新浪广东快投诉|行业观察
在复杂的网络化、信息化安全环境下,用户个人信息泄露已成互联网/电商行业的“顽疾”和难以言说的痛,更凸显了当前网络环境下每个人都在裸奔的恐惧和无奈。
“泄密”事件何以频频出现?电子商务投诉与维权公共服务平台近年来接到的用户投诉及监测发现,不少大型互联网公司、平台公司存在重大内部管理漏洞,其内部人员故意泄露、贩卖网站用户个人信息资料,侵犯网络交易用户的信息隐私权。
案例一:50名小红书用户被骗近88万元
3月14日,直到银行卡提示被划走了40087元,26岁的马琳才意识到自己被骗了。
2016年12月28日,在北京工作的马琳在“小红书”上购买了洗面奶,“小红书客服”精确地报出了她在小红书的消费信息,这是她认为自己被骗的主要原因。
“尽管说泄露信息的渠道很多,但是这么大面积的小红书消费者被骗,只能说明是小红书造成的信息泄露。”马琳说,骗子掌握了小红书后台用户几乎所有信息,包括身份证信息,这些都是在小红书注册时必填的,“这说明小红书后台已没有保密性”。
而就在3月13日,西北民族大学研一学生李西(化名)接到“小红书客服”电话,在理赔过程中,李西根据“客服”指示,最终被骗18100元。
4月20日,李西的遭遇被本报报道后,截至5月31日,先后有50名受骗者联系本报。她们的经历和遭遇极其相似,都是因为在小红书上有网购经历,最后都接到自称是“小红书客服”的电话,以购买商品存在质量问题退款为由被骗。据统计,50人受骗总额为879163.58元。
让人不敢想象的是,除了这50名受骗者,可能还有更多人受骗,还有更多人接到或者正在接到诈骗电话。
小红书用户信息大面积泄露
据统计,这50名受骗者都是年轻女性,其中有22名大学生。受骗者年龄在19岁到31岁之间,平均年龄是23岁。她们在小红书上购买的产品基本上都是化妆品。50名受骗者受骗总金额为879163.58元。
根据收货邮件地址,受骗者遍布全国14省份。其中广东有9人被骗,江苏有7人被骗,浙江有6人被骗,北京有5人受骗,武汉有3人受骗,沈阳、重庆、成都、合肥各有两人受骗。
马琳说,受骗者数量庞大。从最早的3月到现在,人数每天都在上升,这是源头出了问题,而不是小红书官方指出“用户自己的快递单乱扔”等原因那么简单。受骗者遍布全国各地,收货地址不同,基本排除了消费者泄露信息的可能性。
被利用的弱点
26岁的郑叶在接电话时,发现对方可能是骗子,挂断电话。没想到,她还收到了“客服”的“威胁短信”:“女士,那我们就取消您的订单了,月底您就自行承单(短信原文——记者注)这个3万元的赔偿以及起诉信!”
蚂蚁金服安全管理部相关人士介绍,事实上,冒充客服进行诈骗,如何给消费者“下套”,这些都是话术,专门针对消费者不同时期的心理,还会有专门的机构培训做话术。台湾专门有人卖话术,一套7万多元。
一位业内人士分析,这种诈骗之所以能够频频顺利得手,第一步就是受骗者的交易清单。“这些交易清单能够清楚地显示受骗者购物的时间和购买的物品,骗子一旦能够准确说出这些内容,受骗者一般很难会怀疑小红书客服的身份。”
“这种骗贷手段是网络购物诈骗最新类型。”蚂蚁金服的一位工作人员介绍,“骗子主要利用老百姓对网购退款流程以及一些新的网络消费金融平台不熟悉的弱点。同时,还利用受骗者对芝麻信用分数似懂非懂,以提高信用分才能退款为名,一步步引诱受骗者上当。”
事实上,这些受骗者大多是信用记录良好(信用不好的人借不到钱),有稳定收入或家庭条件不错的年轻女性用户,有多年网购经历,金融机构对她们的个人授信实际上是对其信用的肯定。
有法律人士认为,此种诈骗手段已从骗取个人钱财升级为诈骗金融机构,其中,好期贷的钱源自招商银行,蚂蚁借呗的钱来自网商银行,均属于金融机构。此种诈骗属于以非法占有为目的,诈骗银行或者其他金融机构的贷款且数额较大,属于金融犯罪的一种。
小红书称
未发现近期有批量账号敏感数据泄露现象
今年3月29日,27岁的李女士在小红书购买了防晒霜,4月17日接到“小红书客服”电话。
“客服”在支付宝上直接把她的订单号发给她,里面有她在苏州的详细收货地址、购买商品信息,甚至包含着她的小红书登录账号和密码。
