网络泄密案例
每个人都成为了互联网时代的透明人,这话还真不是吓人的。我们每个人在使用互联网的过程中,总会留下各种各样的信息和痕迹,互联网一旦出现漏洞,个人隐私自然就被曝光在公众面前。回顾互联网的发展史,携程“泄密门”绝不不是第一次,也不会是最后一次。
一个银行支付安全漏洞,让知名旅游网站携程网成为“众矢之的”。3月22日晚间,乌云(WooYun)漏洞平台披露了一则携程网安全漏洞信息,指出携程网支付过程中的调试信息可被任意黑客读取,导致持卡人姓名、身份证、信用卡号等信息泄露。目前,携程客服接到咨询及要求解除银行卡绑定的电话不断,而招行、浦发等多家银行的信用卡部也在连夜为众多银行卡客户更换银行卡。
各种网络平台的蓬勃发展在带来便利的同时,也让我们和网站安全紧紧绑在一起。但是,大部分人对网络安全专业知识又不太了解,造成不良网站肆意过度收集用户信息,给网民的隐私安全埋下可怕的隐患。
而事实上,这种恐怖的个人隐私泄密事件,对中国互联网来说并非首次。今天我们一起来盘点下,中国互联网五大最恐怖的超危泄密事故。
一、360搜集用户隐私被Google抓取上亿用户名密码外泄
2010年最后一天,普通用户在Google网站上搜索制定关键字,可以搜到大量中国互联网用户使用互联网的隐私记录,甚至包括和用户登陆网站或邮箱的用户名、密码等。随后,多项证据表明,该事故的源头在于,360在通过其客户端秘密收集用户信息,由于这台服务器的配置问题,导致360不慎将记录了大量用户信息的日志文件被Google收录索引,造成用户信息大规模外泄。
根据金山公司的统计,此次泄密事故共导致3亿网民面临隐私信息被窃取的风险。由于该服务器可以在互联网直接访问,可能所有被上传的用户数据都已经被各类黑客、电脑爱好者、潜在的破坏者下载。因此,造成了不可估量的损失。
而在去年11月,乌云又公布了一份360隐私漏洞信息:360一漏洞致使用户名和密码可被任意修改,该漏洞危及360手机卫士、360云盘、360浏览器云同步,并可泄露通讯录、短信、通话记录等。泄露的信息中甚至有某女明星账号。同时,爆料者还表示测试了360几个高官的邮箱,结果发现360高官并未使用360的产品。
二、CSDN、天涯、支付宝多家网站密码外泄门
2011年12月,CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。
12月25日,事件继续升级,乌云漏洞平台再次爆出天涯社区4000万用户资料泄露,用户明文密码泄露。之后,天涯社区在网站上发表致歉信。
12月29日,传言当当网1200万完整用户数据已经泄露,包括用户真实姓名、注册邮箱、收货地址、电话等信息。同时,用户数据最为重要的电商领域,也不断传出存在漏洞、用户泄露的消息,乌云报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。
三、如家、七天2000万条客户开房信息遭泄露
2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。
据《新京报》2013年10月20日报道,10月18日,实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。
事发一周前,国内安全漏洞监测平台乌云(WooYun。org)发布报告,称多家酒店开房记录被无线上网认证管理系统供应商——浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复,并称未造成开房记录等住客个人信息泄露。
四、圆通百万快递单网上出售
2013年11月,圆通速递近百万条快递单个人信息在网络上被公开出售,网上甚至还出现了专门交易快递单号的网站,如“淘单114”“淘铺发”“淘单网”“单号吧”等。在这些网站,每个单号都被明码标价,“批发价”最低四角,俨然已成为一种“产业”。据记者调查,每天在网上交易的快递单号高达3万个左右。
