了5名“下线”，经常与他们达成交易，每天动辄盗取1000条左右的公民个人信息。

　　詹耿彬出售公民个人信息一条的价格是1.7元至5元不等，他的下线却将这些信息加价数倍之多。同案被告张学鹏出售从詹耿彬处购买的护照信息，一条的价格在10到15元，共获利5万元左右。

　　技术手段：黑客入侵中小学学籍管理系统网站

　　除了从内部盗取信息，一些精通计算机的犯罪嫌疑人也能通过技术手段从外部直接盗取数据库里的公民个人信息。

　　在上海市浦东新区人民法院2018年的一起判决中，被告人王某某通过黑客手段入侵了上海世基投资顾问有限公司等金融公司网站，被告人牟某某则通过黑客手段入侵了安徽省中小学学籍管理系统网站。

　　2014年到2017年间，受雇于一家荐股公司的王某某结识了一些网络黑客，其中包括同案被告牟某某。2017年2月开始，王某某开始指使包括牟某某在内的两名黑客入侵了世基公司的网站，查看并获取了上万组该公司的用户数据，并出售给中鑫公司上海分公司。

　　经世基公司方面证实，该公司被入侵的服务器位于浦东新区灵山路世基分公司机房内，服务器上没有客户数据，入侵者系通过远程互联网控制服务器，并通过内网IP获取了内网其他电脑上保存的客户信息。

　　盗取信息的过程中，王某某向两名黑客支付了51万元“工资”。得手后，王某某再将信息出售给中鑫公司上海分公司和瑜广公司等“下游”，每一次动辄收入四五万元。

　　而对被告牟某某而言，受雇于王某某并非唯一的“业务”。2017年6月初，有人在QQ上找到他，提供了安徽省中小学学籍管理系统的权限，并让牟某某攻击渗透该网站。

　　牟某某从学籍管理系统获取了600多万条包含学生姓名、身份证、籍贯、家长姓名、联系电话等信息的数据，按地市分类导出。

　　在黑客技术之外，购买“扫号”软件并用大量数据进行“撞库”的手段也出现在近年来一些重大侵犯公民个人信息案件中。

　　江苏省仪征市人民法院2018年的一起判决中，被告人王群便通过“撞库”成功获取了他人QQ用户名及密码，用于销售获利。

　　在王群的非法牟利链条中，他所购买的“扫号”软件由同案被告李陈龙编写，用途是获取他人的QQ邮箱账号和密码。随后，王群又从软件销售者林佐楼处购买，并将此前购买的500多万组邮箱账号密码数据导入软件运行，采取对QQ软件数据库“撞库”手段，获取了大量QQ邮箱用户的个人信息。

　　通过销售撞库获取的QQ账号和密码，王群累计获利41.8万余元。而销售方林佐楼通过售卖非法软件，销售额高达40.5万余元，个人获利9.4万余元。编写软件并出售的李陈龙，非法获利则为3.4万余元。