个人信息保卫战:是人性的缺失,还是科技的败退?业界
第一次个信大战爆发
在一组名为“互联网上一天”的资料中,我们看到了这样一组数据:
一天之中,互联网产生的全部内容可以刻满1.68亿张DVD;
发出的邮件有2940亿封之多(相当于美国两年的纸质信件数量);
发出的社区帖子达200万个(相当于《时代》杂志770年的文字量);
卖出的手机为37.8万台,高于全球每天出生的婴儿数量37.1万……
截止到2012年,数据量已经从TB(1024GB=1TB)级别跃升到PB(1024TB=1PB)、EB(1024PB=1EB),乃至ZB(1024EB=1ZB)级别。而这个万亿级的市场,还在无限膨胀……
全部IBM的研究称,整个人类文明所获得的全部数据中,有90%是过去两年内产生的。每一天,全世界会上传超过5亿张图片,每分钟就有20小时的视频被分享。即便如此,人们每天创造的全部信息——包括语音通话、电子邮件和信息在内的各种通信,以及上传的图片、视频与音乐,其信息量也无法匹及每一天所创造出的关于人们自身的数字信息量。
这些来自于互联网世界的“产物”,一刻不停地在扩张。从诞生,到成为通讯主力,再到填满人类整个信息世界。这对于过去闭塞的旧时代来讲是打开了信息共享的大门,但同时也让我们感受到了脱去“隐私”的衣服裸奔在寒风中的萧瑟。
当这些信息互相串联,成为我们所谓的“共享经济”的时候,那些隐藏在个人信息之中的黑暗势力才刚刚显现。
2014年至今,短短两年时间,全球大大小小的信息泄露事件不计其数,其中泄露用户量在4000万以上的在10起以上:
2014年年底,铁道部官方网站(12306.cn)13万用户信息泄露,包括身份证、登录口令等,据调查分析应是撞库所至;
2015年2月,优步(Uber)披露,5万名优步司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;
2015年3月,医保提供商Premera蓝十字披露,1100万客户的医疗和财务数据泄露;
2015年4月,360补天平台披露,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息;
2015年5月,手机监听软件制造商mSpy约40万用户信息泄露,包括电子邮件、短信、照片、付款记录和跟踪数据;
2015年8月,在线票务销售平台大麦网600余万用户账户密码泄露并在黑产论坛公开售卖;
2015年8月,英国电信运营商Carphone Warehouse约240万在线用户个人信息泄露,其中包括姓名、地址、出生日期和加密的信用卡数据;
2015年10月,乌云平台曝光网易用户数据库“疑似泄露”,数量近5亿条。虽然至今没有证据证明这个数字,但许多普通网民纷纷表示自己的邮箱被登录篡改,甚至由于用网易邮箱注册苹果账户,而导致手机网络犯罪分子锁住,也是一个不争的事实;………………
虽然这些事件盗取的信息重点不尽相同,但在这些事件中,小白用户成了最终的受害者。
报告显示,中国超七成参与调研者认为个人信息泄露问题严重;26%的人每天收到2至3条甚至更多的垃圾短信;20%的人每天收到2至3个甚至更多的骚扰电话;多达81%的参与调研者经历过对方知道自己的姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;租房、购房、购车等信息泄露后被营销骚扰或诈骗的高达36%。
而这些仅仅是个人信息被盗的最低利用程度。不少黑产行业的甚至会利用姓名、身份证号码伪造银行卡、车牌,甚至是金钱诈骗这些更进一步的行为。
据悉,从2013年至今,北京市三级法院共审结各类电信网络诈骗一审案件50件,涉及被害人1900余人,涉案金额4000余万元。而从2015年下半年到2016年上半年,中国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。
就在前些天,南都记者也亲身证实了只花700元人民币,提供一个身份证号,就可得到对方开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的材料。业内人士美其名曰为:“身份证大轨迹”。