犯罪分子在购买快递单信息后,即可从事不法行为。2013年3月份,家住深圳罗湖的虞峰(化名)托朋友给自己快递七部价值总计8400元的联想手机,但苦等几日,都不见手机寄到。虞峰一查物流信息竟发现,手机已被“自己”领走。最终公安调查发现,原来,犯罪嫌疑人范某购得虞峰的信息后,立即联系制造了虞峰的身份证件,在确认快件到达快递公司网点,尚未进入派送之时,以假证件骗过快递公司员工后,直接领走虞峰的七部手机,随后将手机变卖。
五、携程“泄密门”:过度收集用户银行卡信息
3月22日,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。据乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
根据银联2008年发布的《银联卡收单机构账户信息安全管理标准》规定,各收单机构系统不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期等敏感账户信息。携程记录用户信用卡信息的“过度收集信息行为”,直接导致了此次信用卡读取高危危机。
一位安全领域技术高管表示,携程网本次泄密事件的严重程度远远超过CSDN泄密事件。CSDN是数据库数据泄漏,而这次是日志数据泄漏,更严重的是,日志数据里记录跟钱相关的详细数据。
一。笔记本电脑丢失泄密
1)2003年三月上旬,航天科工集团某研究所技术人员王某违反保密管理规定,私自将存有涉密信息的笔记本电脑和移动硬盘带回家。几天后,王某家中失窃,笔记本电脑和移动硬盘被盗,硬盘中存储的1份机密级报告、2份秘密级资料草稿和4份秘密资料草稿失控。王某因泄露国家秘密被给予行政记过处分。
2)2002年7月17日,涉密人员李某在北京某饭店参加全国某系统内部会议,中途出去接电话时,将正在使用的存有机密级工程项目资料的笔记本电脑随意放在会议室内的座位上。几分钟后,李某打完电话回来,发现笔记本电脑丢失,造成泄密。
3)2002年9月6日,某部委研究室涉密人员张某,携带涉密笔记本电脑开车外出。当他把汽车停在小学门前去接放学的孩子时,放在车内的存有关于统战政策的机密级国家秘密信息的笔记本电脑被盗。
4)信息产业部某研究院研究员蔡某擅自携带一台存有军事秘密的涉密笔记本电脑,到某地参加军工科研会议。由于未采取有效的安全保密措施,致使涉密笔记本电脑在其所住宾馆内被盗,电脑内存储的重要的国防秘密失控。
二。磁介质丢失泄密
1)沈阳某设计研究所总体气动部涉密人员钱某,将装有计算机移动硬盘的小包放在自行车车筐骑车外出。途中下车参观所内正在装修的住房时将小包遗落在自行车车筐内。返回时,发现装有移动硬盘的小包丢失。经鉴定,计算机移动硬盘内存储的研究资料为秘密级国家秘密事项。该研究所给予钱某通报批评,给予负有领导责任的气动部部长和支部书记通报批评。
2)2003年6月,航天科工集团公司某下属单位涉密人员胡某违规将50多张存有涉密文件的软盘带出办公室。因保管不善,在乘坐出租车时将软盘遗落在出租车上。案发后,胡某既不积极寻找也不报告。经鉴定,遗失软盘中存储的资料有18份为机密级国家秘密,93份为秘密级,207份为内部信息。胡某因泄露国家秘密被所在单位给予行政记大过处分,免去一分部主任职务。
3)2001年3月,成都某大学科技处副处长田某与副教授周某携带装有大量涉密软盘的密码箱,到北京向有关部门申报该校“十五”科研开发项目。两人乘飞机返回成都后,田某要使用密码箱中的资料时,发现密码箱丢失。箱内装有31张软盘,储存有163份项目论证报告材料。绝大多数属国防军工电子科研项目,其中一机密级国家秘密14项,秘密级国家秘密32项。此外,箱内还有2份机密级文件。
三。互联网泄密
