近20台服务器“沦陷”,3.54亿条个人信息被盗,检察官提醒!
“我单位已对外网服务器相关网络安全软硬件全部进行了更新,并对管理维护人员进行了培训,网络安全漏洞全部消除。”近日,安徽省某单位就落实合肥市庐阳区检察院制发的检察建议情况向该院作出回复。这份检察建议,源于该院在办理一起侵犯公民个人信息案中延伸出来的“后半篇文章”。
2023年6月29日,安徽省某单位信息中心向公安机关报案,称单位的一台服务器被攻击了。公安机关于当日立案,经多方侦查,成功将实施网络攻击的源头锁定。同年7月27日,公安机关在陕西省宝鸡市将犯罪嫌疑人丘某抓获归案。丘某到案后如实供述犯罪事实。
该案被移送庐阳区检察院审查起诉后,承办检察官经审查发现,丘某的作案手段非常隐蔽,其以自己的电脑为网络攻击发起点,利用黑客工具在互联网上全网扫描存在漏洞的服务器,而后利用被控制的服务器搭建了5层“跳板”。经过一段时间的“潜伏”后,他对目标服务器实施攻击,窃取数据库内的公民个人信息,并导出数据文件保存在其个人的计算机上。经查,丘某非法获取包含姓名、身份证号、联系电话、不动产信息等内容的公民个人信息3.54亿余条。值得庆幸的是,丘某还没来得及出售这些个人信息,就被抓获归案了。
审查起诉期间,丘某自愿认罪认罚,并在值班律师的见证下签署了认罪认罚具结书。经庐阳区检察院提起公诉,日前,法院以侵犯公民个人信息罪判处被告人丘某有期徒刑四年六个月,并处罚金2万元。
办案过程中,承办检察官发现,有将近20台服务器曾被丘某利用黑客技术入侵,但及时发现并报案的仅有一家单位。经进一步分析,检察官了解到被入侵的服务器存在防火墙过期、采用弱口令、未定期修改登录密码、疏于对外包服务单位管理等情况,给不法分子实施网络攻击留下了可乘之机。
对此,庐阳区检察院一方面联合公安机关向被入侵的服务器所属单位通报情况、督促整改;另一方面依法向辖区被攻击单位制发检察建议,从强化网络安全意识、加强人员培训、及时更新网络安全软硬件等多个方面提出整改建议。目前,相关单位的整改工作正在稳步推进中。
来源:检察日报·法治新闻版