隱私信息“裸奔” 泄露規(guī)模呈“指數(shù)級”增長
數(shù)十億條個人信息明碼標(biāo)價 “潛規(guī)則”盛行售賣泛濫成災(zāi)
2020北京重點中學(xué)家長學(xué)生數(shù)據(jù)10萬條;
私人銀行理財百萬、千萬級高凈值富人10萬條;
飛機乘客個人信息80萬條;
寶媽精準(zhǔn)數(shù)據(jù)16萬條;
網(wǎng)貸數(shù)據(jù)12萬條;
……
通過業(yè)內(nèi)人士登錄Telegram、暗網(wǎng),《經(jīng)濟(jì)參考報》記者看到,上億條各類別的個人精準(zhǔn)信息映入眼簾,正在被公開售賣。包括個人的行蹤軌跡信息、征信信息、財產(chǎn)信息、住宿信息、通信記錄,甚至是面部活體信息,只要點擊支付就可輕易獲取,販賣猖獗,信息量和交易量之大觸目驚心。
《經(jīng)濟(jì)參考報》記者深入調(diào)查發(fā)現(xiàn),隨處可見的身份綁定、過度索權(quán)加大了App等渠道的個人信息泄露風(fēng)險。更加值得關(guān)注的是,虛擬貨幣加持下,不可控的暗網(wǎng)論壇、Telegram等社交平臺正成為信息販賣的主要渠道。
“暗網(wǎng)不暗”
數(shù)十億條個人信息明碼標(biāo)價售賣猖獗
近期,記者在Telegram上一個名為“社工機器人&閑魚擔(dān)保交易查檔數(shù)據(jù)某認(rèn)證群”的社交群上看到,大量的包括戶籍、手機號、定位、查人查檔、財產(chǎn)調(diào)查、開房記錄、流水等在內(nèi)的用戶信息被公開售賣,十分猖獗。
“由于目前泄露信息的量比較多,有的黑客就將各種數(shù)據(jù)做了大數(shù)據(jù)集合,命名為社工機器人。你只需在其中輸入相應(yīng)的需求,系統(tǒng)會自動將相關(guān)信息搜索出來。”一位業(yè)內(nèi)人士說。
不僅僅是Telegram,《經(jīng)濟(jì)參考報》記者了解到,暗網(wǎng)中的數(shù)據(jù)交易量更為龐大。哈工大(深圳)—奇安信數(shù)據(jù)安全研究院執(zhí)行院長劉川意告訴記者,每年在暗網(wǎng)平臺出售的各類泄露數(shù)據(jù)多達(dá)上萬起,每年泄露的數(shù)據(jù)總量高達(dá)數(shù)十億條,交易金額超10億元人民幣。這些泄露出來公開出售的信息,包括政府機構(gòu)公民信息,銀行、證券等金融機構(gòu)的客戶信息,各大電信運營商的機主以及互聯(lián)網(wǎng)、快遞、酒店、房地產(chǎn)、航空、醫(yī)院、學(xué)校等各行各業(yè)的客戶、用戶信息。
而這樣大量詳細(xì)的真實數(shù)據(jù),標(biāo)價卻非常廉價。“查一條信息搜索平均也就幾毛錢?!币晃粯I(yè)內(nèi)人士告訴記者。
記者在暗網(wǎng)上看到,一份標(biāo)稱剛出庫的某輔導(dǎo)機構(gòu)全國高校93萬學(xué)生身份數(shù)據(jù)售賣,打包價格為30美元。發(fā)帖者稱,數(shù)據(jù)是網(wǎng)站記錄的2016年到2018年的注冊數(shù)據(jù),里面包括姓名、手機號、學(xué)校、住址等信息。目前該數(shù)據(jù)包顯示已有18次成交。
某快消品牌官方旗艦店銷售信息數(shù)據(jù)則報價16美元。發(fā)帖者表示,數(shù)據(jù)包共有15623條該品牌2020年中銷售數(shù)據(jù)信息,包括購買人、購買信息、價格、購買時間,同時還有購買者的電話和地址。
此外,身份證正反照、手持半身照也被打包售賣。從發(fā)帖者給出的附件截圖顯示,可以看到相關(guān)照片不僅有當(dāng)事人身份證正反面,同時還有當(dāng)事人單人照以及手持身份證照四張照片。而這樣的照片共有1500套,數(shù)據(jù)包售價為20美元。
