隱私信息“裸奔”泄露規模呈“指數級”增長(cháng)

 

　　數十億條個(gè)人信息明碼標價(jià)“潛規則”盛行售賣(mài)泛濫成災

 

　　2020北京重點(diǎn)中學(xué)家長(cháng)學(xué)生數據10萬(wàn)條；

 

　　私人銀行理財百萬(wàn)、千萬(wàn)級高凈值富人10萬(wàn)條；

 

　　飛機乘客個(gè)人信息80萬(wàn)條；

 

　　寶媽精準數據16萬(wàn)條；

 

　　網(wǎng)貸數據12萬(wàn)條；

 

　　……

 

　　通過(guò)業(yè)內人士登錄Telegram、暗網(wǎng)，《經(jīng)濟參考報》記者看到，上億條各類(lèi)別的個(gè)人精準信息映入眼簾，正在被公開(kāi)售賣(mài)。包括個(gè)人的行蹤軌跡信息、征信信息、財產(chǎn)信息、住宿信息、通信記錄，甚至是面部活體信息，只要點(diǎn)擊支付就可輕易獲取，販賣(mài)猖獗，信息量和交易量之大觸目驚心。

 

　　《經(jīng)濟參考報》記者深入調查發(fā)現，隨處可見(jiàn)的身份綁定、過(guò)度索權加大了App等渠道的個(gè)人信息泄露風(fēng)險。更加值得關(guān)注的是，虛擬貨幣加持下，不可控的暗網(wǎng)論壇、Telegram等社交平臺正成為信息販賣(mài)的主要渠道。

 

　　“暗網(wǎng)不暗”

 

　　數十億條個(gè)人信息明碼標價(jià)售賣(mài)猖獗

 

　　近期，記者在Telegram上一個(gè)名為“社工機器人&閑魚(yú)擔保交易查檔數據某認證群”的社交群上看到，大量的包括戶(hù)籍、手機號、定位、查人查檔、財產(chǎn)調查、開(kāi)房記錄、流水等在內的用戶(hù)信息被公開(kāi)售賣(mài)，十分猖獗。

 

　　“由于目前泄露信息的量比較多，有的黑客就將各種數據做了大數據集合，命名為社工機器人。你只需在其中輸入相應的需求，系統會(huì )自動(dòng)將相關(guān)信息搜索出來(lái)。”一位業(yè)內人士說(shuō)。

 

　　不僅僅是Telegram，《經(jīng)濟參考報》記者了解到，暗網(wǎng)中的數據交易量更為龐大。哈工大（深圳）—奇安信數據安全研究院執行院長(cháng)劉川意告訴記者，每年在暗網(wǎng)平臺出售的各類(lèi)泄露數據多達上萬(wàn)起，每年泄露的數據總量高達數十億條，交易金額超10億元人民幣。這些泄露出來(lái)公開(kāi)出售的信息，包括政府機構公民信息，銀行、證券等金融機構的客戶(hù)信息，各大電信運營(yíng)商的機主以及互聯(lián)網(wǎng)、快遞、酒店、房地產(chǎn)、航空、醫院、學(xué)校等各行各業(yè)的客戶(hù)、用戶(hù)信息。

 

　　而這樣大量詳細的真實(shí)數據，標價(jià)卻非常廉價(jià)。“查一條信息搜索平均也就幾毛錢(qián)。”一位業(yè)內人士告訴記者。

 

　　記者在暗網(wǎng)上看到，一份標稱(chēng)剛出庫的某輔導機構全國高校93萬(wàn)學(xué)生身份數據售賣(mài)，打包價(jià)格為30美元。發(fā)帖者稱(chēng)，數據是網(wǎng)站記錄的2016年到2018年的注冊數據，里面包括姓名、手機號、學(xué)校、住址等信息。目前該數據包顯示已有18次成交。

 

　　某快消品牌官方旗艦店銷(xiāo)售信息數據則報價(jià)16美元。發(fā)帖者表示，數據包共有15623條該品牌2020年中銷(xiāo)售數據信息，包括購買(mǎi)人、購買(mǎi)信息、價(jià)格、購買(mǎi)時(shí)間，同時(shí)還有購買(mǎi)者的電話(huà)和地址。

 

