视频:可怕!这7家科技公司盗取身份证信息 4.68亿个人信息泄露
来源:综合《财经》新媒体(记者 涂伟),央视新闻
公民隐私不容侵犯,敢越雷池者,必将付出惨痛代价。
11月20日,创业板上市公司拉卡拉(300773.SZ)股价午后放量跌停,股价报收49.29元/股,市值蒸发约20亿。
据央视消息,近日江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿多条,其中,拉卡拉支付旗下的北京考拉征信服务有限公司(简称“考拉征信”)涉嫌非法提供身份证返照查询9800多万次,获利3800万元。
一位业内人士在接受《财经》新媒体采访时解释,所谓“身份证返照查询”,就是通过输入身份证号码,返回身份证上的照片,以此来比对是否人证合一。“这项业务很早就被叫停了。考拉征信卖的应该是缓存的身份证照片,这是不允许的。”
《财经》新媒体就此事第一时间联系拉卡拉方面,对方回复称,考拉征信是具备独立法人地位的公司,拉卡拉支付是其母公司考拉昆仑信用管理公司的九名参股股东之一。拉卡拉与考拉征信之间的财务、业务、经营等都是各自独立的。
公开资料显示,考拉征信是一家第三方的信用评估及征信管理服务商,由拉卡拉和蓝色光标、拓尔思、梅泰诺、旋极信息等多家上市公司共同出资设立。股权穿透之后,其实际运营方为拉卡拉支付,实际控制人为联想控股。
经警方查证,考拉征信从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。
截至目前,警方已将考拉征信及北京黑格公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获。涉案公司非法缓存的公民身份认证数据现已全部收缴,同时堵塞漏洞,身份核验、“返照业务”接口全部封停,公安部门会同中国人民银行等部门加强对公民身份认证服务,个人征信服务的监管。
顺藤摸瓜警方发现“科技公司”涉案
公民个人身份信息、身份证照片等一旦被私下贩卖,有可能成为“套路贷”犯罪、暴力催收以及电信诈骗的帮凶等等。
最近,江苏淮安警方通报,在公安部督办下,他们以“打链条、打平台、打团伙”为目标,依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿余条。
如此海量的个人信息被泄露,幕后黑手是谁?又暴露出怎样的制度漏洞?我们来看记者的调查。
2018年4月,江苏淮安警方在网上巡查时发现,有人非法购买公民个人信息,后嫌疑人高某主动到警方投案。高某交代,他花500块钱从网名叫“过去、将来”的人手里购买了317条公民个人信息,这些信息包括手机号、姓名、身份证号和家庭地址。他买这些信息的目的是打电话、给网络小贷公司拉客户。警方通过对QQ、微信等资料的综合研判,锁定贩卖个人信息的“过去、将来”位置在河南焦作,随即出动警力,将犯罪嫌疑人申某在家中抓获。
在申某的电脑里,警方查获公民个人信息7万多条,这些信息包括公民姓名、身份证号、地址、电话以及芝麻信用分等,很多信息显示推广来源为“花钱无忧”“借点钱”等小贷平台。
淮安市公安局淮安分局河下派出所副所长汤培林:他(申某)自己不做贷款,他就是贩卖,他就是从人家这边买过来以后,然后赚个差价,加个几毛钱或者一块钱一条,他再出售给其他人。
经过侦查,申某的一名主要上线谢某在广州家中被警方抓获。另一个通过他人向申某贩卖公民个人信息的是广东一个网名叫“叮咚叮咚”的人,警方发现,“叮咚叮咚”在微信群中大肆贩卖公民个人信息,迹象表明,身为广州诺涵科技公司的员工,她贩卖公民信息并非个体行为。
警方全链条打击侵犯公民个人信息犯罪
淮安警方深度研判发现,广州诺涵科技公司不只是贩卖公民个人信息,更主要的是在进行小额贷款并进行软暴力催收,是一个组织严密、分工明确、涉案人数众多的犯罪团伙。经过周密部署,2018年6月6日,在广东警方配合下,淮安警方一举将该公司45名涉案人员全部抓捕。
警方发现,在广州诺涵科技公司,公民个人信息被称为“流量”,公司自己开发有“乐花管家”等多个小贷平台,在自身购买公民个人信息用于推销贷款、软暴力催收的同时,也和其他公司相互交换公民个人信息,还开发有爬虫云等软件,通过技术手段爬取其他小贷公司的公民个人信息,用于公司放贷和非法出售牟利。
打链条7家涉案公司被依法打击
警方发现,涉案的广州诺涵公司虽然披着科技公司的外衣,其实从事的是网络放贷、软暴力催收、贩卖公民个人信息等违法犯罪行为。
在他们贩卖的公民个人信息里,甚至还出现了公民身份证照片信息,这样极度隐私的个人信息他们从哪儿获取的呢?