“网络黑产已从半公开化的纯攻击模式转化为敛财工具和商业竞争手段,已经形成跨平台、跨行业的集团犯罪链条。”
而这一切,却仅仅是开始。
“井然有序”的黑产社会
“黑色产业早不是我们想象中那些粗俗人的作为了。”一位脱黑者说。
纯黑客的时代一去不复返,取而代之的是“有素养、有分工”的黑产集团。
藏匿暗处的黑产集团,俨然是一个小社会。这里有明确的信息收集者、处理者以及贩卖者等等。而经过层层处理后,这些依靠不法手段获取的隐私信息,将会在他们手里放射出最大的经济张力。
2016年7月刚出售互联网核心业务的雅虎公司不久前尴尬地承认:其5亿用户的信息曾被黑客盗窃,这里包括了用户姓名、电邮地址、电话号码、家庭住址、生日信息和加密密码、部分安全问题和答案等信息。而不久后,这些信息就以Peace_of_Mind的网名在暗网The Real Deal以1860美元的价格出售。这创造了世界范围内有史以来最大数量的单一网站用户信息被盗窃的纪录。也让个人信用问题浮上了全球的水面。
黑客,成为了这些事件的“最大功臣”。
包括京东12G用户信息泄漏问题也是如此。12月10日晚,黑市上出现了一个正在流通的12G的数据包,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。据内部人员称,这些数据均来自于京东平台,并已被销售数次。
而在随后京东所发出的回应中称,该泄露数据源于2013年Struts2的安全漏洞问题,在京东看来,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据外泄,而京东也在所难免。
“那些看似经过多重加密的用户防护系统,其实并不能抵挡所有攻击。”某互联网平台CTO称。实际上,包括Facebook CEO扎克伯格在内的多名各界知名人士的Twitter账户,都曾受到过网络攻击的影响。
黑客的活跃正在成为科技公司日益头痛的事情,而比黑客更难缠的还有家贼。
调查显示,大约80%的企业都发生过或正在发生数据泄露,数据泄露途径越来越多的来自内部泄露。当许多企业在花费精力部署WEB防火墙、IPS、IDS等外部防护设备进行边界安全防护时,却回头发现内部人员对于核心数据库本身的违规操作现象已开始肆虐。
某25岁青年徐某被银行解聘后,用随身携带的U盘拷贝了他权限下所有的用户资料,以此向银行敲诈。再比如在宜昌破获的侵犯个人信息案例中,犯罪嫌疑人利用职能权限将个人信息导出,并以一元一条的方式出售给“收货人”。而收货人又将信息出售给二级代理商,从而形成了一条分工明确、协同作案的链条式犯罪。
这种由“家贼”引发的黑产链条在这几年里发展甚嚣。而“分支系统”也成为这几年里黑产集团的重点发展类目。
南都记者张百川表示,这里涵盖了一套纵深极长的产业线。首先是拖库,即“黑”网站(也可以是A P P或微信一些微信平台),把数据库从受害者的服务器上下载到本地。其次是洗库,这是售卖、变现的过程,通过技术手段选取有利用价值的用户数据,亦可称为“淘金”。而撞库则是将已有的敏感信息,拿来去批量尝试登录其他的网站或平台,最终实现登录,并获取利益。
在这个链条中,盗取、交换、买卖个人信息已成为一个系统化的流程。
有的直接盗取,有的交换信息,有的相互买卖。从信息泄露源头(查询员),通过层层代理的方式将个人信息依次出售。各个信息出售团伙既独立形成上下线,又相互交叉,形成联系密切的犯罪集团;信息泄露源头相对独立,同时又为多个信息贩卖代理商提供信息,代理商通过建立微信群、Q Q群买卖信息。
而那些负责在天涯、贴吧进行发帖推广的“黑产底层”,每完成一单,则能收到50元,剩下的绝大部分钱都交给上线,由他们分成。
“一般的能拿5000-10000一个月,好一点“内鬼”和代理能达到20000多一月。”一位不愿透露姓名的信息贩卖者表示。
而为了最大程度地扩大利润,这些信息也常常被拆分售卖。
像手机号、家庭住址这些就较为便宜,一般也就几块钱1个,户籍信息、开房信息、差旅信息等,都在300元左右。其中手机定位收费最贵,也最困难,要加在500元以上。而根据手机信号强弱不同,定位越准的也收费越贵。
