​

“应聘-试用-获取信任-窃取信息-离职-另一家公司应聘”，一个信息安全工作人员轻易攻克了一个又一个公司的系统，累计盗窃了50多亿条信息。怎么能这样？

1、大量拥有信息的公司的信息管理流程存在明显漏洞。轻易就可以到重要的信息安全部门工作，短时间内就可以解除到大量信息，信息被非法获取未能发现，整个信息安全流程必有多个薄弱环节，对视用户信息为核心竞争力的网站来说，这是不应该的。

2、看似50亿条，实际造成的损失不会太大。信息是有时效的，随时间推移会快速贬值，因此早期获得的信息大多已经不能用。最为关键的密码等信息，存贮也加密，很难获取。不少信息实际是公开、半公开信息，即使不被窃取也可能从其他渠道获取。

3、骗子并无实体团伙，只是基于互联网的“虚拟组织”，传统的执法模式是否也应互联网 。互联网相关的信息倒卖案件，犯罪嫌疑人可能遍布全球、互不认识，仅凭借互联网就实现了互通有无，快速买卖。参与者不少是带着目的一次性的，这很难说是一个团伙，同时，骗子诈骗都互联网 了，治理也应该能跟上。已经出卖信息多年了，甚至发展成为了一个赚钱模式，形成了“产业链”，发现并抓获时，已造成了非常恶劣的社会影响。

4、处罚明显偏弱，且应追究信息被盗取机构的责任。盗窃信息，应从重判处，且应追加罚款，且该处罚的远不止盗取者。不仅针对信息盗窃者、信息买卖者，应加重处罚，对信息被盗取的公司，也应从管理流程和软件流程做一个全面的“审计”，获取信息是否合理，是否过度，信息保护制度是否完整，相关的工作人员聘用、培训和管理流程是否有明显漏洞。相关的工作人员是否有可能获取远超过工作所需的信息，拥有信息的公司是否有完整的信息使用日志并有日常的审查。

另：该信息被某些机构和个人解读为盗窃了京东的50亿条信息，实际可能并非如此，其出卖信息已多年，而加入京东才几个月。

新闻报道（摘）

　　近日，在公安部指挥下，以北京、安徽为主战场，14个相关省市公安机关统一行动，破获一起贩卖个人信息的大案，抓获犯罪嫌疑人96名，查获被窃取的公民信息50多亿条。

　　值得留意的是，在犯罪嫌疑人当中，2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏其身份格外引起行业关注。据了解，郑某鹏系黑产团伙的重要成员，郑某鹏在加入京东之前曾在国内多家知名互联网公司工作，其长期与盗卖个人信息的犯罪团队合作，将从所供职公司盗取的个人信息数据进行交换，并通过各种方式在互联网上贩卖。在掌握大量证据的基础上，按照公安部统一部署，安徽、北京、辽宁、河南等14个省、直辖市公安机关同步开展集中收网行动，韩某，翁某，郑某鹏等主要犯罪嫌疑人悉数落网。

　　蚌埠市公安局刑警支队支队长杨庆透露，郑某鹏因为学历较高，则到国内一些知名网站进行应聘。“郑某技术水平较高，基本都会被录用。”郑某在工作一段时间获取信任后，利用工作之便窃取网站的核心数据。在信息窃取成功后，则离开该公司，继续到下一知名网站继续应聘、窃取信息。据中国警察网的报道，据郑某鹏供述，自己从2007年开始从事信息安全相关工作，目前手上有50多亿条公民信息。

　　专案组民警介介绍说，目前公民个人信息泄露从源头上主要有两种，一种是黑客通过入侵计算机信息系统非法获取；二是员工利用职务之便出售自己掌握的信息。