黑市數據90%源于“內鬼”泄露
責編:mhshi |2017-02-28 09:41:17在黑市里,5分鐘就能搞到上千條銀行賬戶信息,700元就能買到一個人的行蹤,包括開房、乘機、上網吧等11項紀錄,而上述所有個人隱私信息,只需要提供一個手機號碼就能搞定。
那么,到底是誰在肆無忌憚地販賣我們的隱私呢?曾經有一個段子,一名姓李的網友為了追查到底是誰泄露了自己的信息,于是養成了一個習慣,在百度上注冊名叫“李百度”,在淘寶上注冊名叫“李淘寶”,在京東上注冊名叫“李京東”,有一天他接到一個推銷電話說:“請問是李淘寶先生嗎?”一句問候語成了“絕殺句”,看似一語道破天機,但還是不能確定到底是淘寶平臺還是快遞公司泄露了信息。
黑市數據90%源于“內鬼”泄露
“從我們的觀察來看,黑市上流轉的個人信息,90%以上都是內部員工監守自盜。”貴陽大數據交易所CEO王叁壽向記者透露。
根據公安部去年年底披露的信息,在為期半年的打擊侵犯公民個人信息犯罪專項行動中,捕獲犯罪嫌疑人360余人。其中,僅有90多人為電腦黑客,其余270多人均是來自銀行、快遞、證券、電商網站等公司的內部員工。
據此樣本推算,75%的泄露行為源于監守自盜,一定程度上佐證了黑市數據絕大多數來源于“內鬼”的說法。一位安全專家解釋道,抓捕黑客的難度要比抓取違法的內部員工困難得多,大規模的信息泄露大多還是與黑客活動關系密切,但監守自盜的問題已經嚴重到驚人的地步。
在與白帽子黑客九月(化名)交流后,記者試圖還原個人信息竊取的黑色產業鏈——源頭往往來自“內鬼”或黑客,而黑客采取的手法往往是入侵拖下數據庫,除此之外,還會采取木馬病毒盜號、偽基站、釣魚WiFi等手段盜取個人信息。有團隊的黑客還會構建自家的“社工庫”,含有大量個人信息的數據庫成為他們日后斂財的工具,“社工庫”已經完備到可以從200多個維度描述一個人,甚至比你自己還要了解你自己。
“個信批發商”扮演“黑中介”角色
“幾乎每個互聯網公司都在想辦法獲取數據,哪怕是非法手段,有數據才會有風投,繼而研究自己的生態系統。如果公司倒閉了,最值錢的數據自然會被轉賣或用于二次創業,不賣難道留著做紀念?”一位金融公司IT人員曾向記者透露,地下黑市的供給和需求都很旺盛。
在中間牽線搭橋的便是所謂的“個信批發商”,可以理解為黑市里的中介,在獵網平臺提供的黑產鏈條中可以看到,“個信批發商”將收來的信息倒賣給電話詐騙經理、短信群發代理、郵件群發代理、偽基站團伙、在線推廣技師等,從而完成網絡詐騙產業鏈里的核心環節。
“個信批發商”在黑市地下交易中收購的個人信息價格較為便宜,據上述安全專家透露,“網銀四大件”包括姓名、賬號、密碼、電話等組合信息,平均每條不到1元錢,運氣好的時候,5元錢就能買到上百條。相比較而言,精準的實時信息價格更高,用戶剛剛購物,馬上就把用戶的購物信息拿出來賣,一般能賣到幾十元到上百元的價格。
對“個信批發商”來說,賣1份數據的成本,跟賣10份的成本是一樣的,這一本萬利的生意讓無數黑產從業者趨之若鶩。
調查公司網上公開盜賣個人信息
潛伏在社交平臺上偷偷叫賣個人信息的行為,早已是安全圈人盡皆知的黑市數據地下交易套路。從騰訊安全團隊的回應中也可以窺見一二。從2016年年初至今,騰訊安全團隊已經查處了涉及個人信息販賣的QQ群4700多個,封停QQ賬號3500多個。但記者近來發現,很多公司開始在網上明目張膽地非法盜賣個人信息,這些公司往往打著咨詢公司、律師事務所、私人偵探社等旗號,注冊一個兩三人的小公司,被關停后又迅速“換殼”。
在百度輸入“信息調查公司”“個人調查公司”等關鍵詞,置頂的搜索結果都是此類公司投放的廣告,它們的官網如出一轍,大多標榜10年經驗,主要業務是婚外情調查、捉奸服務、債務追討、財產調查取證、尋人服務、知識產權調查、經濟情報調查以及打假維權、聲討老賴等。
記者與幾家所謂的“調查公司”接觸后發現,他們的實際業務就是販賣個人信息,個人軌跡調查要價1800元,包括酒店開房信息、火車飛機出行等信息,對方還承諾,上午刷信用卡消費的信息下午就能拿到。名下財產調查要價2300元,包括名下房產、車子、銀行賬戶余額、夫妻共有財產等信息。
有一家調查公司更是亮出高姿態,“雖然都是非法的,但我們拒絕給個人提供信息,只和公司合作,一般是外企,我們剛剛和一家頂級公司簽下了一份員工忠誠度調查的大單。”記者在國家企業信用信息公示系統查詢到, 這家所謂“調查公司”的登記機關竟是崇明區市場監管局,成立于2011年。
其實“私家偵探社”模式早已被取締,但隨著大數據、征信行業的大火,又開始呈現日益猖獗之勢,從線下往線上轉移。1993年,公安部就發布《關于禁止開設“私家偵探所”性質的民間機構的通知》,禁止任何單位和個人開設各種形式的民事事務調查所、安全事務調查所等私人偵探所性質的民間機構。2010年,兩名“私家偵探”因非法獲取公民個人信息罪,被法院判處有期徒刑1年,這也被認為是首例私家偵探非法獲取個人信息罪案。
咨詢公司注冊門檻較低,10萬元就可進行工商注冊,所以成為新一輪的熱門“隱匿殼”。
記者手記
誰來保護我的隱私安全?
去年,記者調查發現,國內外諸多網站都默認可以轉讓你的信息,至于個人數據到底屬于誰,至今也沒有確權。
處于監管“空檔期”的大數據、征信行業出現亂象,黑市的繁榮阻礙了合法經營公司前進的道路。有些征信機構接入了非法數據,有些金融公司不愿花更多錢到正規數據交易所購買數據,因為在黑市上,同樣的價錢可以買到更多未脫敏的數據。
每一個公民都被迫陷入了“人為刀俎,我為魚肉”的不安境地,我們的隱私成為他們牟取暴利的資本,到底誰來保護我們的個人信息?
此番,記者從貴陽大數據交易所處得到了兩個好消息,他們已經出臺30多個標準,包括數據確權、定價、脫敏、可視化、安全等標準,約束整個市場從地下黑市向正規數據交易所轉移。沒有標準,我的個人信息是不是我的?我的個人信息值多少錢都無法確定,連官司都難打。
另一個好消息是,大數據行業開始啟用區塊鏈技術,給每組數據裝上“GPS”,從而追蹤數據。區塊鏈這一核心技術讓污染數據、數據作假的成本越來越高。