近日,媒体曝光一起特大盗卖公民信息案,被窃取和盗卖的公民信息多达50亿条,而嫌犯竟是京东网络安全部员工,属于监守自盗。
据大陆媒体报导,案件涉及安徽、北京、辽宁、河南等14个省、直辖市,韩某亮、翁某、郑某鹏等主要犯罪嫌疑人悉数落网。
报导称,犯罪团伙的核心韩某亮将盗取的公民个人信息以多种形式变现,先后获得利润数百万元人民币。该犯罪团伙有人专门负责窃取公民个人信息,有人将这些信息进行整理建库,还有人将其出售、交换,已形成一个黑色产业链。
有知情人士称,犯罪嫌疑人郑某鹏在加入京东之前曾在大陆多家知名互联网公司工作,其泄露的50亿条公民信息中,可能包含多家互联网公司的用户信息。
而这50亿条信息包括用户账号、密码、身份证、电话号码、物流地址等重要信息。
推卸责任 京东称内鬼是“试用员工”
事件发生后,京东于3月10日回应表示:“经了解,郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。”
另外京东还强调:“由于该员工入职时间不长且权限不高,因此这批泄露的信息是否包含京东相关信息还有待查证”,同时京东还称,此事被不少媒体恶意歪曲误读,将“追究其法律责任”。
多个媒体对京东的回应进行评论,质疑其推卸责任。因为京东已不是第一次出现泄露用户信息事故:
1. 2016年12月,有消息称京东超12G数据疑似外泄,其中包括用户名、密码、邮箱、QQ号、手机号以及身份证等,涉及数千万用户。
京东方面回应表示,经京东信息安全部门依据报导内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司都受到了影响,导致大量数据泄露。
2. 2015年底,京东商城3名员工因越权登录公司数据库系统,非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子,导致大量京东客户遭遇诈骗,3人后被逮捕判刑。
京东开始回应称,部分用户使用相同的注册信息(用户名和密码),在其它网站泄漏后被不法分子使用“撞库”的方法进行诈骗。随后称,3名员工没有登录权限。结果事实并非“撞库”,而是“低权限内鬼”。
3. “国民老公”王思聪个人信息遭泄漏时,京东官方发声明表示是京东第三方店铺的员工违规私自泄露了王思聪购买该店铺商品的信息。
科技四少网站发表评论文章《50亿条公民信息泄露 京东内鬼被抓:网络信息安全应是平台第一重责》称:针对每一次信息泄露,京东的回应总是“低权限员工”、“不法分子撞库”、“第三方商家泄露”、“试用期员工”等,也总是刻意回避责任,而根据之前京东发生的多个信息被盗案例,大部分信息泄露均涉嫌“内鬼”所为,这些所谓的“内鬼”在职位和权限上都是比较低的,我们也不难发现,京东在管理和技术上存在漏洞。
另外一篇《“监守自盗”还是“引狼入室” 京东员工贩卖信息》则认为,京东网络安全部门的一名尚处于试用期的员工,就能接触到大量的公民信息并进行盗取,任何京东的用户都有权利向京东讨要合理的说法。这件盗卖事件不仅反映出了京东集团对用户信息安全的不重视,更折射出了京东不良的用人观念、存在漏洞的技术和管理模式以及京东社会责任感的淡薄。