1亿条个人信息遭泄露,国密技术可对敏感数据进行全生命周期保护

2019-11-22


11月20日,据央视网报道,近日江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿多条,其中,拉卡拉支付旗下的考拉征信涉嫌非法提供身份证返照查询9800多万次,获利3800万元。

警方已将考拉征信服务有限公司及北京黑格公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获。

本次行动中,据警方发现,广州诺涵信息科技有限公司(下称:诺涵科技)将公民个人信息被称为“流量”,公司自己开发有乐花管家等多个小贷平台,在自身购买公民个人信息用于推销贷款,软暴力催收的同时也和其他公司相互交换公民个人信息,还开发有爬虫云等软件,通过技术手段扒取其他小贷公司的公民个人信息,用于公司放贷和非法出售牟利。

据警方调查发现,诺涵科技的公民个人信息,主要来自湖南九象信息有限公司(下称:九象公司)。这家公司开发有一个黑爬虫网站,通过爬虫软件非法获取数10家小贷公司的公民贷款和逾期数据,然后公开提供收费查询,并提供“身份核验返照”业务,任何人只要在该网站输入公民姓名和身份证号码,就可以查询获取公民身份证相片。

锁定相关犯罪证据后,淮安警方在长沙、深圳分别将九象公司的法定代表人和技术主管抓获,审讯得知九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司(下称:黑格科技),而黑格科技是从北京考拉征信服务有限公司(下称:考拉征信)等4家公司购买的查询接口。

经查考拉征信从上游公司获取接口后,又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄漏。

拉卡拉曾被大量用户投诉

公开资料显示,卡拉卡前身是2005年时由有道创投、孙陶然、雷军共同出资创立的乾坤时代;2015年,拉卡拉整体变更设立股份公司,主营业务为个人和企业用户提供金融服务。作为国内首批获得央行颁发牌照的第三方支付企业,拉卡拉旗下拥有支付服务、金融科技、产业基金等业务板块。

易分期是拉卡拉旗下的个人消费信贷平台之一,据官网介绍,拉卡拉目前的累计贷款规模超过1300亿元,个人贷款业务的单日放贷量超过一个亿。

聚投诉上,拉卡拉的相关投诉达到1152条,被投诉最多的则是暴力催收,高利贷。其中投诉人昆学先生在聚投诉上表示,其在拉卡拉平台借款15000元,而拉卡拉在未经本人同意前提下,给亲友打电话发短信,并且泄露个人信息。

借款人梁先生投诉,在拉卡拉申请易分期贷款,申请金额为5万元整,还款期限为一年,但实际到账金额只有41000元,其中9000元被拉卡拉以手续费变相砍头息的名义从中扣除,后私自更改为收取的保证金。明明写的保证金不计息,却算在本金之中,利率已高达43%,已经还了本金36337元,要求用被扣的质保金抵充,至今未解决。

期间梁先生还遭遇拉卡拉公司暴力催收,辱骂、恐吓、骚扰本人和亲人朋友。合同中也是显示5万元的借款金额,与实际放款金额不符,易分期存在砍头息套路贷,阴阳合同的违法行为。

“黑色产业链”遭揭秘:身份证照片可随意获取

据21世纪经济报道记者了解到,公民身份认证服务是直接服务于“互联网加+政务”来提升政府公共服务效能,防范欺诈和金融风险为目的。但之所以有以上等问题主要在于,涉案公司非法将公民身份认证端口出售,并非法缓存公民身份数据,层层加价后,这些数据被小贷公司利用,查询价格从源头的0.1元一条,到查询底层时可能两三块钱一条,身份证照片可以随意获取。

据办案民警介绍,身份证照片可以随意获取,这为小贷公司实施“套路贷”犯罪、暴力催收敞开了罪恶之门。

罪在申某的电脑里,警方查获公民个人信息7万多条,这些信息包括公民姓名、身份证号、地址、电话以及芝麻信用分等,很多信息显示推广来源为“花钱无忧”“借点钱”等小贷平台。

