深夜,太原某居民小区的一扇窗后,一台旧笔记本电脑屏幕泛着幽光。屏幕前的人轻点鼠标,远程登录了单位的内部系统,逐条复制、粘贴着客户信息,这些被精准打包的“数据矿石”,几小时后出现在千里之外成都某公司的合作名单上,最终变成一沓沓现金。这个深夜“采矿”的人,是该医疗机构的运营组长郝某。6月2日,山西晚报·山河+记者从太原警方获悉,从2020年到2025年,郝某像一只藏身系统深处的“幽灵”,持续作案近6年,倒卖客户信息3万余条,非法获利20余万元。直到老客户投诉激增、退费数据异常攀升,这只“内鬼”才被揪出。

半夜的“幽灵登录”

2025年9月,太原某医疗机构的客服部接连接到投诉。“为什么我在你这儿做完治疗后,天天有别的医院给我打电话?”一位老客户语气不善地问。“你们是不是把我的信息卖了?”另一位VIP客户直接质问。起初,机构负责人以为是同行恶意竞争,但随后退费数据开始异常攀升,短短一个月,退费金额比去年同期翻了一倍。“不对劲。”他决定查。

自查从内部系统开始。技术员调取后台日志,一行行排查登录记录。很快,一个异常IP地址反复出现,其总是在晚上10点、11点甚至凌晨登录客户信息管理系统,且登录地点显示在某个居民小区。更蹊跷的是,这个账号的持有者,是运营组的组长郝某。

郝某2019年入职,负责广告投放,因工作出色被提拔为项目组负责人,手握客户信息查询的“钥匙”。同事们对他的印象是“话不多,干活挺踏实”。谁也没想到,这把“钥匙”被他用来打开了非法牟利的门。

从“合伙人计划”到黑色产业链

警方介入后,郝某的另一个身份浮出水面——成都某科技公司的“合伙人”。时间倒回2020年,入职一年的郝某发现所在机构与成都一家公司存在客户信息合作关系。看着往来流水,他算了一笔账:一条精准信息如果源源不断供应,返利相当可观。

于是,他虚构身份与成都该公司签订“合伙人计划”协议:郝某提供客源,成都公司寻找下家。客户首次成交,医疗机构返利30%,成都公司与郝某五五开;客户后续持续消费,仍返利30%,郝某抽走20%。一条“内鬼窃取—中间商分销—其他医疗机构获客—层层返利”的黑灰产业链就此成形。

为了不被发现,郝某摸索出一套“安全操作规范”。白天办公室人多眼杂,他从不碰数据;夜深人静时,他关上家门,用家中笔记本电脑远程操控单位系统。他像一个精明的矿工,专门筛选“高价值”客户——做过大项目、消费能力强、有意向复诊的老客户和VIP客户。姓名、手机号、就诊项目、消费能力……一条条信息被复制、粘贴、打包,“派送”给成都公司。

从2020年到2025年11月,郝某累计倒卖信息3万余条,仅2025年就达8000多条,非法获利超20万元。这些信息有多“精准”?办案民警举例:一名客户在某机构做过牙齿矫正,几天后就接到另一家口腔医院的电话,对方开口就问“您最近有没有考虑做二次矫正”,连之前的治疗方案都一清二楚。“这类信息如果被电诈集团获取,后果更严重。”民警说,骗子可冒充医疗机构以“治疗回访”“补贴退款”等名义实施精准诈骗,受害者几乎毫无防备。

三道“防火墙”失守,警钟为谁而鸣

一个普通运营组长为何能长期、大量窃取核心信息而企业浑然不觉?警方调查发现,该机构数据管理存在三大致命漏洞。

第一道:权限失控。郝某是运营组长,为“方便工作”被授予查看客户信息的权限,但这个权限大得离谱,他能看到跨部门的全量数据,包括与其工作毫无关系的其他项目客户信息。“如果能设置权限,让他只能看到自己运营的那部分信息,他根本卖不了这么多。”办案民警说。

第二道:监管缺位。系统没有操作留痕功能,更没有异常预警机制。郝某深夜远程登录、逐条复制拷贝的行为,既没被记录也没被报警。技术员后来翻看日志才发现,这些“幽灵登录”已持续2000多天。

第三道:安全意识薄弱。机构过度收集客户敏感信息却缺乏保护措施,员工保密培训形同虚设——入职时签一份保密协议,之后便再无下文。郝某从最初的谨小慎微,到发现“根本没人管”,心态逐渐膨胀,获利越多,胆子越大。

郝某被警方带走那天,同事们面面相觑:“他平时挺老实的啊……”目前,郝某已被依法采取刑事强制措施,案件正在进一步侦办中,成都某科技公司及相关涉案人员也在警方调查范围之内。

这起案件给所有掌握敏感数据的企业敲响了警钟:权限分级、操作留痕、定期排查,三道防线缺一不可。“内鬼”之所以得逞,往往不是因为技术有多高明,而是因为企业的“墙”上早就裂开了缝。如今缝被发现了,补上还来得及。但如果继续视而不见,下一个“郝某”,可能正在某个深夜,悄悄打开电脑。

来 源:山西晚报·山河+记者 辛戈

责任编辑:王 淼

校 对:辛 云

值班主任:费 煜

值班编审:王冠兴