“颜值测试”黑客软件盗取超8000万条个人信息
2022-2-27 09:30:0 Author: mp.weixin.qq.com(查看原文) 阅读量:48 收藏

文章来源:安全学习那些事儿

2022年2月24日,据央视新闻报道,近日在上海司法机关办理的一起泄露个人信息案件中,显示与一款颜值打分软件有关。

颜值检测是假 盗取信息是真

这款涉案的颜值打分软件。它声称可对脸部照片自动评分,还能判断肌肤状态。在示例头像下方,配有标识着它功能的宣传语句:“年龄21岁左右,颜值73.4,皮肤健康度18.769,色斑度9.437”等,看起来十分专业。很多人正是看了这样的介绍后,才在手机上下载安装了这款颜值软件。但它真的能评判颜值吗?在法庭上,面对检察机关的盘问,它的开发者是这样回答的。


公诉人 顾斌:你是否制作过一款名为颜值检测的软件?

被告人:制作过。

公诉人:这款软件真的是用于颜值检测的吗?

被告人:不是。


这是2020年8月上海市奉贤区人民法院审理的一起侵犯公民个人信息犯罪案件庭审现场。被告人名叫李某,不到30岁,正是他制作了这款所谓的颜值打分软件,那么这个李某究竟是什么人,他又是为何要制作出这款并不具备评分功能却宣称能给颜值打分的软件呢?据李某交代,他案发前是在一家网络游戏公司上班,并且通过自己的努力一直做到了这家公司的高级程序员。


上海市奉贤区人民检察院第一检察部主任 顾斌:被告人李某在暗网茶马古道论坛上面下载了一组源代码,他本身是一个技术人员,他就利用这个源代码,编写了一个黑客软件。那么被告人李某为什么会制作这款黑客软件,这款软件又有怎样的秘密呢?


公诉人 顾斌:请你告诉法庭,这款软件具有什么样的功能?

被告人:这款软件被人安装之后,它会获取被安装的人的手机照片传到我的服务器上。

公诉人 顾斌:也就是说,这款软件是在别人不知情的情况下,会窃取别人的相册照片?

被告人:是的。

公诉人 顾斌:你将这款软件发布在论坛上,有没有注明它是一款具有窃取照片功能的一款黑客软件?

被告人:没有说明。


据被告人李某交代,在制作完成后,他将这款黑客软件发布到了网络论坛上,供网民免费下载使用。而它呈现在大家眼中的,正是那款颜值软件。由于打着颜值打分软件的幌子,很多被害人都是在毫无防备的情况下,被窃取了手机相册中的照片信息。


江苏的高先生出于好奇下载了这款颜值软件,虽然从安装到卸载只有短短几分钟时间,但他手机相册中的驾驶证信息、快递单信息、保险单信息以及朋友的支付宝账号等,全部被传到了颜值软件开发者李某的服务器上。还在上学的女生小熊和她的母亲也做了这款软件的颜值测试,结果,手机上的奖状照片、报名表、简历、银行卡、户口本等信息也一一被窃取。


被告人李某通过将这款所谓的颜值打分软件上传到网络上供网民免费使用的方式,先后窃取了1700多张用户照片,其中比较完整的公民个人信息有100多条。而除此之外,李某还将这个软件发布在了一个隐藏的暗网论坛上进行售卖。

虚拟货币流向牵出超八千万条个人信息买卖

除了制作黑客软件进行售卖和非法窃取用户的手机相册信息之外,李某所实施的犯罪行为还包括另外一项,向他人提供公民个人信息。他为什么这么做呢?李某说,他的目的只是为了炫耀能力,但是他所谓的炫耀也触犯了法律。那么李某究竟做了什么呢,这还得从他售卖黑客软件所赚取的虚拟币说起。


据李某交代,他用售卖黑客软件所赚取的虚拟币在暗网上购买了一个名叫“社工库资料”的文件,而这个“社工库资料”其实就是一个包含着8100多万条个人信息的压缩包。而让李某没想到的是,他从暗网上购买的这八千多万条个人信息中,竟然也包含他自己的个人信息。经公安机关侦查核实,这个“社工库资料”中包含的八千多万条个人信息都十分准确。


