京东确实出了内鬼,3名员工越权获取客户信息后出售!
去年3.15前夕,京东被曝出大量用户隐私信息遭到泄露。京东方面给予的回应是:该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。
当时有媒体质疑,如果真是“撞库”,那同一时间,为何其他电商网站没曝出用户信息被窃且遭到欺诈?原因只有一个,京东方面不愿意承认存在“安全漏洞”问题。
现在事情被查明。并非“撞库”也并非“安全漏洞”,而是京东出现了“内鬼”:
京东商城3名员工越权登录公司数据库系统,非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子。
其中一名被告人的代理律师告诉《法制晚报》记者,此案案发,是京东商城在2014年底、2015年初接到大量客户反映信息被泄露、遭遇电话诈骗的投诉,由于投诉量大,京东商城进行了自查,最终确认泄露信息系李军等3人所为,京东随即报案。
《法制晚报》(微信ID:fzwb_52165216)记者独家获悉,3名京东员工被北京市大兴区人民法院以非法获取公民个人信息罪判处有期徒刑1年6个月至1年。日前,有律师已准备调取刑事案卷作为证据,替消费者起诉维权。
窃取信息
京东3名物流员工 出售9313条客户信息
北京市大兴区人民法院作出的(2015)大刑初字第1464号刑事判决书显示,李军、赵亮、冯春(三人均为化名)均为北京京东世纪贸易有限公司员工。
但李军等3人并不在北京工作,而是在江苏省昆山市工作。昆山,被媒体称为“最爱网购县级巿”。京东商城在当地建成30多万平方米的物流仓储设施,是京东商城在华东区域的电子商务总部基地。
李军的代理律师贾虹杰表示,李军等3人都是负责物流的员工,而物流部门掌握着详细的客户资料,包括客户姓名、电话、地址、何时下单、所购货物等信息。
李军、赵亮、冯春都只有初中文化,分别为1985年、1986年和1990年出生。
法院审理后查明,2014年12月至2015年1月,李军等3人通过登录北京京东世纪贸易有限公司ERP办公系统(服务器位于北京市大兴区亦庄),非法获取京东商城客户个人信息9313条,造成北京京东世纪贸易有限公司大量客户信息泄露,并将上述信息售予他人。
非法获利
从每条卖3毛钱涨到1.5元 3人赚近4万元
虽然判决书中根据相关证据认定泄露京东商城客户个人信息9313条,但根据第一被告人李军的自认,他们非法获取的京东商城客户个人信息大约有近3万条。
据其交代,3人总共非法获利近4万元。李军说,最初,他们是按3毛钱一条信息的价格卖,之后涨价到5毛,最后涨到了1.5元一条。李军说,他们3人通过这种方式“挣钱”,是另一个同事教的。
京东商城的客户信息系统,3人是没有登录权限的。但李军的代理律师贾虹杰表示,据他在办案过程中了解,京东商城存在有系统登录权限的员工的登录ID、密码被无系统登录权限的其他员工“共享使用”的情况。
李军被抓后交代,他们当时用的系统登录账号,是一位在昆山工作的主管的。他们用这个主管的ID登录客户信息系统,并将信息导出制成excel表格格式。虽然是越权登录并下载资料,但系统不会察觉到异常。赵亮和冯春主要负责从系统里导出数据,李军主要负责联系买家出售。
李军表示,最初3人是通过另一个同事,向收购信息的人贩卖,通过这种途径卖了3天后,3人开始自行在网上找买主。他们找到了几个QQ群,里面有人发信息称收购京东数据,他们就和对方主动联系,对方开价1元1条,但李军等人要价1.5元1条,但对方还是同意了。
贾虹杰告诉法晚(微信ID:fzwb_52165216)记者,李军告诉他,买主都有明确的要求——只要已经在京东商城下单付款,但还没有收到货的客户个人信息。
他在办案时还了解到,很多遭诈骗的人都是被冒牌的京东客服人员谎称客户所购货物出现问题,以办理退款为由骗钱的。
被告人说
看到新闻才意识到买家是电话诈骗犯
李军坚称,自己最初真的不知道买京东数据的人是用于诈骗。对方只是告诉他们,买数据是为了群发短信、推销产品。但后来,李军意识到买家是实施电话诈骗的犯罪分子。
李军说,他有这个感觉,是因为他在网上看到了很多关于犯罪分子利用掌握的京东商城客户个人信息,冒充京东商城客服人员对京东商城客户进行电话诈骗的新闻报道。
