個人信息交易泛濫背后 黑客技術花200元15天學會
責編:mhshi |2016-12-13 10:49:44網絡黑客盜取個人信息已經并非新聞,但媒體近日曝出黑客竊取個人信息已經達到“無孔不入”的地步,甚至連當事人的位置都可以隨時定位。記者搜索發現,目前不僅個人隱私信息的兜售可以在網上隨處可見,連竊取別人隱私的“黑技術”都可以出售,而且可以在線教學,“零起點,包學包會”。記者通過與這些“掌握技術”的黑客接觸之后發現,想要獲取黑技術以及通過這些黑技術再去竊取他人隱私信息并非難事。
200元“拜師”?15天學會
黑客們在互聯網上的蹤跡并不隱蔽。記者通過QQ檢索,就能找到大量黑客或黑客交流群。
黑客們在此招攬生意,有的昵稱就是“實力承接一切業務”,在個人說明中寫著“承接破解各類密碼/微信博客/聊天記錄/定位找人/查手機短信內容”等業務范疇。
黑客小T是“白帽”和“黑帽”通吃的黑客。他既承接黑客業務,也有償教學黑客技術。Web滲透、PHP代碼審計等讓普通人摸不著頭腦的名詞,都出現在小T的教學目錄上。
記者以拜師名義向小T詢問,零基礎可否學習竊取網站數據。小T答復15天內包學會,學費200元。
當記者對其身份提出質疑時,小T發來一段視頻,顯示他邊操作“某采購管理平臺”,邊說這是他成功入侵的網站。只見在屏幕上,小T熟練地點開一家供應商的采購管理頁面,屏幕上立刻出現一列供應商的名稱、地址、聯系人、移動電話、銀行賬號等商業敏感信息。接著,他又點擊采購審批查詢,又顯示出申請單號、申請日期、操作員姓名等企業內部信息。“這些姓名等東西,都是我入侵進去看到的。”
在小T的空間,展示著貸款數據、車主數據等眾多表格。記者撥通貸款數據中的一個電話號碼,其中姓名、郵箱等個人內容都得到了電話那邊當事人的確認,而當事人并不知道自己的申請貸款的信息已經泄露。
在支付“學費”后,小T先提供了一些基礎的教學視頻,并承諾之后再教學撞庫、SQL注入等獲取數據的黑客技術。小T承諾15天學過后可月入過萬。
好數據只在可信賴圈子交流
隨著京東用戶數據泄露的消息流傳,黑客群里不時有人索求京東數據文件。記者詢問“京東數據用來干嗎?”有人稱“用來撞庫。”
業內人士解釋稱,“撞庫就是用已知密碼去嘗試未知密碼。”通俗地說,一個人有不同的賬號,但是密碼可能是一樣的,如果黑客已知他的一個密碼,就有可能登錄他的其他賬號。撞庫是通過技術手段來反復嘗試登錄。
記者聯系的小T則表示,“撞庫技術”是在進行基礎學習之后掌握的“技術”,就技術本身而言并非很難。
業內人士透露,每逢重大數據泄露,黑客群很快會有簡單的數據出現在群共享。普通人在網絡上找到黑客“水群”容易,進入灰黑色地帶卻很難。業內人士透露,“好的數據往往是在(黑客)可信賴的圈子中交流。”
獲取賬號密碼“像嗑瓜子一樣簡單”
“隨性”也是一名黑客,賣數據是他的收入來源。“為了一個QQ密碼,有人給我開出5000塊,我二話沒說就成交了。”“隨性”表示,獲得一個賬號密碼“像嗑瓜子一樣簡單”。
技術不難,一學就會,這似乎是“隨性”走上“黑客之路”的寫照。他告訴記者,成為黑客是一次巧遇。2012年,他正好20歲,待業在家,處在“人生迷茫期”,在網吧玩游戲打發時間。偶然瞥見鄰座一位大哥的電腦屏幕上一條條字符,似乎與網吧的環境很不相稱。從這位大哥的言語中,“隨性”得知他正用易語言編寫軟件。
此前,“隨性”只在學校學過最簡單的C語言編程。“當時覺得很神奇,以后搞這個肯定不錯。”“隨性”很快向身旁的大哥示好,請他上網,給他買飲料。“大哥也爽快,第二天就同意了,我就拉他上我家從基礎教學。”他說。“后來大哥沒教完,我們就沒聯系了。”
