POS代理商非法入侵某支付公司APP给用户发短信


2024-8-21 17:46

摘要:POS机电话销售员为开拓业务渠道,竟想出了歪门邪道,委托他人编纂程序,非法获取了34000余个曾在某第三方支付公司APP上注册过的手机账号。近日,徐汇区人民检察院依法对一起非法获取计算机信息系统数据案提起公诉,并帮助涉案企业完善数据安全管理漏洞,保护平台数据和公民个人信息安全。

“尊敬的用户,本次手机验证码为……”2022年12月17日,某第三方支付公司——A公司收到运营部门反馈,某地大量手机终端收到了该公司旗下APP发送的如上短信。为何短时间内会有大量手机终端收到验证码短信?A公司迅速开展了自查。

经查,A公司发现12月15日至同月17日期间,A公司旗下APP接收到了大量非人工操作的短信发送请求,其中某IP地址在近30小时内调用短信接口高达200余万次。“按照我们的用户数量,正常的短信发送请求不会超过每分钟100次,同一IP的请求频次更不会很多,每分钟基本就是几次。”该公司工作人员说,“这么高频次的短信请求,我们推测肯定是APP遭受了攻击,所以我们立即向公安机关报了警。”

2023年3月,犯罪嫌疑人于某某被抓捕到案,随后,犯罪嫌疑人王某、耿某某陆续至公安机关主动投案。

据于某某交代,2022年12月,其经朋友介绍从事POS机电话销售工作。“我当时想获得更多的电话号码方便推销,所以我就在网上发了个帖子,认识了王某,商量好了由我给他钱,他负责提供软件,获取A公司旗下APP注册用户的手机号码。”

图为于某某、王某两人间的聊天记录

于某某向王某支付钱款后,王某随即又找上了耿某某,商议由耿某某负责编写软件程序。随后,于某某多次使用该软件对A公司旗下APP进行操作,王某、耿某某负责技术优化,通过绕开APP验证机制直接调用短信接口,对外批量发送短信140万余条,获取注册手机账号34000余个,造成该公司短信费损失8万余元。

2024年6月26日,经徐汇区人民检察院依法提起公诉,徐汇区人民法院依法以非法获取计算机信息系统数据罪判处被告人于某某、王某、耿某某有期徒刑三年至二年三个月不等,缓刑三年至二年三个月不等,并处罚金。

“虽然经过查证,于某某在此案中所获的手机账号并未再次传播出去,但该案暴露出A公司在网络数据安全管理方面存在一定的漏洞,依旧存在企业数据以及用户个人信息泄露的风险。”承办检察官说。

为此,徐汇区人民检察院在依法办案的同时,向A公司制发了检察建议书,建议其开展网络数据安全相关法律法规教育培训,提高员工“采集有责、传输担责、存储尽责”的安全保护意识,并加强数据管理关键岗位专项培训,将数据安全纳入公司重点管理,对涉数据岗位的职责权限、岗位义务、违反后果作出明确规定。同时,加强安全技术防范,构建个性化的安全防御体系,并完善风控管理,制定有效网络应急预案,定期开展网络安全技术专项培训,及时有效遏制网络攻击。

2024年7月11日,承办检察官对A企业进行了案后回访。目前,A公司已全面加强了信息安全防护措施,修订了相关数据安全管理制度与流程,对全部系统业务进行了全方位排查,并增设了数据安全岗位,确保数据安全。

检察官提醒

销售员在开拓业务渠道推广业务时,应当遵循合法、正当的原则,不可触碰法律的警戒线。检察机关也将持续推进“检察护企”“检护民生”专项行动,依法履职,为保护数据安全提供检察力量。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2024 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606