他说,他还特意看了新闻报道涉及的被骗时间,和他们3人卖信息的时间很相近。
他还说,找他们买信息的人总加价,最高甚至加价到4元买一条,虽然买家称买信息是为了推销产品用,但他认为用这个价格买信息用来推销产品成本太高了。
李军回忆说,2015年1月9日或10日,他对另外两个同事说“咱们停段时间别做,这事情可能没这么简单”,并解释了原因。3人从此洗手不干,有买主问,就推托说公司现在查得严。
李军被抓后很后悔。他说,如果知道买主买信息是为了从事电话诈骗,就不会卖给他们了。
法院判决
犯非法获取公民个人信息罪 3人获刑
李军的代理律师贾虹杰表示,办案过程中他了解到,京东商城在一段时间内出现大量客户反映信息被泄露、遭遇电话诈骗的投诉,由于投诉量很大,京东商城进行了自查,由于能掌握客户全部信息的部门有限,且能查询客户信息的电脑上方都有监控探头,京东公司最终确认非法获取信息的人是李军等3人。
而从李军等3人使用的电脑导出的信息,其中的客户姓名,与投诉遭遇电话诈骗的客户姓名,部分是对应的。
2015年1月13日,北京京东世纪贸易有限公司报警。随后,警方于2015年1月14日下午将李军等3人在单位抓获。
李军回忆说,被抓当天,办公区来了七八个人,几个人亮出证件说是公安局的,把他们带到京东的防损车上,然后带到当地派出所,他们问卖没卖过数据,他承认卖了。
之后,李军等3人被押回北京,羁押在北京市大兴区看守所。
检察院指控的犯罪事实,3被告人在开庭审理过程中均无异议。
经过审理大兴法院认为,3被告人非法获取公民个人信息,情节严重,其行为均已构成非法获取公民个人信息罪。
2015年11月16日,大兴法院以上述罪名判处李军有期徒刑1年6个月,并处罚金4000元;判处赵亮有期徒刑1年1个月,并处罚金3000元;判处冯春有期徒刑1年,并处罚金2000元。
李军的代理律师贾虹杰介绍说,教唆李军犯罪的另一个同事,案发后被另案处理。
以往案例
法院:如能证明京东过失 可追责
2015年,北京市朝阳区法院审理过一起消费者遭遇电话诈骗后起诉京东索赔案。
田女士诉称,2015年1月4日,她在京东商城下单付款后接到自称京东客服人员的电话,告知其所购手机无货,需先办理退货再重新订货,要求她输入信用卡的验证码,她在不知情的情况下被消费8699元,故起诉索赔。
2015年10月9日,法院判决驳回了田女士的诉讼请求,理由是现有证据不足以证明订单信息被泄露系京东的过失所致。但判决书同时写道:“田女士之后取得足以证明涉案订单信息泄露系因京东世纪公司过失导致的证据,仍可要求京东世纪公司在过错范围内承担责任。”
法晚(微信ID:fzwb_52165216)记者还了解到,北京律师张新年曾接受100多名遭遇冒牌京东客服电话诈骗的消费者的维权申请。如今,张新年正准备到大兴法院调取案卷,以此为证据为消费者起诉维权。
新闻链接
警方:破案后疑有内鬼
2014年11月20日,据人民网报道,2014年初以来,上海连续接报假冒京东商城电信诈骗案。上海警方展开侦查。
“因为对方可以报出姓名、京东账号和3个月内的购物信息,迷惑性非常大。”上海黄浦公安分局刑侦支队侵财队副队长宋臻伟告诉记者,根据侦查情况,京东疑似泄露大量用户信息。
“我们立即赶到了京东商城华东区总部通报情况,想知道信息是通过内部人员泄露的,还是来自外部黑客攻击,但他们说要联系京东总部。”上海市公安局刑侦总队二支队副支队长薛勇说,京东总部回复是“不知道、不清楚也不能查”,“现在没有这个机制和系统,查不到是如何泄露的”。
警方共抓获团伙成员21人,幕后的最高操盘者、台湾人萧某在东莞被抓。这一“在越南设电话机房,在台湾取款洗钱,在大陆遥控指挥”的团伙被捣毁。
据《新闻晨报》报道,2014年11月20日上海警方召开新闻发布会披露:沪台两地警方经过近9个月的侦查,捣毁了一个特大电讯诈骗团伙。警方负责人薛勇推测,“可能是电商内部泄露”。
记者问萧某受害人的信息如何获取,萧某称前后一共买了1万多条,信息都是真的,详细到衣服的颜色、款式,购买人的地址、电话全有。萧某还说,信息很详细,估计可能是内部泄露出来的。
【关于商道】
派代商道
定位为中小创业者的决策参考,内容
集合电商业界评论、热点解读、高效资讯,聚焦创新创业、经营之道。电商大爷——全网电商精选内容,电商人必备APP,即刻扫码下载!