信息化工作典型案例

非常案件

本报记者杜晓本报通讯员金枝

北京市海淀区人民检察院近日依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人，这4人涉嫌盗窃京东商城大量用户的账户信息。据公安机关初步查明，此次盗窃用户信息的行为，与发生在2011年的CSDN网络用户信息泄密事件关系紧密。

经查，陈某与肖某为初中文化程度，唐某与张某仅为小学文化程度。其中，陈某与唐某在广东省广州市、东莞市两地结伙作案，肖某与张某在湖南省衡阳市结伙作案。

2012年2月，嫌疑人陈某从其叔叔陈某某、老乡周某处获取了一个存有800多个京东商城客户账号及密码的文档，一套查看上述账户内资金情况的软件。

其后，陈某开始在他位于广东省东莞市常平镇某小区的住处内，使用自己的台式电脑，利用上述软件对京东商城客户的账户进行扫描。如发现账户内有资金或京东商城优惠券，便冒用客户的账号及密码登陆京东商城网站，盗刷账户内的资金及京东商城优惠券，在网站上下订单购买平板电脑、黄金饰品、手机、彩票等商品，由京东商城将货物快递至嫌疑人指定的地点。

陈某以上述手段盗窃京东商城1620余名客户账户内的资金，在京东商城网站上购买价值约10000余元的物品。

2012年3月初，嫌疑人陈某将这一存有京东商城客户用户名及密码的文档，通过QQ拷贝给嫌疑人唐某，唐某于是采取同样的方式，在其位于广东省东莞市的家中，用自己的台式电脑登录京东商城，盗刷京东商城用户账户内的资金及京东商城优惠券，购买商品。唐某共盗窃了京东商城40余名客户账户内的资金，购买价值约7351元的物品。

据海淀区检察院的检察官介绍，2011年年底，嫌疑人肖某、张某就已经受雇于周某并在湖南省衡阳市的网吧，盗刷京东商城客户账户内资金，在京东商城网站上下单购买商品。

因分赃不均，自2011年12月起，嫌疑人肖某及张某开始单独作案。肖某共盗窃619名客户账户内资金，购买价值近9000元的商品；张某共盗窃83名客户账户内资金，购买价值15000余元的商品。

2012年3月16日，在相关部门配合下，北京市公安局海淀分局民警在广东省东莞市将陈某、唐某抓获，在湖南省衡阳市将肖某、张某抓获。警方从4人住处起获部分赃物及赃款。据嫌疑人供称，其将赃物部分转卖，部分留作自用，彩票所中奖金已挥霍。

2011年12月21日，以国内最大的开发者社区 为主的多家互联网用户注册信息库被黑客盗取，涉及的用户资料在5000万以上，资料泄露的账号可能涉及网易邮箱、

QQ邮箱、人人网、京东商城在内的多家网站，该事件被称为CSDN泄密事件。同期，天涯社区论坛4000万用户数据泄露。

嫌疑人陈某、唐某、肖某、张某从陈某某、周某等人手中获取的京东商城客户数据，就源自于CSDN泄密事件泄露的数据库及天涯社区论坛泄露的数据库。

近日，海淀区人民检察院已向京东商城发出检察建议，建议其提高安全防范意识，全面落实国家信息安全等级保护制度，加强技术安全保护措施，有效提高网站安全管理的水平等。

■案意点击

针对日益猖獗的侵害公民个人信息违法犯罪，近日我国首次开展大规模集中行动进行严厉打击。截至目前，公安机关已抓获犯罪嫌疑人1936人，刑事拘留978人，挖出非法出售公民个人信息的“源头”44个。尽管如此，公民个人信息保护的现状仍不容乐观。保护公民个人信息，既要将运用刑法打击侵害公民个人信息犯罪常态化，同时也要完善相关法律，从民法、行政法的角度来进行综合治

上个星期，英国8,400名即将进入大学的学生收到了一封来自政府机构：学生贷款公司(SLC)提醒他们填完申请表的邮件。与邮件同时到来的还有一个附件，附件上泄露了8,400位学生邮箱地址。该机构后来表达了歉意，并承诺会进行内部调查。乐观看来，虽然数据泄露会给公司的声誉带来一点

损失，但整件事终究去平息下来。然而，从另一个角度来看，就不那么乐观了，公司将会失去顾客们对其的信任，同时也会赔偿一大笔罚款。例如，索尼，一家日本电子工业巨头，去年因黑客从公司窃取了超过1亿的私人资料，导致公司蒙受了巨大损失，甚至有可能将永远无法从中完全恢复。

据最近两个报告清楚显示，近几年数据资料的激增使得数据泄露越来越普遍。第一个报告来自一份年度发行刊，它是由安全软件制造商赛门铁克授权，由一家数据保护研究所---波耐蒙研究所贯彻进行的，这份年度发行刊的目的是调查几个国家关于数据泄露的损失。现在，在它的调查的第七个年头里，给美国人带来了好消息：在数据被跟踪调查期间，通过对公司调查的花销、赔偿金、顾客支持花销以及计划的收入损失进行估计，首次发现每个公司针对每个数据泄露记录的平均花销都有所降低。调查的数据显示，从2010年214美元的损失减少到了2011年的194美元，这就意味着这些公司已经在防止数据泄露以及对数据泄露的处理方面做得更好了。

然而欧洲在这方面就做得相对较差。在英国，在这方面的花销从71英镑上升到了79英镑（也就是从113美元上升到了126美元）；在法国，从98欧元上升到了122欧元（也就是从130美元上升到了162美元）；在有私人保护意识的德国，其花销从138欧元上升到了146欧元。在这四个国家中，所有

数据泄露中有2/3是因为技术错误或恶意攻击所致，然而剩下部分是因疏忽所致。换句话说，其实公司可以防止这些疏忽的发生。

第二个报告在一定程度上解释了为什么数据泄露会发生。数据管理公司---铁山公司授权一家顾问公司---普华永道基于欧洲的中型公司对数据管理的态度，对这些公司所面临的信息泄露风险进行了评价。这项报告调查了600家公司，它们分布于6个欧洲国家，横跨不同行业。在调查中发现，这些公司都把数据管理归为IT部门的责任。超过一半的公司认为，可以通过技术来处理数据泄露这个问题，然而只有1%的公司认为这个问题关乎公司全体员工，并觉得在需要改变。

两份报告总结了公司真正需要的是什么。赛门铁克的调查表明了管理信息的高级主管与低花销的数据泄露之间的关系。铁山公司的领导马克杜里拉说道：“解决这个问题必须从公司高层做起。”最好的解决方法不一定要花很多钱---提高员工意识方案以及对员工进行培训比昂贵的IT技术更新更有效。恶意的攻击或者是不可避免的，但我们不能轻易犯下愚蠢的错误。