155万余条车辆信息被盗 盐都检方对35人“泄密团伙”提起公诉

22.02.2018  09:41

  无需任何授权,只要下载注册一款手机APP并支付几十元的费用,汽车进4S店维修、保养的日期,进店后是维修还是保养,维修换的什么配件,均可掌握——这并非玩笑,江苏省盐城市盐都区检察院就办理了一起非法获取车辆维修、保养数据案,犯罪团伙通过利诱4S店内部人员安装自制木马软件,非法获取品牌车辆维修、保养数据,同时架设查询服务类平台,以有偿方式提供给他人使用,从中牟利。1月4日,该院以涉嫌非法获取计算机信息系统数据罪将谭宇峰、徐丹等35名犯罪嫌疑人提起公诉。

  神秘U盘

  2017年5月16日,盐城某品牌汽车4S店负责人陈某接到公司总部打来的电话,对方告知该店售后的一台电脑近日频繁登陆总部后台浏览客户信息,每天都会查询500余次不同车辆的相关数据,明显超出了4S店日常工作量。

  在公司总部技术人员的指导下,陈某立刻在4S店内排查,发现售后主管高杰使用的电脑主机后面插着一个U盘,里面有异常程序正在运行。后经4S店的工作人员辨认,该程序并不是4S店安装使用的正常程序。陈某立刻将这台电脑和U盘控制住并报警。

  事实面前,高杰无从抵赖,交代有一个微信昵称“小马哥”的陌生人跟自己联系,让其将公司的DMS系统账号和密码提供给对方,并配合对方公司技术人员每天在自己工作的电脑上运行一个应用程序。如此,高杰每个月可得到1500元的好处费。

  所谓的DMS系统,是汽车经销商用于登记、上传车辆维修保养记录、查找车辆所有人等相关信息的内部操作系统。只要在该系统中输入车架号,就可以查询到该汽车品牌在全国范围内每一辆车的相关数据。

  经鉴定,高杰插在工作电脑上的U盘并不是一个普通的存储设备,里面装有一个为4S店DMS系统订制的外挂程序。只要运行了这个程序,操控者就可以远程查询系统内车主的姓名、车牌号、维修记录等相关信息。

  “犯罪手段如此专业,分工如此明确,被侵害的汽车4S店也许并非本市这一家。”警方猜测该犯罪行为可能系公司化运作,且并不局限于非法获取这一个品牌汽车维修、保养数据。

  档案被盗

  警方顺藤摸瓜,发现与高杰联系的人一个叫马红权,另一个叫梁运爱,马红权是深圳市帮看车科技有限公司(以下简称“帮看车公司”)的员工,梁运爱是深圳市奥创科技有限公司(以下简称“奥创公司”)的员工。这两家公司的主要业务是为二手车商提供车辆的维修和保养报告,法人代表均为谭宇峰,股东为徐丹等人。

  2015年5月底,帮看车公司成立“淘车大师”项目,研发“淘车大师”手机APP,主要面向注册用户有偿提供车辆的维修和保养记录查询。起初,“淘车大师”APP提供的数据来源主要是向其他第三方公司购买,帮看车公司只能赚取中间差价。谭宇峰认为以这种方式获取数据成本较高,且操作不便,决定派技术人员陈士通去相关第三方公司考察对方获取数据的方式。

  2015年7月,徐丹提出可以通过外挂软件获取4S店DMS系统中的车辆维修和保养数据。经过一番研发、测试,陈士通成功开发出具有该功能的网页版外挂软件,后梁运爱开发出了应用程序版的外挂软件。

  2016年2月15日,在徐丹提议下,奥创公司和帮看车公司成立“215”项目组,专门负责通过外挂软件到各地4S店的DMS系统中获取车辆的维修和保养数据。

  “215”项目正式运营后,马红权等人根据公司的安排开始联系各地不同品牌汽车4S店的员工,以每月支付1500到3000元酬劳的模式,让对方私下提供DMS系统的账号和密码,并配合公司技术员在其4S店内部工作电脑上安装应用程序,以便远程获取车辆维修和保养数据。

  截至案发,这个集软件研发、植入、信息盗取、销售于一体的网络犯罪团伙共非法获得32个汽车品牌的68个DMS系统账号,成功盗取车辆维修数据155万余条,非法所得近30万元;与该团伙相互勾结,帮助获取相关数据的4S店员工共非法获利50余万元。

  2017年11月7日,该案进入审查起诉环节。经审查,检察机关认为,奥创公司、帮看车公司及单位的主管人员谭宇峰、徐丹,其他直接责任人员马红权、陈士通、梁运爱未经授权和允许,以开发外挂程序等方式非法获取品牌汽车4S店计算机信息系统信息数据,情节特别严重,涉嫌非法获取计算机信息系统数据罪;范亦才、徐贺杰等30名4S店员工为非法获取计算机信息系统数据提供帮助,与被告单位构成共同犯罪,遂依法提起公诉。

  安全漏洞

  据此案公诉人、盐都区检察院公诉科长蔡安峰介绍,此案为公安部督办的全国首例非法获取4S店车辆维修、保养数据案,涉及全国9省13市68个4S店,涉案人数之多,泄露数据量之大,令人震惊。而案件本身暴露出来的车辆信息保护问题,更值得我们深思。

  车辆信息尤其是车辆的维修、保养信息涉及消费者、4S店、二手车交易商等多方市场主体利益。通常情况下,出于对商业秘密和车主权益的保护,4S店对所售车辆的后续维修、保养情况均严格保密。实践中,二手车市场交易普遍需要车辆的相关数据来支撑,于是,非法获取、买卖这类信息就有了市场。

  “只要提供车架号,‘淘车大师’APP就会自动生成一份情况报表,里面包含车辆的维修、保养记录,与同功能的其他APP相比,其价格便宜,反馈速度快。”检察机关发现,本案中有多家做二手车生意的公司接受了帮看车公司业务员的推销。

  4S店掌握着大量的汽车客户数据,木马程序通过4S店还能侵入品牌汽车的总部系统,窃取更多的该品牌汽车用户信息,而这些数据正是许多二手汽车数据查询服务商们争抢的“香饽饽”。本案中犯罪团伙盗取的数据除了给二手车商提供车况报告外,还批量转卖给其他第三方公司,具有相当大的社会危害性。

  “企业管理不到位,员工成为‘内鬼’,为这类网络犯罪提供了便利条件。”蔡安峰说。他认为,本案也暴露出汽车4S店内部管理制度不健全,对员工保密教育、商业机密管理不细致,网络安全防范意识松懈,防范措施不到位等问题。

  检察官提醒,车辆维修、保养等信息的采集和运用,应当在现有法律框架内进行。4S店有必要与员工签订专门的保密协议,并加强保密教育和管理,防止信息泄露损害消费者权益和企业自身信誉。从事二手车买卖业务的企业或个人如需查询车辆状况,可与车主本人协商一致,双方共同至4S店查询,未经授权和允许,以植入木马程序等方式非法获取车辆信息的,将要承担刑事责任。 (谭 冲 胥三燕)