对“客服”的身份确认无疑后,李女士被骗3.8万元。“除了我自己,谁会掌握我的账号和密码?”李女士至今疑惑不解。
4月21日,小红书通过一家媒体回应称,公司了解情况后第一时间进行了内部验证与技术排查,并未发现近期有批量账号敏感数据泄露现象。
据介绍,小红书已经制订了一系列风险规则、安全验证方式和登录限制,以防范用户敏感信息在其他渠道泄露导致的相应风险。未来,小红书还将采取一些特别的措施,防止诈骗团伙冒充公司客服。
值得一提的是,在50名受骗者中,还有16人是在小红书采取“特别措施”之后被骗。
这家媒体还报道称,受理此案件的黄浦公安表示,该案件目前正在进一步侦查中。在网购的过程中,所有接触到用户信息的环节,从手机软件、网站、快递物流到顾客本身,都存在信息泄露的可能性。因此,警方建议消费者在网购时要多提高安全意识,如为不同的网站设置不同的密码、不以常用密码作为支付密码、及时销毁快递单据等。
谁该为消息泄露负责
有律师认为,如果电商平台提供了保护措施,但还是被黑客入侵,这属于不可抗力,不用承担责任。如果因平台存在漏洞而导致信息泄露,那么平台就要负责。电商平台会获取个人信息,它们有保护个人信息的义务和责任。
现实中最尴尬的问题是,信息泄露后,往往很难判断是哪个环节出问题,对责任的界定和处罚不明确,从取证到用户的维权成本都很高。
如今,小红书把“皮球”推给了警方。
小红书相关部门负责人王先生告诉中国青年报·中青在线记者,相信警方可以调查清楚,找到盗取用户信息的幕后主使。
现实中,这些受骗者的维权并不顺利。受骗者孟浩报警时,警方就直接告诉她,这种案子不容易破案,尤其是全国各地发生,也不容易并案。警察还告诉她,有人被骗几千万元都找不回来。
据知情人士透露,除电商平台小红书外,很多互联网公司都存在泄漏用户信息的问题。互联网公司为导流,增加用户量,流行下载注册送个小礼品,但在这些简单的下载、注册行为背后,隐藏着用户信息泄漏的危机,成为爆发信息安全事件的“重灾区”。
案例二:
广州一男子非法出售个人信息3500万条
获刑四年
近日,广州市天河区人民法院审结一宗侵犯公民个人信息刑事案件,被告人郭某因出售、非法提供公民个人信息达3500万条,情节特别严重,被判处有期徒刑四年、罚金一万元。
这是自2015年11月《刑法修正案(九)》对侵犯公民个人信息罪修改后,天河法院审理的首宗构成“情节特别严重”的侵犯公民个人信息罪案件,也是涉侵害公民个人信息数量最多的刑事案件。
法院认定构成“情节特别严重”
2015年9月始,被告人郭某在其租用的本市天河区黄村某出租屋等处所内,通过互联网向他人大量购买公民个人信息。购买的信息包括汽车车主、公司企业法定代表人、中学生等多个群体的个人资料,且郭某购买的个人信息十分“全面”。比如中学生的个人信息,内容涉及考生的姓名、身份证、家庭住址、家长联系方式、个人兴趣爱好等,十分“精准”。
在获得上述公民个人信息后,郭某再以批量定额售卖的方式,溢价转卖给他人以达到牟利的目的。
2016年6月12日,公安机关将郭某抓获,并现场缴获作案工具笔记本电脑1台,手机1台,内有郭某非法获取的公民个人信息等资料。郭某对其犯罪行为供认不讳。经鉴定,郭某在9个月内非法获取的个人信息超过3500万条。
在庭审中,郭某表示其是以每1000条30元的价格从互联网卖家手中获得个人信息,然后再以每1000条50元的价格转卖他人,钱款来往大多通过支付宝转账的方式完成,期间共获利3千多元。
法院审理后认为,被告人郭某违反国家有关规定,非法获取公民个人信息,向他人出售或者提供,情节特别严重,其行为已经构成侵犯公民个人信息罪,依法应当适用“处三年以上七年以下有期徒刑,并处罚金”的量刑幅度予以处罚。鉴于被告人郭某归案后能如实供述并自愿认罪,可以从轻处罚。缴获的作案工具依法予以没收。
综上,法院最后判决:被告人郭某犯侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币一万元;缴获的作案工具笔记本电脑1台、手机1台,予以没收。宣判后,郭某表示服判,未有上诉。