江苏淮安市公安局淮安分局河下派出所副所长汤培林:申某自己不做贷款业务,他就是贩卖,从人家这边买过来以后,赚个差价,加几毛钱一条或者一块钱一条,他再出售给其他人。

江苏淮安市公安局淮安分局网安大队中队长顾明:返回的是带网纹的二代身份证彩色照片,是真实的,有办案民警测试了一下,是最新的,大概两三个月之前刚刚拍的照片。

锁定相关犯罪证据后,淮安警方在长沙、深圳分别将湖南九象公司的法定代表人和技术主管抓获。审讯得知,九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。

随即,警方将北京黑格公司和考拉征信服务有限公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获,并于今年4月在北京将他们上游公司的5名涉案人员抓获。

经查,北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。

经查,2015年3月以来,北京考拉公司非法提供查询返照9800余万次,获利3800余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条。

事件解读

奥联安全技术专家表示,企业及个人应高度重视数据资产价值,持续加强对敏感数据保护的力度。最有效的数据保护手段是采用以密码技术为支撑的数据加密机制,对敏感数据进行全生命周期的保护

他强调,任何补丁式的安全方案都不能有效防范数据泄露。许多案例不断地重复证明应用透明的数据保护机制并不能真正抵抗高级攻击。这样的系统仍然面临巨大的数据泄露风险。所以应用软件系统或APP从设计之初就应充分考虑数据的安全性,制定和实施数据安全策略,内建数据保护机制。虽然全同态加密等机制距离应用还有距离,但是现代密码学提供了许多有效的手段,可以解决许多现实问题。我们应该充分使用这些高级密码技术,不断加强数据安全保护水平。

数据安全,特别是个人隐私保护是网络信息安全的核心保护内容,早在2012年出台关于加强网络信息保护的决定,要求网络服务提供者保护其在业务活动中收集的公民个人信息,并在可能发生信息丢失、泄露、损毁的情况下采取补救措施。

2017年6月1日正式实施的《网络安全法》第四十二条:要求网络运营者不得泄露、篡改、毁损其收集的个人信息,应当采取技术措施和其他必要措施,确保到个人信息的安全,防止信息泄露、毁损、丢失。在发生或可能发生的个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

2019年4月,为深入贯彻落实《网络安全法》,公安部网络安全保卫局发布《互联网个人信息安全保护指南)》,在数据完整性及数据保密性方面提出要求:应采取校验技术或密码技术保证重要数据在传输、存储过程中的完整性和保密性,包括但不限于鉴别数据和个人信息。

2019年10月26日,《中华人民共和国密码法》正式颁布,自2020年1月1日起施行。在保障网络与信息安全方面提出:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

解决方案

密码技术是网络安全的核心技术,是数据安全的主动防御手段。采用密码技术保护数据,即使数据被窃取,窃密者也“看不懂”数据。SM9标识密码算法可以很好的解决数据安全治理对数据分类分级、全生命周期安全对密码应用灵活性、轻量级和高安全的要求。SM9标识密码算法采用标识作为公钥,可实现与操作系统灵活耦合,结合PFE格式保留算法可快速实现对在用业务系统的改造

奥联隐私保护产品具有如下的优势:

(1)高强度安全:综合使用SM3、SM4、SM9密码技术,为数据提供高安全加密防护。

(2)灵活加密策略:针对业务系统和数据安全治理的综合要求,可提供灵活的加密策略,实现“一人一密”、“一事一密”。

(3)轻量级密码基础设施:基于SM9算法的特性,降低密码基础设施建设成本和运维复杂度。

(4)降低改造成本,无震荡升级:只需要嵌入安全密码模块,即可完成数据库数据的加密保护。

(5)数据库结构零改动:FPE保留数据格式算法的特点,数据库的字段不需要改变大小和类型即可直接应用该算法。

(6)非常适用于数据遮蔽应用:可自动批量快速完成对敏感数据的修改,从而保证克隆出来的数据库的数据量完全等同于生产库的数据量,敏感数据又做了伪装,如身份证号,姓名,家庭住址,工资等,看起来是真数据实际上是假数据,从而消除了敏感数据的泄露隐患。