　　此外，身份證正反照、手持半身照也被打包售賣(mài)。從發(fā)帖者給出的附件截圖顯示，可以看到相關(guān)照片不僅有當事人身份證正反面，同時(shí)還有當事人單人照以及手持身份證照四張照片。而這樣的照片共有1500套，數據包售價(jià)為20美元。

 

　　與個(gè)人隱私信息售價(jià)低廉不同的是，含賭博類(lèi)會(huì )員的信息價(jià)格直線(xiàn)上漲。有帖主表示，某體育足球類(lèi)App郵箱泄露VPN賬號密碼，除了新增2020年4月1日到2020年8月8日的注冊信息外，還更新了紅單推介會(huì )員數據，增量190萬(wàn)條。值得注意的是，該數據包售價(jià)高達2000美元，已有2單成交。

 

　　此外，一份3月份第一批提取的18萬(wàn)條棋牌數據包，里面包括電話(huà)、運營(yíng)商、地區、訪(fǎng)問(wèn)次數、抓取地址、抓取平臺、時(shí)間等具體信息，交易單價(jià)300美元。

 

　　騰訊守護者計劃安全專(zhuān)家張文濤表示，目前網(wǎng)絡(luò )黑產(chǎn)已呈現國際化、公司化、智能化、匿名化的特點(diǎn)趨勢。“黑灰產(chǎn)團伙開(kāi)始通過(guò)利用暗網(wǎng)、Telegram等境內外多種工具平臺，實(shí)施數據的竊取、流轉、整合和交易。同時(shí)根據一些典型案例可以看到，部分黑灰產(chǎn)利用公司化的外衣，從事數據交易的不法行為，并且存在黑產(chǎn)人員將多渠道獲取的數據進(jìn)行數據清洗整合，自動(dòng)化對外提供服務(wù)。”

 

　　“黑客最青睞”

 

　　金融行業(yè)成信息泄露“重災區”

 

　　據劉川意介紹，泄露在“暗網(wǎng)”的個(gè)人信息60%以上來(lái)自金融行業(yè)，金融業(yè)已經(jīng)成為黑客最青睞的攻擊目標。

 

　　《經(jīng)濟參考報》記者獲得某證券機構資金50萬(wàn)以上優(yōu)質(zhì)股民信息頁(yè)面截圖。頁(yè)面顯示，25969條數據，標價(jià)168美元，擁有姓名、開(kāi)戶(hù)證件號、性別、年齡、籍貫、手機號、浮動(dòng)盈虧等9個(gè)數據維度。發(fā)帖者表示：“姓名、身份證號碼、手機號碼等信息可自行驗證，數據不多，貴在真實(shí)。”該數據自2021年1月17日發(fā)布，顯示已成交3單。

 

　　另一個(gè)在售的數據包為某證券公司多達16萬(wàn)的客戶(hù)信息，標價(jià)368美元。發(fā)帖者表示，該數據為2021年最新一手客戶(hù)數據，內部渠道流出，暗網(wǎng)首發(fā)。“數據一共16.5萬(wàn)條，已去重，實(shí)號率95%以上，數據保真。”

 

　　此外，某商業(yè)銀行的銀行卡、理財信息等多項泄露出來(lái)的數據被售賣(mài)。交易編號為41884的帖子表示，該數據包擁有2021年某商業(yè)銀行客戶(hù)數據48566條，內含詳細個(gè)人信息、銀行卡號、銀行卡種類(lèi)多項信息。

 

　　交易編號為41847的帖子顯示，其擁有前述商業(yè)銀行理財客戶(hù)數據48800條。“該數據為內鬼帶出，首次在暗網(wǎng)發(fā)布，每份售價(jià)168美元。”發(fā)帖者稱(chēng)。

 

　　記者查看該發(fā)帖者提供的可自行驗證數據看到，該數據內容詳實(shí)，包括理財認購人姓名、身份證號、手機號、產(chǎn)品名稱(chēng)、認購金額、預期收益率、期限以及該認購人具體住址信息。記者登錄上述銀行官方網(wǎng)站，可以看到多個(gè)目前在售理財產(chǎn)品與被泄露信息一致。

 

　　除了黑客等技術(shù)人員盜取批量信息之外，也有一些“內鬼”直接參與其中。交易編號為40046的帖子顯示:“只要提供身份證和姓名信息，便可代查名下所有銀行卡具體信息，不帶余額1100美元，結果帶余額需2200美元，1-5個(gè)工作日即可出結果。”值得注意的是，該貼自2020年8月24日發(fā)布以來(lái)，目前已交易多達360單。

 

　　中國司法大數據研究院社會(huì )治理研究中心主任李俊慧表示，2016年至2020年，全國各級人民法院一審審結涉侵害個(gè)人信息犯罪且裁判文書(shū)已公開(kāi)的案件中，從所涉個(gè)人信息數據來(lái)源行業(yè)來(lái)看，金融行業(yè)占比為39.10%，位列第一。

 

　　“金融、中介、招聘等服務(wù)行業(yè)由于嚴重依賴(lài)電話(huà)、短信等途徑進(jìn)行營(yíng)銷(xiāo)，為了提升營(yíng)銷(xiāo)的針對性、有效性，買(mǎi)賣(mài)公民個(gè)人信息已成了行業(yè)‘潛規則’。”北京市朝陽(yáng)區人民檢察院檢察官助理陳瑩璐說(shuō)。

 

　　記者了解到，金融行業(yè)信息泄露不僅發(fā)生在中國。在境外，金融行業(yè)數據也是暗網(wǎng)“?？?rdquo;。2020年4月9日，價(jià)值近200萬(wàn)美元的韓國和美國支付卡信息在暗網(wǎng)出售。位于新加坡的網(wǎng)絡(luò )安全公司Group-IB檢測到一個(gè)數據庫，其中包含韓國、美國的銀行和金融組織將近40萬(wàn)張支付卡記錄的詳細信息，并且這些信息已于2020年4月9日上載到暗網(wǎng)。

 

　　信息販賣(mài)成“潛規則”

 

　　泄露規模呈“指數級”增長(cháng)

 

　　幾乎我們每個(gè)人都有如下類(lèi)似的經(jīng)歷：剛買(mǎi)了房子，就有裝修公司打來(lái)電話(huà)；生完小孩沒(méi)多久，就有早教中心來(lái)聯(lián)系；買(mǎi)完車(chē)剛一年，就有保險公司來(lái)推銷(xiāo)車(chē)險……推銷(xiāo)人員借助“隱私信息”無(wú)孔不入。個(gè)人信息泄露規模到底有多大？

 

　　業(yè)務(wù)情報安全企業(yè)永安在線(xiàn)產(chǎn)品經(jīng)理鄒洪志對《經(jīng)濟參考報》記者表示，永安在線(xiàn)數據泄露監測平臺從2018年正式開(kāi)始運營(yíng)至今，已發(fā)現數據泄露事件超70000起，影響人數超過(guò)2億。

 

　　事實(shí)上，數據泄露在全球都處于高發(fā)態(tài)勢。近日，據外媒報道，WizCase安全團隊在掃描國際在線(xiàn)外匯交易平臺FBS服務(wù)器時(shí)發(fā)現了嚴重的數據泄露事件。此次數據泄漏多達20TB，包括超過(guò)160億條記錄。泄漏信息包括姓名、電話(huà)、郵件、護照號、個(gè)人照片、駕駛執照等個(gè)人基礎信息。同時(shí)，存款金額、貨幣、交易ID、交易日期、余額、股本等用戶(hù)財務(wù)數據也在其內。

 

　　根據ForgeRock《消費者身份信息違規報告》最近公布的數據，網(wǎng)絡(luò )犯罪分子在2019年暴露了超過(guò)50億條數據記錄。盡管2020年第一季度數據泄露事故數量下降了57%，但從泄露量來(lái)看，只增未減，泄露了多達16億條記錄，比2019年同期增加了9%。

 

　　“被侵犯的公民個(gè)人信息數量從‘倍數級’進(jìn)階至‘指數級’爆炸式增長(cháng)。”北京市第三中級人民法院副院長(cháng)辛尚民此前在介紹涉公民個(gè)人信息犯罪案件審理情況時(shí)指出，隨著(zhù)信息技術(shù)的發(fā)展，可利用的信息數量日益龐大，從過(guò)去的姓名、身份證號、手機號、住址等傳統靜態(tài)信息，增加了征信信息、定位信息、行蹤軌跡信息、住宿信息、房屋產(chǎn)權信息等多方面多維度信息。同時(shí)，儲存信息的載體從傳統的U盤(pán)、硬盤(pán)等變?yōu)閮Υ媪扛蟮脑票P(pán)，也讓存儲成本和難度大幅度降低。（記者張超文李佳鵬孫韶華張莫梁倩郭倩）