你的停车信息被泄露了吗?
2023-5-11 17:54:0 Author: 谈思实验室(查看原文) 阅读量:20 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

全国首例全链条打击侵犯公民停车信息案背后,“寻车”业务上下游之间环环相扣,已形成了一条完整的产业链条。

本文字数5127,阅读时长约16分钟

户通过微信扫一扫,车辆即可便捷进出停车场,这是“智慧停车”的常见场景。但很多人不知道的是,你的停车地点、停车时长、车牌号等个人信息可能已被泄露,成为不法分子犯罪的工具。

3月24日,江苏省南京市鼓楼区人民法院(下称“鼓楼法院”)公开审理全国首例“全链条”打击侵犯公民停车信息案。该案备受外界关注,是因为这是一起从软件作者、代理商、寻车业务经营者、安装GPS人员、拖车人员等多方面进行全链条打击的典型案例。

财经E法注意到,该案涉及的停车信息条数为2万余条,涉案金额有100余万元,但案件揭开了“寻车”业务灰黑产的全貌——从程序开发、数据查询、联系客户、安装定位跟踪设备等,“寻车”上下游之间环环相扣,已形成了一条完整的产业链条,随着本案的宣判,涉案人员均因侵犯公民个人信息罪被判处。

01

停车位置属于个人信息

相关材料显示,广东省深圳市前海深港合作区前湾一路1号A栋2层,深圳前海捷和供应链管理有限公司(下称“捷和公司“)登记注册于此。谢荣明是这家公司的法定代表人,公司经营项目包含商务信息咨询、金融信息咨询等。“寻车”是他经营的一个主要业务。

2017年以来,黄健伦长期从事“贴G手”工作。所谓“贴G手”,就是根据获取的车辆位置信息,将GPS定位器安装在指定车辆下方,实现对车辆行踪的精准定位。

黄健伦发现,一些智慧停车软件,只需要扫码后,就会弹出输入车牌号的页面,这样就可以查出指定车辆是否在某一停车场。为此,黄健伦一度购置了数十部手机,批量接单,业务做久了,他在圈子里小有名气,“圈子里不少人认为我在外面认识很多停车平台,查停车信息能力强”。

2019年,在朋友的引荐下,黄健伦接触到了谢荣明,经过一些具体“业务磨合”,双方建立了信任。黄健伦逐渐意识到,自己一直使用的依靠数十部手机手动“寻车”的方式,已经明显落后。在与谢荣明沟通后,双方达成共识——应该借助于网络技术,进行更高级别的技术开发,实现从智慧停车平台无数量限制地获取车辆位置信息。很快,黄健伦找到了合适的人选——网络技术业余爱好者李旭。

李旭经常光顾一些开源社区(开放源代码社区),他也加入了聚集了国内外众多网络技术爱好者的微信群等社交平台。机缘巧合之下,黄健伦找到了李旭。为了开发一款抓取停车软件内的停车信息的软件,李旭首先做了一下试验,他用E语言进行编程,形成爬虫程序,又从开源社区下载了有特异功能的源代码进行拼凑,模拟人工查询停车软件。同时,他还使用一款“抓包”(在计算机网络中截获传输的数据包,并对数据包进行分析和解码)软件对查询返回的数据进行“抓包”。

最终,李旭开发出包括“JTC”在内的多款软件,这实际上是一款爬虫程序,可以针对具体的停车平台,绕过平台系统安全防护机制,进行数据“抓包”。

经审理查明,2020年6月起,谢荣明承接客户要求查找车辆信息的业务后 ,黄健伦使用提供,李旭制作、提供的用于爬取停车信息的“JTC”等程序,通过技术手段绕过“捷停车”等停车平台系统安全防护机制,非法获取“捷停车”等停车平台系统保存的公民车辆即时停车位置信息。同时,黄健伦还接受谢荣明的委托,给指定车辆安装定位跟踪设备,并收取谢荣明给予的报酬。

这些人实现了上下游全链条配合,线上线下一体化盗取、查询车辆停车信息业务。这一团伙总计获取停车信息超过2万条。李旭要求黄健伦每月支付1万元工资,截至2022年5月被警方抓获,黄健伦从谢荣明处获取110余万元,李旭从黄健伦处获取26万余元。包括谢荣明在内的另外10余人也在2022年5月、2022年6月先后被警方抓获。