警方侦查发现,广州诺涵科技公司的公民个人信息主要来自湖南九象信息有限公司,这家公司开发有一个黑爬虫网站,通过爬虫软件,非法获取数十家小贷公司的公民贷款和逾期数据,然后公开提供收费查询,并提供“身份核验返照”业务,付费后任何人只要在该网站输入公民姓名和身份证号码,就可以查询获取公民身份证相片。这是严重的侵犯公民个人信息犯罪行为。
淮安市公安局淮安分局网安大队中队长顾明:返回的是带网纹的二代身份证彩色照片,是真实的,我们当时有办案民警测试了一下是最新的,大概两三个月之前刚刚拍的。
锁定相关犯罪证据后,淮安警方在长沙、深圳分别将湖南九象公司的法定代表人和技术主管抓获。审讯得知,九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。随即,警方将北京黑格公司和考拉征信服务有限公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获,并于今年4月在北京将他们上游公司的5名涉案人员抓获。
经查,北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。
淮安市公安局淮安分局网安大队中队长顾明:它违规缓存,就相当于把咱们公民个人信息复制了一份,它存在那边,下游公司再向它通过数据接口调取数据的时候,它就不需要再向上游调取,也是节省了开支,这个是违法的。
经查,2015年3月以来,北京考拉公司非法提供查询返照9800余万次,获利3800余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条。
拉卡拉自身“麻烦不断”
事实上,拉卡拉支付作为考拉征信的实际运营方,其在维护公民个人隐私方面做的也不尽人意。2019年7月份,APP专项治理工作组经过对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。经评估,包括拉卡拉App在内的40款App,在个人信息收集使用方面存在问题,且未公开有效联系方式。
根据APP专项治理工作组的要求,这些APP运营者自通知发出之日起10日内联系工作组,领取整改通知,并在30天内完成整改,预期未领取整改通知或未完成整改的,将建议相关部门予以处置。
《财经》新媒体就此向拉卡拉方面询问,在保护用户隐私方面,其内部有哪些自我约束的规定,目前效果如何。截止发稿,未收到回复。
拉卡拉官网信息显示,其成立于2005年,是国内首批获得央行颁发牌照的第三方支付企业。拉卡拉创始人、董事长孙陶然被称为“创业教父”,在创立拉卡拉之前,他参与创立了《北京青年报·电脑时代周刊》、《生活速递》以及蓝色光标、恒基伟业等公司,所著的《创业36条军规》累计销量超过百万册。
今年4月份,拉卡拉以“A股支付第一股”的身份登陆创业板,在此之前,拉卡拉因其pos机业务被广泛用于信用卡违规套现被人诟病不已。拉卡拉也于招股书中提示风险,第三方支付业务存在来源于商户、客户的欺诈风险,包括支付账户盗用、伪卡、信用卡套现、电信网络诈骗、洗钱等。若公司未能有效落实特约商户实名制、商户风险交易监测不到位或风险事件处置不力等,发生风险事件,可能面临客户投诉或诉讼,导致公司若存在明显过错需要赔付客户资金损失,以及中国人民银行对公司进行处罚的风险。
事实上,自2018年以来,拉卡拉旗下多家分公司因为存在危害支付服务市场、违反银行卡收单业务相关规定、商户巡检不到位等情况,被监管部门处以罚款。
