近日,中信銀行針對未獲客戶本人授權,便將客戶帳戶流水提供給他人一事發文道歉,#中信銀行道歉#話題一時登上熱搜榜,引髮網友熱議。
被圍觀的不僅是當事三方,所涉及的用戶信息保護問題,更備受關注。
個人信息販賣已形成一條完整的產業鏈,且已由國內轉向國外的網絡空間。在這個空間裡,一個人重要的隱私信息幾乎暴露無遺,身份證號、家庭住址、車牌號、手機號、住宿記錄,全部「上架」待售。
3月19日,陸續有微博用戶發消息稱,出現了疑似用戶個人信息泄露的情況,表現為不少人的手機號已經泄露,根據微博帳號可以查詢到手機號。
對此,微博方面公開回應稱,此次數據泄露應該追溯到2018年底。當時,有用戶利用微博相關接口通過手機批量上傳通訊錄,匹配出幾百萬個帳號暱稱,再加上其他渠道獲取的信息一起對外出售。
但是,記者深入調查後發現,微博用戶信息泄露只是個人信息販賣這一網絡黑灰產的冰山一角。個人信息販賣已形成一條完整的產業鏈,且已由國內轉向國外的網絡空間。
在這個網絡空間裡,一個人重要的隱私信息幾乎全部暴露。賣家個個「神通廣大」,身份證號、家庭住址、車牌號、手機號,甚至賓館住宿記錄,全部「上架」待售。
而且這條黑色產業鏈的交易體系也已升級,從使用傳統網絡平台及工具轉向使用比特幣等新型數字貨幣為代表的新型網絡技術。
外網平台和虛擬貨幣支付,使得整個交易更加隱蔽和難以溯源。
根據調查情況來看,每個人的隱私信息都可能成為待價而沽的商品,這並不是危言聳聽。
有關業內專家在接受記者採訪時表示,個人信息泄露一般源於黑客攻擊等技術手段、內部人員利用職務便利竊取併流出。存儲數據的機構採取各種防範手段,但依然不能保證完全沒有漏洞。
1
黑灰產業鏈轉移
對於這次的微博用戶信息泄露事件,微博方面表示,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,用戶授權後可以使用該服務。但是,微博並不提供查詢用戶性別和身份證號等信息,也不提供根據用戶暱稱查詢手機號的服務。3月的這起數據泄露事件,對微博服務沒有影響。
同時微博方面強調,此次非法調用微博接口匹配出的信息僅為微博帳號暱稱,並不涉及身份證、密碼等其他隱私數據。目前微博已經及時加強了安全策略,並將不斷強化。
3月24日,工業和信息化部發布消息稱,工信部網絡安全管理局在3月21日對新浪微博相關負責人進行了問詢約談,要求其按照《網絡安全法》《電信和網際網路用戶個人信息保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患。
主管部門和企業分別採取措施,使得這起泄露事件暫告段落。
但是《財經》記者循著此次泄露的線索深入調查後發現,這次泄露事件實際只是龐大的個人信息買賣黑灰產市場的冰山一角。
原來出沒於國內網絡平台的黑灰產人士,紛紛轉入以Telegram為代表的國外網絡平台,形成了更加隱蔽、更難溯源的新型產業鏈。
多名知情人士告訴《財經》記者,早先,個人信息販子一般使用QQ、微信、貼吧等國內網絡平台,主要使用微信支付、支付寶等支付工具。但隨著騰訊、阿里巴巴等平台企業對黑灰產的打擊力度持續加大,黑灰產業在國內的傳統平台已難以立足。
而且,在原來的國內平台上,既有真正出售個人信息的販子,也有以此為幌子的騙子。「有人做廣告說有海量且準確的各類個人信息,購買者付了費後卻直接被拉黑,這種事情多如牛毛。」有知情人士說。於是,這個產業鏈開始向外轉移,以Telegram為代表的國外軟體使用方便,而且引入了虛擬貨幣等「安全」支付方式,使得個人信息販賣產業逐漸轉至外網平台,並逐漸擴大規模且穩定下來。
從國內轉向國外,支付方式更為安全,提供信息和服務越來越可靠,是產業鏈轉移後的新形態。
「這次微博用戶信息泄露事件,確實是由來已久,在群組出售查詢這些信息,已經不是新鮮事。」前述知情人士告訴《財經》記者。
2
個人信息應有盡有
從3月27日起,《財經》記者登錄Telegram帳號,找到了用於出售個人信息的機器人。通過機器人介面,可以加入一個群組。3月28日,這個群組的人數顯示為4萬人左右,此後,人數一直在持續增長。
在群組裡,不斷有各類賣家發布消息出售各類個人信息,涵蓋了個人戶口、家庭戶口、手機號查機主、名下銀行卡、淘寶收貨地址、微博反查、微信反查、快遞單號查詢收貨地址、住宿記錄、出行記錄等等各類個人信息,幾乎無所不包。
形象地說,Telegram平台上的機器人實際就是眾多賣家將手中的個人信息建成一個可自動檢索的資料庫。如果有人想購買或查詢信息,一般使用BTC(比特幣)或ETH數字貨幣向機器人提供贊助,相當於充值。最低贊助320元人民幣,可摺合為260積分。群內提示的積分與數字貨幣換算率大致為0.358ETH=260積分。
按照規則,10積分可做一次普通查詢,大約等於10元人民幣可查詢一次。如果沒有比特幣,群組裡還有專門的代充值服務。
《財經》記者還在Telegram找到了5個其他類似群組,群組所出售和提供查詢的信息與前述群組幾乎沒有區別,裡面打包出售的個人信息價格從幾十元到上萬元不等,涉及數據動輒大小有幾個G。
Telegram平台上出售個人信息的群組截圖
那麼,這些只要付費就可以隨意查詢的個人信息都是從哪裡來的呢?