與個人隱私信息售價低廉不同的是,含賭博類會員的信息價格直線上漲。有帖主表示,某體育足球類App郵箱泄露VPN賬號密碼,除了新增2020年4月1日到2020年8月8日的注冊信息外,還更新了紅單推介會員數(shù)據(jù),增量190萬條。值得注意的是,該數(shù)據(jù)包售價高達(dá)2000美元,已有2單成交。
此外,一份3月份第一批提取的18萬條棋牌數(shù)據(jù)包,里面包括電話、運營商、地區(qū)、訪問次數(shù)、抓取地址、抓取平臺、時間等具體信息,交易單價300美元。
騰訊守護(hù)者計劃安全專家張文濤表示,目前網(wǎng)絡(luò)黑產(chǎn)已呈現(xiàn)國際化、公司化、智能化、匿名化的特點趨勢。“黑灰產(chǎn)團(tuán)伙開始通過利用暗網(wǎng)、Telegram等境內(nèi)外多種工具平臺,實施數(shù)據(jù)的竊取、流轉(zhuǎn)、整合和交易。同時根據(jù)一些典型案例可以看到,部分黑灰產(chǎn)利用公司化的外衣,從事數(shù)據(jù)交易的不法行為,并且存在黑產(chǎn)人員將多渠道獲取的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗整合,自動化對外提供服務(wù)?!?/p>
“黑客最青睞”
金融行業(yè)成信息泄露“重災(zāi)區(qū)”
據(jù)劉川意介紹,泄露在“暗網(wǎng)”的個人信息60%以上來自金融行業(yè),金融業(yè)已經(jīng)成為黑客最青睞的攻擊目標(biāo)。
《經(jīng)濟(jì)參考報》記者獲得某證券機構(gòu)資金50萬以上優(yōu)質(zhì)股民信息頁面截圖。頁面顯示,25969條數(shù)據(jù),標(biāo)價168美元,擁有姓名、開戶證件號、性別、年齡、籍貫、手機號、浮動盈虧等9個數(shù)據(jù)維度。發(fā)帖者表示:“姓名、身份證號碼、手機號碼等信息可自行驗證,數(shù)據(jù)不多,貴在真實。”該數(shù)據(jù)自2021年1月17日發(fā)布,顯示已成交3單。
另一個在售的數(shù)據(jù)包為某證券公司多達(dá)16萬的客戶信息,標(biāo)價368美元。發(fā)帖者表示,該數(shù)據(jù)為2021年最新一手客戶數(shù)據(jù),內(nèi)部渠道流出,暗網(wǎng)首發(fā)。“數(shù)據(jù)一共16.5萬條,已去重,實號率95%以上,數(shù)據(jù)保真?!?/p>
此外,某商業(yè)銀行的銀行卡、理財信息等多項泄露出來的數(shù)據(jù)被售賣。交易編號為41884的帖子表示,該數(shù)據(jù)包擁有2021年某商業(yè)銀行客戶數(shù)據(jù)48566條,內(nèi)含詳細(xì)個人信息、銀行卡號、銀行卡種類多項信息。
交易編號為41847的帖子顯示,其擁有前述商業(yè)銀行理財客戶數(shù)據(jù)48800條?!霸摂?shù)據(jù)為內(nèi)鬼帶出,首次在暗網(wǎng)發(fā)布,每份售價168美元?!卑l(fā)帖者稱。
記者查看該發(fā)帖者提供的可自行驗證數(shù)據(jù)看到,該數(shù)據(jù)內(nèi)容詳實,包括理財認(rèn)購人姓名、身份證號、手機號、產(chǎn)品名稱、認(rèn)購金額、預(yù)期收益率、期限以及該認(rèn)購人具體住址信息。記者登錄上述銀行官方網(wǎng)站,可以看到多個目前在售理財產(chǎn)品與被泄露信息一致。
除了黑客等技術(shù)人員盜取批量信息之外,也有一些“內(nèi)鬼”直接參與其中。交易編號為40046的帖子顯示:“只要提供身份證和姓名信息,便可代查名下所有銀行卡具體信息,不帶余額1100美元,結(jié)果帶余額需2200美元,1-5個工作日即可出結(jié)果?!敝档米⒁獾氖牵撡N自2020年8月24日發(fā)布以來,目前已交易多達(dá)360單。