上海市奉贤区人民检察院 第一检察部主任 顾斌:倒查了其中的十个被害人,都是能够精准地锁定被害人的身份信息、职业情况和一些基本情况。


我国《刑法》规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。窃取或者以其他方法非法获取公民个人信息的,依照该款的规定处罚。按照刑法的相关规定,李某利用所谓的颜值打分软件窃取公民个人信息,以及将8100余万条个人信息发布到网络空间供他人下载使用的行为均已经触犯刑法。


公诉人 顾斌:本院认为,被告人李某违反国家有关规定,利用侵入计算机信息系统程序,窃取并非法向他人提供公民个人信息,情节特别严重,其行为已触犯《中华人民共和国刑法》第二百五十三之一,第一三款,犯罪事实清楚,证据确实充分,应当以侵犯公民个人信息罪追究其刑事责任。


庭审中,被告人李某对于检察机关的指控表示认罪认罚。


法庭经过审理认为,检察机关指控的犯罪事实清楚、证据确实充分、指控的罪名成立,但鉴于李某无前科劣迹,到案后如实供述自己的罪行,并自愿认罪认罚,依法可以从轻、从宽处罚。审判员 管玉洁:被告人李某,犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元。

解读:侵犯个人信息面临哪些法律风险

在这起案件中,司法机关通过刑事、民事等多种法律手段对侵害公民个人信息的行为进行了惩处,彰显了法律的态度和力度。近年来,我国对于个人信息的保护越来越重视,相关的法律法规也在不断完善,那么在我国现行法律中,个人信息是如何定义的,侵犯个人信息又会面临怎样的法律风险呢?

我国《民法典》第一千零三十四条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。


2021年11月1日,我国新施行的《个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。


中国政法大学传播法研究中心副主任 朱巍:个人信息按照现在的《民法典》《个人信息保护法》的规定,我们记住一条关键的就可以了,就是直接或间接的,能够识别到自然人身份特征的,这部分信息就属于个人信息。


近年来,使用网络的人越来越多,人们在享受便利的同时,也在有意无意中将自己的一些个人信息暴露在了网络上,甚至遭到恶意侵犯、泄露,由此带来的安全风险和问题十分突出。


上海市奉贤区人民检察院第一检察部主任 顾斌:如果这些公民个人信息被犯罪分子使用的话,可能被精准地用于电信网络诈骗、敲诈勒索等犯罪活动,严重侵害公民个人的人身和财产安全。


中国政法大学传播法研究中心副主任 朱巍:如果没有个人信息安全的话,你互联网效率发展再高的话,那么我觉得只能是一个硬币的两个方面,好的方面可能体现的效率很好,坏的方面,个人信息一旦没有安全感的话,那么网络诈骗、侵权信息、网络暴力会随之而来的。


正是为了解决这样的问题,近年来,在修法和立法工作中,如:《刑法修正案(九)》《民法典》以及《个人信息保护法》等,都在不断加强对个人信息的保护力度,让个人信息在收集、存储、使用、加工、传输、提供、公开、删除等各环节得到全链条保护,最终建立起一个全方位的个人信息法律保护体系。


中国政法大学传播法研究中心副主任 朱巍:多位阶多部法律的这样保护起到一个什么样的作用呢?就是多重保护的作用。从有可能发生这种危害,到评估,再到个人权利按照《民法典》去主张权利,再到公益诉讼,最后一步再到刑事的这种保护,各个层级现在已经个人信息保护法的体系基本构建完毕。


法学专家表示,随着有关个人信息保护的法律不断完善,这不仅给司法机关提供了更多的法律选项,也对社会各界提出了更高要求,尤其是在大数据时代,相关平台企业一定要严格依照法律规定保管和处理个人信息,否则会引发严重法律后果。


中国政法大学传播法研究中心副主任 朱巍:对平台来讲,他可以获取很多数据,他可以把数据当成石油使用,但是你不要忘了,法律赋予你的责任水涨船高的,如果你履行不了安全保障义务的话,那你拿到这些数据就是一个定时炸弹。不管是《网络安全法》还是《个人信息保护法》,或者是《民法典》还是《刑法》,都要求网络平台有安全保障义务的。你没有好好履行法律赋予你的责任的话,你要吃亏的,作为平台来讲的话你要承担,包括刑事在内的法律责任。

精彩推荐

多一个点在看

多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650534390&idx=1&sn=b2b6315bd2c8b935070cfb91a1f69836&chksm=83ba9412b4cd1d04528b061e742c14c0d1988ecdbb1ad27ff613270c5698918ca0621c07c0c1#rd
如有侵权请联系:admin#unsafe.sh