1)2003年3月,国家保密局在互联网上进行保密检查时,发现辽宁省某厅工作人员使用涉密计算机上网,且未采取任何保密措施,致使计算机内存储的省委某领导讲话等内部信息处于无保护状态。国家保密局从该计算机中下载有关内容后,责成辽宁省国家保密局对此事件进行了查处。
2)2003年7月,中国船舶重工集团某研究所某项绝密课题报告起草人应某研究单位的要求,报送国外此类课题研究的相关信息。该起草人将此事交代助手马某办理,要求删除报告中国内研究成果部分,只保留和报送国外有关情况。马某在对报告进行处理后,误将原稿拷入软盘并委托他人以电子邮件形式发送,造成泄密。该集团公司给予该研究所通报批评,给予直接责任人马某行政记大过处分,给予负有领导责任的保密委员会主任行政警告处分,给予课题负责人通报批评。
3)2001年二月,湖南省国家保密局技术检查中心在对互联网进行保密检查时,发现湖南工商联网站登载有中共中央批转《(中央统战部关于工商联若干问题的请示)的通知》(机密)、《(中共湖南省委批转省委统战部关于做好我省工商联工作的若干意见)的通知》(秘密)等文件内容。据调查,省工商联在信息化建设中,其涉密办公网与国际互联网未进行物理隔离,用户通过省工商联所建公开网站可直接访问办公网。在未进行保密审查的情况下,省工商联党组擅自同意将“中发”、“湘发”等8份文件摘要刊登在网络栏目上,造成泄密。
4)2003年3月,某研究所技术人员王某违反保密规定,将自已在工作中使用的存有机密级信息的移动硬盘私自带回家,并联在接入互联网的计算机上。经鉴定,该计算机与国际互联网联接并已被不明身份的攻击者预植了后门程序,攻击者可利用后门程序远程操纵该计算机。该所给予王某行政警告处分,并将其调离重点涉密岗位。
5)2002年2月,华北某学院教师刘某将涉密科研项目申请书(秘密级)在互联网上用电子邮件形式传递,造成泄密。6月,该学院另一名教师将7项涉密科研成果(秘密级)在互联网上用电子邮件传递,造成泄密。同年6月,该学院教师王某将两篇内容涉密的文章在互联网上用电子邮件形式传递,造成泄密。案发后,华北某学院给予三起泄密事件的责任人行政警告处分,并在会院通报批评。
6)002年3月,某市某区教委为传达文件需要,将上级下发的涉密文件贴在与国际互联网相联的区教育信息网页上造成泄密。经鉴定,其中3份文件为机密级国家秘密,2份文件属秘密级国家秘密。
7)2002年8月17日,标有“机密”的《关于(河南)全省艾滋病防治工作汇报》(以上简称《汇报》)在上报国务院之前,被人在国际互联网上全文发表,引起国内外广泛关注,在国际上造成恶劣影响。经调查,2002年8月16日18点08分,河南省卫生厅疾病控制处副处长马某把刚定稿并准备上报国务院的《汇报》,通过其办公室上互联网的计算机,以匿名电子邮件的形式,发给了与境外机构有关联的“爱知行动小组”负责人万某。万某在国内主要从事艾滋病研究,在国际人权组织方面有一定知名度,与境外机构联系密切。万某收到邮件后,于8月17日将《汇报》分别提供给多名国外驻京记者,并在两家境外网站上全文发表,造成严重泄密。国家安会机关侦破此案后,对马某做出了依法处理。
四。自式计算机及存储设备被盗泄密
1)2001年2月5日,湖南省绥宁县纪委电脑室被盗。经检查,发现铁窗钢筋被剪断4根,撬弯2根,警报器电源插头被拔出,电脑室内一台(套)IBM电脑、一块保密卡(安置于主机箱内)、一台打印机等物品被盗。据省纪委办公厅负责人介绍,保密卡是由中纪委统一配发全国各省、市、县,用于纪委系统内部信息计算机联网加密传输的,属于绝密级。
2)2002年12月30日,湖南华南光电仪器厂技术中心工艺研究所所长办公室和副所长办公室同时被盗。经勘查,办公室木门被撬后,丢失一台联想电脑主机。被盗主机硬盘中储存有关于军品的资料7份。经鉴定,其中2份资料属于秘密级国家秘密。案发后,该厂主要领导、军品研究所所长和负有直接责任的一名员工分别被给予行政警告处分。
