昨天(3月10日),一系列“50亿信息泄露案嫌疑犯系京东内部员工”的报道,让京东处于舆论的风口浪尖。警方通报的犯罪嫌疑人郑某鹏的身份被知情网友扒出,系京东安全的前网络工程师,他曾利用职务之便,越权非法获取大量所供职公司的数据,然后将之售卖给地下黑产。
然而雷锋网注意到,当时就有知情人士在报道中称,犯罪嫌疑人郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其泄露的50亿条公民信息中,可能包含多家互联网公司的用户信息。
很快,京东方面做出反应,表示2016年6月底入职京东的郑某鹏是在腾讯与京东联合打击信息安全地下黑色产业链的日常行动中被发现的,并将起诉进行不实报道的媒体。
值得注意的是,在该篇报道中明确表示,知情人士透露郑某鹏在加入京东之前曾就职于亚马逊中国、百度和新浪微博等单位从事网络安全相关工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖,系团伙骨干成员之一。该团伙共计泄露了50亿条公民信息。
如果该爆料属实,那么犯罪嫌疑人郑某鹏很可能是“职业内鬼”。这也难怪京东要起诉不实报道的媒体,因为不少报道给人的感觉确实是,泄露的50亿数据全部都来自于京东,实际情况未必如此,不少知名互联网公司都被“潜”过,只是恰好在京东就职期间被发现,警方才和腾讯、京东三方协力破获该案。
这一结果让人不寒而栗,地下黑产果真派出专业的“内鬼间谍”来对付互联网公司?
根据3月11日微博网友“Tombkeeper”爆料,2015年自己在查看某应聘者时,就注意到应聘者的身份可疑,不仅曾在多家公司连续跳槽,而且不断换城市,还存在简历造假的情况,系故意掩盖其过往经历。最终经过调查发现该应聘者果然是黑产团伙成员。
该爆料网友 Tombkeeper 就是腾讯玄武实验室负责人于旸,IT圈大名鼎鼎的“TK教主”。很明显,腾讯也曾是职业黑产卧底的一大目标,只是那一次被“TK教主”识破了。
据雷锋网了解,其实在此之前,内鬼勾结地下黑产售卖公司内部数据的案件就屡有发生,如2013年底支付宝被曝出的20G信息泄露事件,就和其前技术员工李明(音)利用职务之便,勾结地下黑产有关。在物流方面,顺丰快递也曾多次出现内鬼售卖物流信息的案件,其他快递的物流信息也几乎无一幸免地出现在地下黑市。
然而在以往大众的认知当中,这些内鬼可能是原本正常的员工受到利益的诱惑才和地下黑产勾结,但“职业卧底”这一身份的出现,开始让人们意识到,公众信息保护并没有那么简单。网络安全的“无间道”大戏正在上演,每一家拥有公众信息的企业、机构都在参演,而最终的受害者将是每一个公民。
在雷锋网看来,无论这些公司遭遇的是“职业卧底”还是员工被利益蒙心,既然公众将自己的隐私信息交给了他们,他们就应当负有保护公民个人隐私的义务。从法治的角度来看,不断加大监管和处罚力度将是必然。信息泄露不被重罚,内鬼可能永远不会消失,甚至可能有更多的人以身犯险,成为职业黑产卧底。