美容整形医院侵入服务器盗取客户信息12名犯罪嫌疑人被抓获

嫌疑人制作的木马病毒（警方提供）

木马病毒被植入美容整形医院的网站，侵入服务器，窃取客户信息，然后出售给其他美容整形医院。武汉警方23日通报，近日，这样一个窃取、贩卖美容整形医院客户信息的团伙已被清除，12名犯罪嫌疑人被抓获。

客户心血来潮，同行打来电话：你的客户信息泄露了吗？

2017年12月，繁华的武汉M美容整形医院突然出现了奇怪的客户流失。许多已经接受过会前咨询和服务并达到整容意向的客户不再来医院接受服务。医院为此蒙受了巨大的经济损失，但直到接到同事的电话，医院才发现接待、会诊、服务等环节没有异常。

2017年12月22日，另一家医院的美容整形外科医生阿强（化名）专门询问M医院：“你的客户信息泄露了吗？” 阿强奇怪地发现，这些客户都是在M医院咨询过的。12月26日下午1点左右，阿强和曾在江汉区青年路的一家餐厅见面。M医院工作人员得知消息后，迅速报警，将曾某带到派出所。

被抓为“潮流”，曾某只好实话实说：为了赚钱，他花了3万块钱从网上买了2500多条武汉整容客户的信息，打算赚钱通过介绍客户到医院收取费用。武汉市公安局网安支队获悉此案后，连续三天三夜展开调查。初步调查得到的信息让他们意识到，曾某只是“最尖端”的人，他的背后很可能潜伏着一条网络黑色利益链。

这是武汉市首例医院客户信息被盗卖的案例。在湖北省公安厅网安总队的积极支持和指导下，武汉网警迅速调配精干力量，组建专班。

查处120余名网警“蹲守”3个月，摸清交易链

网警在对几家被侵害医院的网站系统进行检查时，发现医院使用的服务器存在被攻击的痕迹，并被植入木马病毒，但医院并不知情。曾先生解释说，他从未见过“在线”，唯一能提供的就是“在线”QQ昵称“医美合作推广”。

武汉网警暗中“潜伏”在网上，全面筛选梳理可能涉案人员的关系和角色。今年3月12日，“医美合作推广”在一次网络活动中被网警抓获。网警假装明白这件事，和他们闲聊。“医疗合作推广”声称可以获取任何一家美容整形医院的客户信息。网警通过网络调查确认，此人为内蒙古呼和浩特市人杨某某。

网警盯着杨某某，对与他有关的120余人进行了深入调查，发现了一个QQ昵称是“大美妞”的男子。“大美妞”不时向杨某某传送客户资料档案，杨某某出售牟利。网警查出，“大美女”是河北省男子潘某某。网警还发现，经常联系潘某某的青年苏某才是真正的信息来源，并且有多次入侵医院网站系统的记录。网上调查显示，苏某来自湖北省宜昌市。黑龙江省哈尔滨还有一个叫姜的人，与苏有过密切接触。

经过3个月的努力，网警基本掌握了苏、潘、杨等团伙主要成员利用黑客手段构建的黑色交易链。苏、江制作木马病毒后，冒充美容客户咨询医院客服，将病毒链接隐藏在整形需求图片上，发给工作人员。工作人员打开图片时，服务器被植入木马病毒，客户隐私信息被盗。潘某某在网上发布广告，询问美容整形客户信息。苏某见状，一拍即合，发展成“线下”。“黑中介”杨某某作为大宗信息买家，

为了规避法律风险，他们还安排专门的中间人负责收付款，防止“黑钱”被监控。

四地同时攻击，彻底打倒超大型犯罪黑客团伙

5月28日，武汉市公安局网安支队与汉阳区公安分局讨论此案，认为抓捕该团伙时机成熟。汉阳区公安局刑侦大队大队长范建军率领刑侦大队、网警大队、特警大队，以及秦端口街派出所、永丰街派出所等5个支队的25名民警，和网安支队10名民警，共计35人。分四路前往宜昌、北京、呼和浩特、哈尔滨，实施精准同步抓捕。

初步调查发现，苏某在宜昌市较为复杂的区域租房。5月31日，前往宜昌抓捕苏的民警决定站岗等待机会。当天中午，民警看到苏从租的地方出来吃午饭，悄悄靠在他身上，和他在同一家餐厅吃了一碗面条。当他回到出租的地方，在电脑前坐下，紧张地操作时，警察果断控制住了他，赃物全部被抓获。

当晚，潘某某回到了河北省廊坊市三河市的老家。警察整夜驻守。第二天一大早，潘某某准备开车出门时，被警方逮捕。与此同时，杨某某、姜某等人相继被捕。四地袭击，共抓获团伙成员12人，这个非法侵入美容整形医院网站获取市民个人信息的超大型黑客犯罪团伙被彻底取缔。

警方经调查发现，该团伙拥有来自多个省市120多家美容医院的客户数据。苏入侵医院网站服务器后，植入木马病毒，定期下载新客户信息，卖给潘。潘某某和杨某某一次次易手。