庭审中,停车位置信息是否属于公民个人信息,是案件争议的一大焦点。

鼓楼法院认为,公民车辆即时位置信息、轨迹信息,系能够反映、识别特定自然人活动情况的信息,该信息与公民行动自由、人身安全等刑法保护法益紧密关联,属于公民个人信息。

鼓楼法院刑庭庭长朱锡平在接受媒体采访时表示:“对于公民的个人信息,法律旨在保护的是公民生活的安宁,就这个案件来讲,公民停车位置信息是非常敏感的信息,它涉及到公民的人身安全,行动自由以及财产安全。信息的获取必须经过公民本人明确告知、同意,而且要把公民个人信息用到正当途径。恰恰这个案子里面这些要素都是不具备的,因此它是违法行为。”

谢荣明等13人均因侵犯公民个人信息罪被判处,其中黄健伦因犯侵犯公民个人信息罪,被判处有期徒刑四年十一个月,并处罚金人民币120万元;李旭因犯侵犯公民个人信息罪,被判处有期徒刑三年三个月,并处罚金人民币25万元。

02

停车信息卖给了谁?

不同于身份证号、手机号、家庭住址等常见个人信息,谁是停车信息的买家?据谢荣明供述,众多有寻车需求的客户是买家;黄健伦进一步表示,寻车方既包括了众多金融消费、金融租赁类企业,也包括了一些汽车租赁企业。

黄健伦称,金融类机构一般向有资金需求者放款时会要求提供汽车等资产作为抵押,并提供诸如身份证、手机号、家庭住址、车辆行驶证、登记证等详细的个人信息,以此作为获得资金的抵押凭证。最为重要的是,一些放款的金融类机构已经明确告知,将在车辆上安装GPS,以随时掌握车辆位置信息。一些用款人在获得资金后,会选择将GPS装置强行拆除,放款方要获取车辆位置信息,于是求助于谢荣明等“赏金猎人”。

黄健伦等人还提出,本案中用款人拆除GPS定位装置是为了躲债,这些人被放款机构起诉,且在诉讼中已经败诉。由于长期逃避债务,他们已经在判决生效后被法院列入拒不履行判决黑名单(俗称“老赖”)。黄健伦等人认为,查找这些人的车辆位置信息,属于查找财产线索的一部分,这实际是有利于债权人的。因此,他们参与查询的车辆位置信息不应该属于个人信息。此外,“贴G手”根据车辆位置信息,安装完GPS定位装置后,并没有继续跟踪车辆,而是将对应的控制端账号、密码交给寻车方,由寻车方修改密码,自行监控车辆位置。

鼓楼法院在判决中指出,公民车辆即时位置信息、轨迹信息是能反映、识别特定自然人活动情况的信息,与公民行动自由、人身安全等刑法保护法益紧密关联,既是《民法典》中规定的公民个人信息,也属于《个人信息保护法》所规定的敏感个人信息。谢荣明、黄健伦、李旭等人是通过非法技术手段,强行爬取属于公民私密信息的即时停车信息,还给指定车辆安装定位跟踪设备,已经构成侵犯公民个人信息罪。

南京大学法学院教授孙国祥表示,从这个案件情况来看,反映出侵犯公民个人信息的违法犯罪活动具有产业链性质,有明确细化的分工。法院通过判决,对侵犯公民个人信息行为进行全方位、全链条的打击,具有很好的警示作用。

据《检察日报》报道,此案最终能实现全链条打击,起因是一名“贴G手”被抓获,鼓楼区检察院的检察官在办案过程中注意到,这名“贴G手”的手机内存储了停车信息。检察官通过裁判文书网、中国检察网以及公安机关办案系统检索各地办理的类似案件,发现各地查获的均是安装GPS设备人员,并未涉及提供车辆停放信息的“上家”。对此,检察官会同公安机关研判后决定顺藤摸瓜,彻底查明这一黑色“产业链”。

此案庭审直播广受关注,检察机关坚持全链条重拳打击侵犯公民停车信息犯罪生态系统,全方位筑牢网络安全、数据安全防护网,全领域铲除违法犯罪滋生土壤,全维度保护网络数据合法权益,从个案打击上升为行业治理,牢牢把握防控安全风险的主动权。

公诉机关提醒,当前侵犯公民个人信息的违法犯罪行为之所以泛滥,深层次的原因在于:一方面少数不法商家、讨债公司依法经营的意识淡薄,为拓宽其业务渠道和销售业绩,不择手段以获取公民个人信息;另一方面,一些能够接触到公民个人信息的单位和个人,为了谋取非法利益而违法出售采取技术手段非法获取公民个人信息。而无论是出于何种目的、采取何种形式,获取、买卖公民个人信息均系违法甚至是犯罪行为,必将受到法律的严惩。

03

停车平台需担责吗?