法官说法:
非法获取、出售或提供公民个人信息50条起
或可构成犯罪
审理本案的天河区法院刑事审判庭曹虎法官表示,2009年施行的《刑法修正案(七)》首次将侵犯公民个人信息的行为纳入了刑法调整的范畴,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。
2015年11月1日起施行的《刑法修正案(九)》对该罪作出进一步修改,除明确履职、服务者犯该罪从重处罚外、还设置了“情节特别严重”的刑档,并将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为——侵犯公民个人信息罪。
本案中,郭某侵犯公民个人信息的犯罪事实清楚,对其犯罪行为如何量刑成为了关键。
依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条的规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;除上述规定以外的公民个人信息五千条以上的。”如数量或者数额达到上述规定标准十倍以上的,则构成“情节特别严重”。
根据郭某的电脑存储显示,其非法获取、出售的公民个人信息超过3500万条,因此郭某构成侵权公民个人信息罪的加重情节,应从三年作为起点进行量刑,并处罚金。
个人信息泄露容易滋生下游犯罪,
个人、企业都应增强个人信息的保护意识
曹法官介绍,自2009年我国将侵犯公民个人信息行为纳入刑法后,至2016年12月,全国法院共审结涉个人信息类犯罪1400余件。说明我国司法机关对侵犯公民个人信息的打击力度不断加大。而随着我国网路信息化的推进,个人信息在信息网络中的应用不断拓展,涉及注册信息、通讯传信、网络消费、虚拟财产等社会生活的方方面面。
如果个人信息保密不当,极有可能被不法分子利用,成为滋扰型软暴力(中介电话)、暴力讨债、校园贷、网络电信诈骗、敲诈勒索,乃至盗窃、抢劫、绑架等犯罪的手段。因此,必须从源头上进行整治,严厉打击侵犯公民个人信息的犯罪行为,有效防范因个人信息泄露所引发的下游犯罪。
1.拒绝Cookie:Cookie是由一些网站创建并发送出来的一种文件,这种文件里存储了一些上网用户的个人信息,比如用户的账号和访问该站点时的偏好,甚至账号密码。相信很多读者在浏览器的网站登录账号时会遇到这样的提示,点击安全保存后,下次再来到同一个网站,浏览器将自动为您登录:
不仅如此,不能排除有某些恶意的Cookie存在的可能性。所以,我们有必要对它们提高警惕。在浏览器中调整Cookie设置的办法是: 选择"工具"-"Internet选项";在"安全"选项卡中单击"自定义级别"按钮;在打开的"安全设置"对话框中找到关于Cookie的设置,然后选择"禁用"或"提示"。
2.清理浏览器缓存:浏览器的缓存中会保留许多我们上网的记录,包括前面所说的Cookie。时常清理它们,有助于保护个人资料。清理浏览器缓存并不麻烦,只需选择"工具"-"Internet选项",在"常规"选项卡中的"Internet临时文件"选项中单击"删除文件"按钮,即可删除浏览器缓存里保存的信息。
3.加密重要的邮件:对于包含敏感信息的邮件,最好加密后再发送。有的朋友告诉我他使用某知名压缩软件对信件正文进行压缩并加密。但问题是,网上专门破解密码的软件很多,为了保险起见,您不妨增加密码的位数提升破解难度。
4.提升账号密码复杂度:密码的设定规则,不应该使用字典中可以查到的单词,也不要使用个人的生日,最好是数字、字母大小写或字符混用。有些朋友为了方便,所有的账号都用同一个密码,这也是非常不安全的。
5.不透露过多的个人信息:在使用网络软件以及网站时的时候,我们都需要填写一些资料。某些资料是必须填写的,无法略过。但是对于可填可不填但又涉及自己隐私的资料,尽量少填写。否则有可能被居心不良的人利用。
来源:中国青年报、新浪综合、壹麦田、南方网、广州市中级人民法院
如果您有任何关于消费投诉的需求,也请“新浪广东快投诉”平台(或点击“阅读原文”)进行一键投诉,向我们曝光您身边的消费问题。