3)2003年1月11日,某公司技术开发中心军品、民品研究所(位于公司办公楼三楼)被盗。据现场勘查,罪犯黎爬墙外排水管到达三搂,打破窗户玻璃进入研究所实施盗窃。室内5台涉密电脑的硬盘、主板、CPU、内存条、显示卡等部件均被盗走。被盗硬盘中存有大量军品资料,经鉴定,其中3份图纸屑于秘密级国家秘密。案发后,对此事件负有领导责任和直接责任的有关人员分别受到行政记过处分和经济处罚等处理。
4)2003年5月6日12时30分,湖南省郴州市公安局指挥中心通知北湖公安分局接收密码电报。北胡公安分局计算机通信股值班机要员胡某正准备接收时,发现密钥卡不在密码机上,当即将此情况报告股长祝某。祝某召集会股人员到值班室查找,没有发现该密钥卡。此后,北湖公安分局向上级部门汇报了情况,并组织40余名干警对机要室、办公区和垃圾场等区域进行拉网式搜查,并对计算机通信服和进入机要室工作人员逐个询问排查,仍未查明密钥卡下落。事发后,该分局负主要领导责任和主管领导责任的两名负责人及计算机通信股三名责任人分别受到行政处分。
五。涉内网络建设单位泄密
2003年1月,某省党政机要密码通信专网建设方案被某报刊披露。据调查,该涉密工程由该省某计算机有限公司承建,该公司员工林某曾参与该机要密码通信专网的设计工作。林某在调离公司时未按规定清理上缴手中掌握的设计资料。林某离开该公司后,利用这些资料撰写文章擅自在某报刊上发表,造成严重泄密。该省机要局作为该专网建设工程的甲方单位,未对承建方提出严格、明确的保密要求,对这起泄密事件负有管理责任。刊登泄密文章的某报报社未严格履行稿件保密审查制度,对泄密事件负有重要责任。公安部门给予林某治安处罚并责令其具结悔过,该省保密局撤销该计算机公司涉密计算机信息系统建设项目的承建资质,有关部门要求省机要局做出书面检查。某报上级单位给予该报当期总编行政记过处分,给予责任编辑行政降级处分,给予负有领导责任的报社总编行政警告处分,责令报社进行内部整改。
简要案情
2010年10月,G市某管理公司举办军事主题园,主要提供军事文化、装备展览和军事项目体验等服务内容。2011年底该军事主题园正式开业前,委托当地一家文化公司设计制作军事主题展馆和展览广告画。文化公司接受委托后,通过互联网搜集了一些图片和资料,主要包括我军近年来研制或改装的武装直升机、歼击机、洲际导弹、常规动力航母和主战坦克的图片及性能参数,其中绝大部分是已公开资料或虚构内容,但其中某型号武器装备的部分数据涉及1项秘密级国家秘密。文化公司对搜集的图片和资料加以汇总、编辑后,制作了8块展板,其中1块含有涉密内容,军事主题园将展板悬挂于园区入口处公开展示。2011年12月,军事爱好者M前往该主题园游玩时,觉得上述展板图片清晰、资料翔实,遂逐一拍照并上传至在D市登记备案的一家军事论坛海军版。B市军事爱好者L在网上看到图片,将其转载至国内某门户网站的军事论坛。有关部门发现涉密图片上网后,采取了相应的处理措施。
性质认定
经调查,排除了文化公司、管理公司、军事主题园以及两名军事爱好者故意泄密的嫌疑。本案的主要问题在于认定上述主体是否构成过失泄密。2010年修订的保密法以及现行有效的1990年保密法实施办法和1992年泄密事件查处办法均未明确区分故意泄密和过失泄密,当前只能参照刑法总则关于犯罪主观方面的规定、刑法分则关于过失泄露国家秘密罪的规定以及相关司法解释,并依据一般法理、逻辑和事实加以判断。
结合本案案情,分别作出以下认定:
1.文化公司。文化公司接受委托事项后,从互联网搜索、下载了一些图片和资料,这些图片和资料均无标注国家秘密标志且上传互联网已有较长时间,各网站、论坛多有转载,于是不假思索地将上述图片和资料作为公开信息加以汇总、编辑,使用Photoshop软件制作了8个位图文件作为展板的印刷底版。该公司不属于保密资质单位,相关员工不是涉密人员,受托项目未被确定为涉密项目,对于来源于互联网的未标密信息既无义务逐一开展保密审查、也无能力进行具体识别和判断,因此不宜认定文化公司构成过失泄密。