此外,根据不同的人群,也有不同的收费标准。对于金融诈骗的维权人士,如果要查找诈骗公司法人的户籍信息,一般要价500-600元。如果是营救被骗传销的亲人,一般在400元以下,这个价格被上家称为“成本价”。
除此以外,根据功能性的不同,信息也被强大的市场需求进行源源不断地转手、消化和再造。
一位不愿透露姓名的信息商贩表示,一份刚被“内鬼”或“黑客”挖到的信息资料,能够在非常短的时间内,以相当好的价格被贩卖到上千个有需求的人或企业手中。例如企业用它来进行产品推销;中介用它来进行短信轰炸。而这些,其实只是最低层次的“信息利用”。因为在很多黑产从业者眼里,只有这些信息流到了不法团伙手中,才会成为盗取个人资产,甚至进行网络诈骗的“最大杠杆”。
而不用怀疑的是,这些信息的生命力超乎寻常的旺盛。在黑市流窜的信息源,尽管大多已有数年的寿命,但却仍然能够发挥余热,坚硬不催。即使是在所有拆分价值已被消耗完毕后,它也能以“低价打包”的形式做一场最后的告别。
不久前,上海某知名P2P平台的大量客户资料就在行业内疯狂流传。“打包价50万元, 上海第一阵容互联网金融公司数据,超百万份客户资料。其中姓名、id、身份证,电话,成交所有数据等”。业内人士说,虽然这是一份2-3年前的旧信息,但面对动辄2000/3000千的网贷获客成本。这些信息已是“非常划算”了。
可惜的是,这一切并不是单例,而是普遍现象。
小白的春天在哪里
这场“个人信用”保卫战,该怎么打?这是很多人看到信息泄露消息后的第一反应。
实际上,个人信息保护法自2003年起,便已开始着手起草,从这点上来说,我们并非没有预见性。只不过十余年过去,这项立法也一直停留在“商议”阶段,未能进入正式的立法程序。
这让我们对于黑产从业者的打击陷入手足无措的境地。
处理过相关案件的司法人员表示,如果因为信息被泄露而造成当事人受到金钱、资产甚至危害生命的损失时,法院可通过损失金钱的数量以及其他可量化物作为判定标准,来衡量案情的层级和信息贩卖者的惩罚力度。但如果信息泄露并未酿成严重后果,法院通常没有法律依据来进行直接性定罪。
也就是说,只有我们遭受金钱上的损失时,我们才可将这些人诉至法律,而如果仅仅是收到一些骚扰短信和电话,我们也不能拿这些人怎么办。
这是“个信大战”中的一个痛点,而另一个痛点是即使是在面对个人信用泄露严重的现象下,相当一部分人也没能引起有效的警惕。
问卷调查显示,在日常生活中,证件复印件、快递单和手机是泄露个人信息的重要载体。高达55%的人将证件复印给相关机构时,从不注明用途;47%的调研参与者经常将写有个人信息的快递单直接扔掉而不加处理;超过27%的人在停用、注销手机号以后,甚至不去银行、支付宝、网站等变更绑定的手机号。
当自身遭遇个人信息泄露并面临侵害时,相当一部分人群抱有侥幸心态,大部分人选择了较为被动的处理方式,仅有少部分人采取了积极对抗行动。在解释未能维权的原因时,半数以上的参与调研者表示,是因为不知如何维权(占60%)和没有发现经济损失(占56%)而选择了沉默。
很多人并没有意识到,其实你的个人信息、数据往往在不经意间便已经被泄露。比如,在公共场所连接免费wifi,扫描促销二维码等,可能会导致你的流量被劫持、中间人攻击、手持终端的入侵。
还有一些常见场景中,比如,P2P平台薅羊毛、促销活动填写的个人信息,网站注册,租房信息发布等,还有朋友圈里晒机票,晒车票,晒身份证等各种看似无害行为,以及快递包裹上的快递单信息等。
而在立法模糊,技术也存在诸多漏洞的时候,也许“自保平安”是最好的方法。例如:
1. 准备一个专用于注册及办理业务的手机号
2. 尽量减少使用个人真实信息作为网站注册信息
3. 在社交产品上减少发布带有地址、家人信息的照片等。
但这些,也仅仅是减轻泄露的程度而已,并不能消除事件发生的根源。
因为站在时间的角度来说,这只是“个信大战”的热身而已,而关闭硝烟的钥匙,则在科技和人性的天平上。
【来源:未央网 作者:七月的MiuMiu】
1. 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2. 的原创文章,请转载时务必注明文章作者和"来源: ",不尊重原创的行为 或将追究责任;3.作者投稿可能会经 编辑修改或补充。