中國司法大數(shù)據(jù)研究院社會治理研究中心主任李俊慧表示,2016年至2020年,全國各級人民法院一審審結(jié)涉侵害個人信息犯罪且裁判文書已公開的案件中,從所涉?zhèn)€人信息數(shù)據(jù)來源行業(yè)來看,金融行業(yè)占比為39.10%,位列第一。
“金融、中介、招聘等服務(wù)行業(yè)由于嚴(yán)重依賴電話、短信等途徑進(jìn)行營銷,為了提升營銷的針對性、有效性,買賣公民個人信息已成了行業(yè)‘潛規(guī)則’?!北本┦谐枀^(qū)人民檢察院檢察官助理陳瑩璐說。
記者了解到,金融行業(yè)信息泄露不僅發(fā)生在中國。在境外,金融行業(yè)數(shù)據(jù)也是暗網(wǎng)“??汀薄?020年4月9日,價值近200萬美元的韓國和美國支付卡信息在暗網(wǎng)出售。位于新加坡的網(wǎng)絡(luò)安全公司Group-IB檢測到一個數(shù)據(jù)庫,其中包含韓國、美國的銀行和金融組織將近40萬張支付卡記錄的詳細(xì)信息,并且這些信息已于2020年4月9日上載到暗網(wǎng)。
信息販賣成“潛規(guī)則”
泄露規(guī)模呈“指數(shù)級”增長
幾乎我們每個人都有如下類似的經(jīng)歷:剛買了房子,就有裝修公司打來電話;生完小孩沒多久,就有早教中心來聯(lián)系;買完車剛一年,就有保險公司來推銷車險……推銷人員借助“隱私信息”無孔不入。個人信息泄露規(guī)模到底有多大?
業(yè)務(wù)情報安全企業(yè)永安在線產(chǎn)品經(jīng)理鄒洪志對《經(jīng)濟(jì)參考報》記者表示,永安在線數(shù)據(jù)泄露監(jiān)測平臺從2018年正式開始運營至今,已發(fā)現(xiàn)數(shù)據(jù)泄露事件超70000起,影響人數(shù)超過2億。
事實上,數(shù)據(jù)泄露在全球都處于高發(fā)態(tài)勢。近日,據(jù)外媒報道,WizCase安全團(tuán)隊在掃描國際在線外匯交易平臺FBS服務(wù)器時發(fā)現(xiàn)了嚴(yán)重的數(shù)據(jù)泄露事件。此次數(shù)據(jù)泄漏多達(dá)20TB,包括超過160億條記錄。泄漏信息包括姓名、電話、郵件、護(hù)照號、個人照片、駕駛執(zhí)照等個人基礎(chǔ)信息。同時,存款金額、貨幣、交易ID、交易日期、余額、股本等用戶財務(wù)數(shù)據(jù)也在其內(nèi)。
根據(jù)ForgeRock《消費者身份信息違規(guī)報告》最近公布的數(shù)據(jù),網(wǎng)絡(luò)犯罪分子在2019年暴露了超過50億條數(shù)據(jù)記錄。盡管2020年第一季度數(shù)據(jù)泄露事故數(shù)量下降了57%,但從泄露量來看,只增未減,泄露了多達(dá)16億條記錄,比2019年同期增加了9%。
“被侵犯的公民個人信息數(shù)量從‘倍數(shù)級’進(jìn)階至‘指數(shù)級’爆炸式增長?!北本┦械谌屑壢嗣穹ㄔ焊痹洪L辛尚民此前在介紹涉公民個人信息犯罪案件審理情況時指出,隨著信息技術(shù)的發(fā)展,可利用的信息數(shù)量日益龐大,從過去的姓名、身份證號、手機號、住址等傳統(tǒng)靜態(tài)信息,增加了征信信息、定位信息、行蹤軌跡信息、住宿信息、房屋產(chǎn)權(quán)信息等多方面多維度信息。同時,儲存信息的載體從傳統(tǒng)的U盤、硬盤等變?yōu)閮Υ媪扛蟮脑票P,也讓存儲成本和難度大幅度降低。(記者 張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩)