从网上下载某知名网站的海量邮箱账号数据，犯罪嫌疑人覃斐等人通过邮箱盗窃支付宝账号，经过“洗库”方式进行进一步提炼筛选,经过层层交易整合，获取支付宝信息非法牟利……

　　互联网金融快速发展，越来越多的人热衷于通过微信、支付宝等工具转账，随着科技手段的发达，侵财犯罪案件的花样也在翻新，有的人恰好钻了高科技的空子，利用不法手段，从他人的支付宝里盗取钱财。

　　确实如此。如今微信支付、支付宝的使用人群非常广泛，老百姓出门只要带个手机，逛街吃饭一键搞定。然而科技总是存在漏洞的，近年来，利用支付宝实施盗窃的案件在全国各地频频发生，被害人大多是在不知情的情况下被人盗刷。比如，支付时扫描手机支付宝上的二维码，不需要输入密码，坏人就会用偷来的手机盗刷支付宝，导致失主损失大量的钱财。还有就是熟人作案，盗用朋友的信息注册支付宝，成功绑定了银行卡再盗走卡内钱财。

　　今天讲的这个案子就有些科技含量，一个黑客团伙利用“洗库”手段窃取了数千条支付宝数据，倒卖牟利并形成了黑色产业链。

据最新发布的《中国互联网络发展状况统计报告》显示，截至2017年6月，中国网民规模达到7.51亿，其中，手机支付用户达到5.02亿。

　　那么，先来给大家普及一下网络专业知识吧，“洗库”是什么概念？不会是跟“洗钱”有关吧？

　　呵呵，还真不是的。

　　说到“洗库”这个术语，就不能不说“撞库”。黑客通过收集互联网已泄露的用户和密码信息，将得到的数据刷其他网站进行尝试登陆，这个过程就叫“撞库”。在取得大量的用户数据之后，通过一系列的技术手段和黑色产业链将有价值的用户数据变现，通常被称为“洗库”。另外还有“脱库”“拖库”等术语。

　　这应该属于黑客的“独门绝招”吧？

　　对的！

　　黑客真是无孔不入，哪些信息容易被不法分子利用呢？

　　大家常用的邮箱账户会成为黑客的下手目标，比如今天聊到的这起案子就是很有特点，根据犯罪嫌疑人覃斐交待，某网站的用户数据库意外泄露，事后所涉及的用户规模达到了超千万级。

 

黑客离百姓并不遥远，覃斐如同隐形的“网络大盗”时刻准备窃取用户个人信息数据。

　　我的天哪!真是印证了那句话，往往最平常的、最熟悉的却最被我们忽略。

　　是啊！在我们的生活中，总有一些微不足道的事情被我们忽略。但是，越是被我们忽略的，往往又是最重要的，稍不慎，就有可能酿成悲剧。

　　本案中，覃斐搜索下载了海量的注册邮箱账户和密码，保存在电脑和微云、百度云盘里。至于说下载了多少，覃斐自己都“记不清”。在审查过程中，覃斐满不在乎地跟我们说：“信息要多收、越多越好，等到申报的时候可以用得上，多挣些……”

　　经查，犯罪嫌疑人覃斐通过软件对原始邮箱数据进行技术处理，梳理分类出邮箱所关联的游戏账户、绑定邮箱的支付宝账户在QQ上出售。从去年6月份到今年6月份，非法牟利五、六万元。

　　上网时，我们都会认为设置的邮箱、账户、密码只有自己知道，仅凭“偷来的”一个邮箱账户能造成多大的危害啊？

　　确实如此，不少人存在着相同的认识误区。其实，网上有些人不仅知道这些密码，还靠倒卖这些信息赚钱。

　　精明的黑客仅仅凭借一个邮箱账户，就可以非法获取支付宝登陆邮箱账号、登陆密码、支付密码、支付宝注册人姓名、身份证号码……大量的信息，手段之高超乎想象！

　　比如，犯罪嫌疑人通过网页的隐藏元素查看身份证号码，一开始，覃斐并没有觉得自己犯了法，他说：“一般人都看不懂，在我眼里，这些账号就可以卖钱，做这个事情不用固定时间，坐等来钱，当然是挺舒服的。”

互联网给人们生活带来便捷的同时又隐藏巨大风险。

　　这么说，大家的隐私不就透明了吗？

　　是的，“互联网+大数据”正在影响我们的生活，同时，“数据裸奔”时代让个人隐私也成了最公开的隐私。

　　姓名、身份证号、电话、住址等隐私和个人信息一旦上了网都有被泄露的风险，以本案为例，覃斐将梳理好的原始邮箱账号和密码以每千万条1000元的价格，分别卖给中间商张驰和李达等人，这群人利用软件层层过滤出支付宝账户、支付宝密码，然后以每条3—5元出售，粗略统计下共卖出三、四千条支付宝数据。如果支付宝账号的等级达到钻石级，则每条可卖到六、七十元。

　　我们的隐私还真是不值钱，呵呵！这些泄露的信息又是如何被利用的？

　　一旦下游的买家张小文等人拿到张驰处理好的数据，会采取技术手段更改支付宝的登录、支付密码。陈竹等数据处理商们还要经过再完善、处理，一番深加工后，将支付宝账号卖给刷单炒信的“客户”，他们会用于“苹果36技术”盗刷牟利。至此，一套“洗库”流程完成。

　　所以说，支付宝虽然方便，但毕竟不能完完全全识别自己真正的“主人”，大家伙最好关闭小额免密功能，并设置复杂不易破解的密码，对于异地登陆等异常情况提高警惕。另外，身份证、银行卡号、短信验证码这些信息和支付宝账户安全密切相关，一定要小心谨慎，否则，一个不眨眼，就可能面临意想不到的损失。

图表：安全网上支付四大技巧 新华社发

　　估计“洗库”只是前奏吧。

　　其实倒卖公民个人信息有一个黑色产业链，从个人信息非法采集到非法出售、购买转售再到非法利用的各个环节，都可能出现非法侵害的情况。

　　在这个领域，公民信息售价是可观的，一些从网站流出的一手数据售价在3—5元，不法分子掌握数据处理技术后，进一步将其提炼，包装成业务，“市价”最高的能卖到60元/条。

　　这个源头包括哪些方面?怎样去控制源头呢？

　　控制源头首先是自己必须“扎好篱笆桩”。因为网上购物、收发电子邮件、注册app账号、扫描二维码、出门在外连接公共场所的wifi等等，都有可能将个人信息泄露出去。其次，一些重要系统和网站在长期的经营中，逐渐形成并积累各自的用户信息数据库，有的因管理不善也会导致泄露。

　　比如，前面谈到的那家泄露过用户数据的网站有一款游戏对会员“很敏感”，相比于普通游戏就是过度采集用户信息。当用户注册的时候就开始获取用户的身份证号、邮箱账号、支付宝账号、输入密码、支付密码等大量数据。

由于本案涉及到很多网络专业知识，陶建民经常要一边研读本案卷宗一边上网查询“新名词”。

　　这些泄露的个人信息流落出去，会不会来个二次伤害，造成连锁反应？

　　公民隐私被严重侵犯、个人信息数据被非法买卖，带来的危害是显而易见的，包括经济、名誉、个人信用等方面。比如电信诈骗、刷单炒信、盗卡交易、垃圾短信，这些都会让受害人防不胜防。

　　那么，今天谈到的这起支付宝账号“洗库”案中，犯罪嫌疑人覃斐等人是否已受到法律制裁？

　　犯罪嫌疑人覃斐、张驰、李达、陈竹、张小文五人被批准逮捕后，目前已被诉至法院，等待他们的将是法律的严惩。

　　希望这些人改过自新后，能把聪明用在正道上。谈完了案子，能否再介绍一下检察机关是如何下定决心严防严控、铁腕治理侵犯公民个人信息犯罪行为的。

　　早在2016年8月，省院案管部门曾经通报称，2009年《刑法修正案（七）》新增设“出售、非法提供公民个人信息”、“非法获取公民个人信息”罪名后，江苏检察机关共受理这一类案件106件232人。2015年11月1日起，最新施行的《刑法修正案（九）》将以上罪名取消，取而代之“侵犯公民个人信息罪”，大半年就受理该类案件30件53人。

曾经的黑客风云人物已被批准逮捕，他们必将接受法律的严惩。

　　值得一提的是，2017年6月1日起施行的两高（即最高检、最高法）《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，为打击侵犯公民个人信息犯罪又提供了强大的法律武器。

　　这几年，侵犯公民个人信息犯罪案件被有效控制，咱们执法机关的打击力度可见一斑。大家想要避免这些“坑”，除了从源头上预防，那些隐藏的风险应该如何把控防范呢？

　　在提高自我保护意识之外，亟待健全系统化的防护体系，捍卫大数据时代的个人信息安全。

　　老百姓在上网的时候首先要提高安全意识，多做防护措施，警惕过度收集个人信息的平台、网站，不管是注册邮箱、QQ等通讯软件，还是网络游戏，都不要设置相同的账号和密码。

　　目前，网络服务公司对于公民敏感信息、注册数据保护全部采用加密技术处理，接下来，各家公司还要继续加强数据保护关键技术的升级建设，提高敏感数据泄露等安全隐患的监测发现与处置能力。

　　检察官建议：

 

　　公民的个人信息保护任重道远。法律层面，需制定保护公民个人信息的专门法规，对个人信息的采集、使用、处理予以立法；行业层面，建立重点领域的行业自律机制，切实做好保密义务；技术层面，加快大数据安全保障关键技术的推行，降低信息泄露的潜在风险；司法实践层面，从渠道销售端严厉打击非法数据倒卖行为。

（特别感谢徐云刚对本文的大力支持 另注：文中涉案人均为化名；文中部分插图来自网络）