《財經》記者詢問一些賣家,對方稱,信息是從網際網路各處「收集」而來。前述知情人士則認為,這些信息有不少是從歷次泄露事件中整合而來,也有黑客會繼續竊取,使得資料庫的規模不斷擴大。
《財經》記者經過親身體驗發現,具體交易流程並不複雜,找到機器人,買家充值獲得積分後,可以直接用積分進行自動查詢。
《財經》記者購買一些比特幣,向機器人支付獲取了積分。為了測試信息的準確性,《財經》記者向機器人發送了10個近親屬及朋友的手機號碼,並支付10個或20個積分進行「綁定查詢」,僅3秒左右時間,機器人提供出查詢結果。在這10個號碼中,有9個手機機主的名字準確無誤。其中還有一個號碼查詢到準確的微信帳號名和微博帳號名,另有一個號碼則準確查詢到一位朋友使用過的郵箱密碼和家庭住址。
在Telegram的此類群組中,手機機主信息只是一個入門級別的查詢。《財經》記者使用機器人提供的「獵魔查詢」(模糊搜索)功能,向其發送一個親友的名字,隨即機器人提示選擇男女和省份。在支付100積分後,得到近30條與這名親友同名的身份證號碼信息,記者的親友也位列其中,且身份證號碼準確。
前述知情人士稱,「獵魔查詢」可以被用於「人肉搜索」,只需要提供被「人肉」的人的名字,就可以通過不同的信息,一步步精準鎖定搜索對象。
除了查詢和出售業務,《財經》記者還聯絡了群組中一些出售信息的賣家。記者向一名賣家提供身份證號,表示想查詢這個身份證號的住宿信息。賣家表示,此類信息是以一個數據包的形式出售,數據包中包括少則數萬條,多則幾百萬條信息,價格也從幾百到幾千元不等。
這位賣家稱,數據包越大,就能查到越多的準確信息。在買到的一個數據包中,《財經》記者通過身份證號碼查詢,果真得到幾條準確的住宿信息。但住宿時間並不是最新的,基本為2018年以前的信息。
因為機器人充當了第三方的角色,透過機器人查詢購買,得到信息的準確性強、可靠性高,不存在傳統平台上付款後被賣家拉黑的情況。這對於諸多買家來說,無疑是一種「高品質」而又可靠的服務。
前述知情人士對《財經》記者表示,新的銷售方式方便了黑灰產的從業者「開展業務」,這些信息販子隱匿於平台背後,追蹤溯源的難度增大。同時,個人信息販子預先購置了大量黑灰產「四件套」——身份證、銀行卡、手機號、U盾,用以提現。
為了保證安全,「四件套」均非使用者本人信息,而是從另一批專業黑灰產人士那裡購得。由此可見,個人信息販子已非單鏈條發展,已經發展成為產業網絡。
同時,信息販子利用數字貨幣交易的特性,可以為每個賣家單獨生成地址,以便於交易「安全」和隱匿交易痕跡。
經過多日調查,以及一些知情人士提供的信息,《財經》記者初步掌握這一黑灰產業鏈條,上游為一些黑客為代表的技術人員,他們通過各類手段獲取海量數據。中游即為各類信息販子,他們從上游購買獲取數據,在群組內出售。
購買者根據自身需求購買數據和信息。據知情人士透露,這些購買者主要為三類群體:網貸從業者,購買個人信息用於向借款者追討借款;私家偵探,購買查詢信息用於調查業務;還有一部分散戶並無具體目的,把購買、查詢自己想要的某個個人的信息當作一種心理需求。
3
Telegram為何成黑灰產「溫床」?
