重庆联通公司一名员工向 《每日经济新闻》记者透露,对于客户的个人信息,联通公司有一套保护机制,但其中也有缺陷。比如联通公司针对内部员工查询客户个人信息设置了相关权限,但在执行过程中,对于权限的应用则比较“灵活”,存在越级查询的可能性。
有业内人士表示,此次案件的背后也折射出联通公司内部管理机制存在软肋。“根据目前倒卖个人信息市场的行情来看,每单1万元的价格非常高,这些信息内容肯定经过了筛选,该名技术人员所利用的系统漏洞很可能就是内部管理的问题”。
员工高价卖信息
1月14日上午,重庆江北“12?5”专案成功破获,公安机关对向某平、向某杰等6名犯罪嫌疑人实施了抓捕。
尤为引人注意的是,重庆江北“12?5”专案中,重庆联通公司的一名技术人员扮演着重要角色。
重庆江北支队刑警谢林坤在接受媒体采访时曾介绍,重庆联通公司技术人员何某受雇于向氏兄弟,利用其职务优势,非法为委托人获取其他公民的联通手机通话清单和短信清单,一份电话清单就可获取高达1万元的回报。
重庆江北分局方面人士也向《每日经济新闻》记者证实了以上内容。
事实上,关于大型通信服务商泄露用户个人信息的事件并不少见。早在2009年的中央电视台“3.15”晚会上,就曝光了山东移动公司以盈利为目的,大量向用户发送商业广告短信,并出售用户信息给垃圾短信公司的行为;2012年4月,四川警方也成功破获了一起电信部门“内鬼”向外泄露客户基本信息的案件。
重庆市网络安全保卫总队证监室主任王树福就表示,目前一些能掌握公民信息的主管部门,已成为泄露公民信息的主要源头,也成为犯罪分子的重点渗入对象。而作为掌握公民个人信息的部门,也应该进一步加强内部管控。
内部管控受质疑
据重庆江北分局宣传科张姓工作人员介绍,上述何姓联通公司技术人员,之所以能够调取大量用户详细信息,所利用的就是其系统的漏洞。
与《每日经济新闻》记者有所接触的一名重庆联通公司在职员工则表示,对于客户的个人信息,公司有一套保护机制,但其中也存在一定缺陷。“公司所有员工在入职前,都会有一系列针对保护客户信息的培训,强化员工保护客户信息的概念,特别是对于那些有着查询客户信息优势的部门,比如客服部、技术部,培训也更为严格”。
此外,联通公司针对员工查询客户信息还设置了严格的权限,不同级别、不同工种所能查询到的信息也不同。不过上述员工透露,公司所设定的权限在操作上却比较 “灵活”,存在越级查询的可能性。
不少市场分析人士认为,导致联通公司技术人员轻易获取客户大量核心信息的根源在于上述提到的对于查询权限的执行管控力度上。
“这里所指的系统漏洞,应该是指管理上的漏洞。”独立电信分析师付亮说,在通信运营公司内部,技术部的一般员工能接触到客户信息,但售价高达每条万元的信息则需要经过技术筛选,要拿到这类信息,需走严格的程序。
付亮同时表示,此次信息泄露也不排除联通信息系统存在漏洞的可能性。“不过如果是信息系统有漏洞,那么其售卖信息的含金量则不会如此高,在个人信息泄露成本降低的今天,联通等通讯服务商应该进一步加强内部管控。”他说。
对于此次信息泄露事件,《每日经济新闻》记者曾多次拨打重庆联通公司媒体公关部电话,但截至发稿,均无人接听。