在用户的一般认识里,“智慧停车”平台一般都建立有安全防护机制,以防止停车数据信息泄露。但从本案所披露的信息看,相关“智慧停车”平台的安全防护机制还是被轻松攻破。

知名“智慧停车”平台——“捷停车”是黄健伦等人攻破的一个平台。捷停车的运营方是深圳市顺易通信息科技有限公司(下称“顺易通公司”),顺易通公司则是A股上市企业捷顺科技(002609.SZ)旗下子公司。捷停车官网数据显示,截至2021年11月,该平台已在全国超150个城市落地,联网车位数超过1000万。

发稿前,财经E法曾联系顺意通公司就相关问题置评,但对方未予回应。

多位网络技术人士告诉财经E法,由于使用场景特殊,停车软件具有半开放性。爬虫程序相当于加了一个外挂,如果平台的安全防护机制低,可以轻松爬取停车信息。此外,停车平台目前一般是以公众号、小程序来实现查询和缴费。查询二维码是面向所有用户的,谁都可以扫码,为了实现查询、缴费便利,各平台一般不会设置验证环节。因为一旦设置这个环节,查询、缴费将变得繁琐,这并不利于相关平台的推广。目前智慧停车行业竞争激烈,平台企业优先考虑用户的使用体验,会把使用的便利性放在第一位。有网络技术人士还透露,即使停车平台设置了较高的安全防护机制,不法分子还可以通过API接口漏洞进行攻击来获取停车信息。只要API接口存在未授权访问漏洞,不法分子可以使用大量IP(一般通过IP代理平台购买获得)持续对查询系统进行攻击。这样可以实现随时“寻车”的目的:如果该车没有进入,会提示 “车辆未入场”;如果该车进入了,则可以具体显示停车时间、具体位置、缴费金额等信息,甚至显示车辆入场时的照片。

内蒙古大学法学院讲师李东方对财经E法表示,智慧停车软件在产品形态上是一种创新,如何在注重效率、增强用户体验的同时,还能真正实现保障数据安全,应当更多从技术角度去实现。

3月27日以来,财经E法在北京多处停车场扫描公开张贴的智慧停车二维码,发现已有平台需要对车牌号进行绑定方可查询及结算离场,或需要用户绑定微信、支付宝方可查询、结算。但仍有多个平台无需绑定,扫码后手动输入车牌号即可进行查询、结算。

对于此案中相关平台企业的角色,李东方认为,具体用户是受害方,而相关企业也应注意,其可能面临既是受害方,也是责任方的情况。

《数据安全法》第三条明确了数据处理的概念:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

李东方认为,对于停车软件企业来说,应先明确其在此类案件中所处的定位。如果企业自己存储了数据,那么就应该重点考虑从技术和法律合规角度,增强对于数据安全的保护;如果企业仅仅是购买了其他外包机构提供的服务,数据的存储和加工等并未在其掌控范围之内,数据也是从其他外包机构被非法获取,那么在这种情况下,停车企业应该严把服务购买关,在考虑价格的同时,必须注重对于数据安全的保障能力。但无论以上哪种模式,由于停车软件企业或者外包机构确实存在数据收集和传输的行为,针对法律规定的数据处理,停车软件企业或者外包机构就应该承担相应的义务,如果违反相关法律法规,就应当承担相应的法律责任。

李东方表示,随着网络信息技术的不断进步,数据安全的攻守之势此消彼长,持续变化。平台的安全防护机制是否缜密周全,相关企业可以作出自我判断,但《数据安全法》第二十九条规定,“发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”为避免数据泄露造成进一步的损害,平台企业应该严格遵守。如果平台在发现数据泄露之后,并未立即采取补救措施,或是念及自身商誉等原因也未及时告知用户并向有关主管部门报告,发生二次乃至多次数据泄露,或者造成次生、更严重危害的发生,那么平台企业就应当承担相应的法律责任。同时,平台企业也要严查或者配合执法、司法机关调查是否有内部人员恶意泄露或窃取数据。

据《工人日报》报道,当前数字经济方兴未艾,但与此同时,数据犯罪也在暗流涌动,重点行业综合治理有待加强。打击治理数据犯罪是一个复杂的社会治理问题,亟须根据《个人信息保护法》《网络安全法》《数据安全法》全面总结近年来打击治理违法犯罪工作成功经验,做好顶层设计,有效提升社会治理能力,使人民获得感、幸福感、安全感更加充实、更有保障。

码上报名

AES 2023 第四届中国国际汽车以太网峰会,6月8-9日,上海

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247521862&idx=1&sn=a83e021664d2e214cb7fb2421c76236c&chksm=e927d29dde505b8b817a239df839b57511fe62ae6df6678915eee50930d3dff4301cee95dfa3#rd
如有侵权请联系:admin#unsafe.sh