2.管理公司及其军事主题园。管理公司的核定经营范围包括国家法律规范禁止、规定前置审批项目以外的军事文化展览和军事器械展览。根据保密法第二十七条“报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定”,管理公司举办的这类公开展览属于其他传媒的信息编辑、发布,应当建立自审和送审制度,确保不涉及国家秘密。管理公司长期经营涉军展览,内容高度敏感,除有义务对拟发布内容自行审查外,遇有是否涉及国家秘密界限不清或无法判断时还应提请有关业务主管部门审定。但本案中管理公司简单地将展览内容设计制作项目外包,又未认真履行保密审查义务,致使部分涉密信息进一步扩大知悉范围,可以认定为构成过失泄密。但鉴于本案属于相关信息全部来源于互联网的“二次泄密”,保密价值大幅降低,且涉密数据混杂在大量虚构或错误数据之中难以区分,事实上难以为敌对势力所利用,因此在处理上可以考虑减轻或免除处罚。军事主题园不是独立的法人,不承担相关泄密责任。
3.自然人M。军事爱好者M前往军事主题园参观公开举行的展览,展览内容没有任何国家秘密标志或提示。作为普通公民,他既无义务也无能力对公开展览的内容进行保密审查,因此撇除其他法律问题不谈,M对展板拍照并上传至互联网论坛的行为不具有保密法律法规上的过错,不能认定M构成过失泄密。
4.自然人L。军事爱好者L在互联网上看到的图片没有任何国家秘密标志,与M一样,作为普通公民,他既无义务也无能力对公开网络论坛的内容进行保密审查,因此撇除其他法律问题不谈,L将图片转载至门户网站论坛的行为不具有保密法律法规上的过错,不能认定M构成过失泄密。
延伸启示
本案案情较为单一,但较具有代表性,特别是反映出当前互联网泄密的某些共同特点,可以归纳出保密行政管理部门组织查处同类案件的一些要点:
1.故意泄密的认定。故意泄密是指违反保密法律法规行为人明知自己的行为会使国家秘密被不应知悉者知悉,并且希望或者放任这种结果发生的情形,对于泄露的方法没有限制,如在公共场所谈论国家秘密,在私人交往或通信中谈论国家秘密,在各类媒体上披露国家秘密等。互联网环境下,各种发布、上传、转载、引用等行为构成故意泄密的共同前提是行为人明知自己处理的信息涉及国家秘密。所谓“明知”主要包括两种情况,一是行为人已通过某种渠道了解到自己处理的信息涉及国家秘密,二是行为人对自己处理的信息来源、性质不甚了解,但该信息载体上明确标志了承载内容属于国家秘密。实践中较多地存在一种现象,就是不计后果地随意上传、转载真伪不明但标有密级或其他国家秘密标志的信息,这种情况应当认定行为人的主观故意,即使经鉴定相关信息不属于国家秘密,也应当作为未遂情节处理。
2.过失泄密的认定。过失泄密是指违反保密法律法规行为人应当预见自己的行为可能会使国家秘密被不应知悉者知悉,因疏忽大意而没有预见,或已经预见而轻信能够避免,以致发生这种结果的情形。“应当预见”,要求行为人必须具有保密法律法规上的义务,并且在行为时能够正确认识到结果内容。互联网环境下,同一信息在政府网站泄露,或是在社会网站泄露,认定结果可能截然不同。政府网站对所发布政府信息负有保密审查义务,除特殊情况外,政府网站泄露国家秘密应当认定为过失泄密。而普通公民在各类论坛、博客、微博等网络平台发布、传播信息导致泄露国家秘密的责任认定则需要具体分析,在排除主观故意之后,应当综合行为人的知识水平、行为本身的危险程度和行为时的客观环境加以认定,如无其他可以证明行为人“应当预见”的证据,一般不能认定构成过失泄密。
3.互联网企业的义务。在互联网泄密案件查处过程中,提供运营服务、接入服务、信息浏览、数据交换以及其他服务的互联网运营商、服务商负有相应的配合调查、情况报告和信息删除义务。保密法第二十八条对此有明确规定。这对于及时查明案情、提取保存证据、降低损害程度都至关重要,无论相关互联网企业在泄密案件中是否负有责任,保密行政管理部门都有权要求其积极履行以上义务以保证泄密案件查处工作顺利进行。