18岁高中生构建“数据帝国”，非法获取一亿条公民信息

自学编程技术，研发非法软件，利用网站注册漏洞疯狂盗取上亿条公民个人信息，在境外网站上以换取比特币的方式出售……你能想象这是一名18岁高中生的所为吗？

今年高考前，广东一名高三学生小刘因涉嫌侵犯公民个人信息罪被抓获，其行为严重危害公民个人信息安全甚至是国家数据信息安全，此事在当地引发关注，同时也暴露出互联网平台的严峻安全隐患。

小刘的落网源于另一起侵犯公民个人信息案。2018年9月，无锡警方接到举报，有人在论坛、贴吧等平台售卖公民个人信息以及盗窃信息所用的非法软件。警方立案侦查后，抓捕了犯罪嫌疑人付某。

据付某交代，向他出售软件的是一名陌生网友。办案人员顺藤摸瓜对这名网友进行技术调查，锁定了其网络IP地址，而使用者就是小刘。同时，警方还发现小刘盗取的公民个人信息，有一部分正在境内外网络渠道公开售卖。

小刘被警方带走时，他的老师和同学们都不敢相信。周围人表示，小刘平时学习成绩挺好，是个比较老实的学生。

据警方审查，小刘从小就对计算机十分感兴趣，经常利用节假日自学计算机技术，还通过技术软件浏览境外网站“取经”。从2017年下半年开始，他在各大论坛看到查询网络用户个人信息的方法，并对此产生兴趣。不出一个月，他就编写出了一款软件，可轻松获取网站用户账号和对应手机号。

经过不断改进，他又编写出一款能够批量获取信息的软件，将该软件接口与某网站对接，便能获取该网站的用户账号以及对应手机号码。他还专门在境外租用10多台服务器支持操作。仅一个月时间，就非法获取了约1亿条公民个人信息。

此后，小刘不仅在境内网络建立起微信、QQ群，还在境外使用聊天工具自助编写“信息查询”机器人，将数据库通过微信、QQ等群聊以包月查询形式向他人兜售。他还通过翻墙软件在境外以比特币为交易货币，贩卖上述数据库长达两个月，共计获利约2万元。

按照小刘的设想，他还将会对数据库中上亿条个人信息进行整理，进而获取用户名、手机号码对应的真实姓名、家庭地址等公民个人信息，利用技术手段实现经纬度实时定位，从而建立起一个强大的“数据帝国”。

运用技术手段，短时间就能获取数量巨大的公民个人信息，甚至还打算建造数据帝国，如果小刘没被抓获，他的设想也完全具备实现的可能性。

一方面，可以明显感受到，网络上有太多获取信息的渠道和工具，公民个人信息随时处于被暴露的境况中，信息的多重比对、组合甚至可以掌握一个人非常精细的隐私，堪比“裸奔”。

另一方面，除了工具和手段，信息会泄露总还是因为存放信息的地方有疏漏，这暴露出一些网络平台用户信息存在明显的安全问题。

这些被攻击、被渗透而导致数据外泄的互联网平台，或是因为内部管理不到位，安全意识缺失，或是因为平台或网络存在安全隐患而没有足够的防御措施。

应《网络安全法》的规定，所有的网络运营者都必须主动承担起网络安全的主体责任，对平台收集、存放的公民个人信息安全负责。否则，信息泄露不光是作案者的过错，也会对网络运营者进行严厉追责，最后损伤的，也将是平台的品牌和业务。

从外部分析

互联网系统由于自身的安全缺陷，可能会被SQL注入、木马、DDoS攻击、撞库拖库等各种入侵手段攻击，从而导致数据被窃取。

知道创宇旗下Web应用防火墙—创宇盾可提供专业的网页防篡改、防拖库窃密、防挂马等服务。海量并持续不断更新的风险样本库，使得创宇盾云防御平台可以抵御各类攻击行为，为安全基础为零的系统提供有效的安全防御支持。同时创宇盾的协同防御机制，针对不同网站的攻击数据进行关联分析，提炼出最新的威胁信息，可实现“一网攻击，全网防护”。

创宇盾不仅具备高效的防护能力，同时还符合《中华人民共和国网络安全法》中规定的关键信息基础设施安全、网络信息安全等具体要求，并完全满足网络安全等级保护制度2.0标准等多项具体政策要求，可以帮助企业快速建立即合规又安全的网络防护体系。

从内部分析

网络钓鱼、操作不规范等员工安全意识不到位或内部管理疏漏也是造成数据外泄的重要原因。

知道创宇可提供网络信息安全意识培训服务，帮助企业了解员工的安全知识掌握程度，并通过培训与演练，提升员工网络安全知识，减少员工在日常工作中由于安全知识的匮乏使企业造成重大损失的几率。每个员工都是企业“人力防火墙”的一部分，培养企业全员网络信息安全意识刻不容缓。