案例丨10亿公民信息遭窃取,神琥鉴定助力锁定证据!

2018-10-31 16:49:37   

2017年7月,某市公安局办理一起非法获取公民个人信息案。某大数据公司通过爬虫爬取公开信息,同时利用某电商网站漏洞获取了约10亿条公民个人信息,该公司员工将这些信息导出后转卖获利。

大数据时代,类似的窃取、售卖公民个人信息的案件每年都在发生。海量个人信息往往意味着巨大的价值,吸引着不法分子的围猎。据网络威胁情报公司Risk Based Security发布的《2018年中期数据泄露快速浏览》报告显示,仅2018年上半年就有约26亿条数据被泄露,其中个人敏感信息是数据泄露的主要类型。

(2018年影响极大的全球数据泄露事件)

侵犯公民个人信息的违法犯罪活动,不仅侵害人民群众的隐私权,也极易诱发电信网络诈骗等其它犯罪,造成更严重的损失。因此,此案发生后立即引起了该市公安局的高度重视。市公安局将该公司64台服务器全部扣押并保管在其所在区管委会的机房中,同时委托四川神琥司法鉴定所对64台服务器进行鉴定分析,以确定是否在某些服务器上存储有10亿条公民个人信息。

(四川神琥司法鉴定所)

鉴定所接受委托后,立即组织鉴定人员开展工作。此案涉案信息数量巨大、传播速度快、受害人遍布全国,对如何准确确定涉案信息的数量及真实性均存在取证上的困难。通过与办案单位和检察院的充分沟通,鉴定所规划出了一套切实可行的鉴定方案。


鉴定过程

1. 在线取证

由于扣押的服务器一共有64台,且每一台服务器的硬盘多数为5-6块,每一块硬盘的容量一般为3-4TB,总容量超过1500TB,故而不适合通过服务器磁盘镜像的方式进行鉴定工作。

在征得同意后,由公安局出面请数据被窃方某电商网站的相关工作人员为部分服务器搭建环境并开机运行。此次鉴定共开启了35台服务器,取证方式为服务器开机在线取证。

(公安局扣押的部分涉案服务器)

2. 服务器分析、查询数据集

通过远程登陆到服务器,对开启的35台服务器进行综合分析,鉴定所的技术人员发现idc02服务器上运行了一个docker容器,ip地址为172.17.0.2,监听端口为27017;同时,在idc02服务器上运行有docker-proxy进程,该进程的作用是dockerip地址代理,在idc02服务器上监听本地地址127.0.0.1,端口27017,并将监听到的数据转发至docker容器;技术人员通过在node100-5服务器上使用mongo数据库连接命令,连接idc02服务器的27017端口,发现能够连接成功,说明idc02服务器上的docker容器中运行的是一个mongo数据库。

技术人员在node100-5服务器上对idc02服务器的mongo数据库进行查询,发现idc02服务器上docker容器中的mongo中存在一个refer数据库,在refer数据库中存在一个refer数据集,refer数据集的数据是采用aes加密后再通过base64进行存储。

(在服务器上查询数据集)

3. 导出数据、数据解密

通过从idc02服务器的mongo-refer数据库中导出refer数据集,将导出的数据进行base64解密和aes解密,发现该数据集存储的数据为公民个人信息,共1045378901条。

(在refer数据集发现的公民个人信息)


鉴定结果

在克服了海量数据的解密、清洗、定量/定性分析等重重困难后,最终鉴定所提取出被泄露的十亿条公民个人信息,其中包含公民的QQ、手机号、真实姓名、淘宝账号和邮箱等,并出具司法鉴定报告书,为办案单位提供了有效的电子证据,使得案件相关嫌疑人得以顺利批捕。


在该起非法获取公民信息案的侦办中,神琥司法鉴定所充分运用服务器在线取证、数据库分析、数据解密等技术手段,为公安局打击网络犯罪提供了有力的技术支持。这也是鉴定所日常工作的一个缩影。

在依法治国、依法办案的背景下,电子数据司法鉴定需求不断上升。自成立以来,神琥司法鉴定所长期为各类司法机构、执法单位、稽查部门、律师行业、仲裁机构、事务所、企事业单位及公民个人等提供19类电子数据司法鉴定服务,为维护各委托方的合法权益、保障司法公正做出了积极贡献。

四川神琥司法鉴定所

19类电子数据司法鉴定服务

1. 存储介质数据固定:对存储介质进行全盘复制、镜像,固定数据。存储介质包括硬盘、移动硬盘、优盘、存储卡、光盘、软盘、SIM卡等。根据存储介质容量收费,不足100GB的按100GB收费。

2. 电子数据搜索、提取:对存储介质中的电子数据进行搜索、提取。根据存储介质容量收费,不足100GB的按100GB收费。

3. 电子数据恢复:恢复被删除或无法直接读取的电子数据(不含数据库)。按照存储介质容量收费,不足100GB的按100GB收费。

4. 数据库数据恢复:恢复被删除或无法直接读取的数据库数据。

5. 电子文件修复:修复被损坏的电子文件,包括文档、图片、视频等。

6. 存储介质物理故障排除:检查、排除存储介质的物理故障,如调换磁头、电机,更换PCB板,坏扇处理等。

7. 手机机身数据获取:提取手机机身存储的数据。

8. 芯片数据获取:提取芯片存储的数据。

9. 网页数据获取:获取特定时间的网络信息,如论坛发帖、微博、QQ空间、网站网页等。

10. 网盘数据获取:远程获取网盘中的数据。

11. 网络数据包获取及分析:获取特定时间段通过某节点的网络数据包,并进行分析。

12. 密码破解:破解电子密码,获取加密数据。

13. 计算机系统操作行为分析:分析计算机系统的操作痕迹,如上网痕迹、USB设备使用痕迹、程序运行痕迹等。

14. 电子邮件真实性(完整性)鉴定:检验、判断电子邮件是否经过伪造修改。

15. 电子文档真实性(完整性)鉴定:检验、判断电子文档是否经过伪造修改。

16. 即时通信真实性(完整性)鉴定:检验、判断即时通信信息是否经过伪造修改。

17. 软件相似性鉴定:检验、判断两个软件的相似程度。

18. 软件功能鉴定:检验、判断软件是否具有某项功能。

19. 文件一致性鉴定:检验、判断两个文件是否一致。