學了些基礎知識后,“隨性”靠租游戲賬號嘗到了甜頭。“每天能賺50元,當時已經覺得很不錯了。”此后,他憑借東拼西湊的技術并最終盈利走上黑客道路。
“隨性”以此謀生后,除非“客戶”主動告知,絕不會詢問其購買數據的目的。不過,“隨性”從一個出高價的顧客的話語中得知“客戶”找他是為離婚找出軌證據。“黑色產業就像一個生態鏈條。”他說,下游有需求,黑客就會出動,什么賺錢就干什么。“犯不犯法都是對方的事,反正不會找上我,我在網絡上就像穿了‘隱身衣’”。
■?解讀
“產業鏈完整”?黑客分工精細
網絡安全研究員劉彥碩表示,黑客盜取用戶個人信息的方法一般有兩種。一種是非法入侵數據庫、后臺管理系統,比如進入某賓館的后臺管理系統,來了解某人的開房情況。另一種方法是,賄賂掌握用戶數據內部人員,通過這些人來獲悉你所需要的信息。
早在2014年初,支付寶被曝有內部人員泄露用戶信息。新京報此前報道,超過20G的海量用戶信息被前員工李某在后臺下載并售賣。據悉,犯罪嫌疑人李某已于2013年11月底被刑拘。劉彥碩稱,除了通過“內鬼”的形式盜取數據,一些單位內部管理系統安全防范系數較低,黑客很容易入侵。“他們入侵之后,往往會植入病毒,方便他們收集并實施監測用戶信息。”劉彥碩稱。
計算機技術愛好者自發成立的非營利性組織——中國紅客聯盟負責人邵彤先生告訴記者,目前,個人信息的盜取、收集和售賣已形成完整的“黑色產業鏈”。“這個產業鏈上有需求者、中間人和黑客三方。”邵彤稱,需求者可能是公司,也可能是個人;中間人的手中掌握黑客資源,是兩者中間的“紐帶”;而黑客則通過非法入侵、賄賂內部人員等方式,獲取需求者所需要的個人信息。
“現在黑客分工很精細,獲取私人信息的速度也極快。”邵彤稱,中間人手中會有一批黑客資源,這些黑客中有負責盜取賓館酒店信息的、有負責入侵航空數據庫的,也有專門侵入電商網站的。“你如果想查詢一個人的信息,就把這個人的姓名、身份證號、電話號碼等信息發給中間人,中間人會把‘業務’分散給多個黑客,一天時間內,這個人的通話記錄、開房記錄、交易記錄等私人信息都可以獲取。
邵彤稱,也有些黑客會結成組織,一手做黑客培訓,發展人手;另一手去頻繁入侵一些公司的數據庫,盜取用戶信息。掌握一定的信息量后,他們會通過中間人售賣給需求者,以此獲利。
■?說法
盜取買賣個人信息擔刑責
北京康達律師事務所韓驍律師表示,依據《侵權責任法》第二條公民依法享有隱私權,因此盜取、出賣個人信息首先違反了侵權責任法,侵害了公民的隱私權。
依據《刑法》第二百五十三條之一【侵犯公民個人信息罪】違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
此外,韓律師表示,購買個人信息者也將面臨刑事處罰。依據刑法第二百五十三條之一規定了非法獲取公民個人信息罪,即竊取或者以其他方法非法獲取公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
■?鏈接
公安部:整治行動延至2017年底
新京報訊?(記者王煜)針對昨日媒體報道互聯網灰黑產業鏈猖獗未得到有效抑制,公安部回應稱,今年4月底,公安部網安局牽頭全國公安機關開展了為期六個月的打擊整治網絡侵犯公民個人信息犯罪專項行動。全國公安機關已偵破案件1868起,抓獲犯罪嫌疑人4219人,其中各行業內鬼391人、黑客98人,查獲各類公民個人信息305億條。雖然行動取得階段成效,但網絡侵犯公民個人信息犯罪尚未得到根本解決。公安部網安局決定將打擊整治網絡侵犯公民個人信息專項行動延長至2017年12月底。