令人覺得諷刺的是,在有眾多個人隱私信息被交易的網絡平台——Telegram,原本是為保護用戶隱私而生的。
2006年,帕維爾·杜羅夫和哥哥一起創辦了俄羅斯最大的社交網站VKontakte,自此淘到了第一桶金。此後,有不少反政府人員把VKontakte當做宣傳平台,這引起了俄羅斯政府的不滿,要求網站加強審查。
2013年,不甘被政府干預的兄弟倆退出VKontakte,前往美國,並創立了Telegram。
簡單來說,Telegram是一個加密的社交網絡平台,提供秘密聊天、閱後即焚、帳戶定期刪除等功能。
起初,Telegram曾提供了一項功能,即允許用戶通過上傳電話號碼來搜索其他用戶,以便讓新用戶快速了解手機通訊錄中的人是否已經在使用這款軟體。這項功能會自動將電話號碼與群組中的用戶名匹配起來,若執法部門向當地電信服務部門詢問電話號碼的持有者,就可以知道用戶的真實身份。
後來,Telegram發布更新,允許用戶禁用電話號碼匹配。這樣就增大了鎖定使用者身份的難度,以此增強了私密性。在這樣的平台規則下,Telegram的群組可自由進入,但用戶信息全部很好地得到隱藏。
與之相對,Telegram強調,它的隱私理念中最重要的兩點分別是保護私人談話不被第三方窺探,以及保護個人數據不受第三方侵害。
符合用戶期待的隱私理念,安全快速的產品體驗,讓Telegram迅速得到發展。截至2019年8月,Telegram的用戶數量已超過3億。
然而,也正是基於這樣的私密特性,以及可提供虛擬貨幣交易的功能,致使大量非法交易紛紛在Telegram里出現,包括一些槍枝彈藥交易、色情產業交易,甚至被恐怖主義組織利用。也就能夠理解,Telegram為什麼會成為個人信息販子們的樂土。
據隱私護衛隊公號報導,在近期轟動韓國的「N號房」事件中,同樣涉及Telegram。運營者在Telegram上開設直播間和聊天室,脅迫受害者拍攝強姦、性虐待的照片和視頻,並有償提供給會員。雙方用虛擬貨幣進行交易,聊天內容會被定期銷毀,難以取證和追蹤。
事件發生後,Telegram在韓國警方的要求下,刪除非法視頻。不過,最終沒有滿足警方提供非法視頻上傳者個人信息的要求。
出於絕對保護用戶隱私理念,Telegram拒絕接受政府監管,於2018年在俄羅斯境內被屏蔽。此外,伊朗、印尼、巴基斯坦等多個國家也已經禁用Telegram。
4
被「人肉」的調查者
今年29歲的佟林,長期從事數字貨幣、網絡安全等業務,對這些領域的情況輕車熟路。
3月20日左右,微博用戶個人信息泄露的消息發出後不久,出於公益目的,佟林立刻潛入前述Telegram群組,觀察群組內的活動動態。
佟林接受《財經》記者採訪時表示,他其實早已聽說,網絡黑灰產人士從國內網絡平台轉往國外平台,這在圈子裡並不是秘密,只是普通公眾一直尚不知情。
在「潛伏」多日,並嘗試著與賣家交易後,佟林將這一類系列情況發布在自己的自媒體平台上,很短時間就獲得將近10萬的閱讀量。
就在佟林繼續「潛伏」時,他發現了一個叫「佟林粉絲」的群組,他進群後發現,自己已經被裡面的諸多賣家「人肉」了。他的名字、電話、家庭住址、工作機構等個人信息被準確無誤地公布出來。連他的身份證原件圖片也被曬了出來。有人還威脅要使用電話、簡訊騷擾軟體對他進行「狂轟濫炸」,徹底「廢」了他。
面對這樣的報復,佟林沒有選擇沉默,將自己被「人肉」的情況繼續發布在自媒體中,並根據自己的網際網路安全經驗,提示普通公眾在使用網際網路時,可以採取一些辦法保護自己的個人信息。例如,儘量少使用同一個密碼或密碼關鍵詞;使用強密碼管理工具,為帳號開啟二次驗證;註冊使用多個郵箱,有時也可以使用一次性郵箱等等。
佟林告訴《財經》記者,前述Telegram群組中的賣家所提供的個人信息中,很多都是被用於「人肉搜索」。而在這些群組中,真實個人信息公開被稱為「出道」。在佟林看來,自己個人信息的完全泄露,已經意味著任何一個個人都可能已經失去了應有的隱私空間。
佟林對《財經》記者表示,自己既然已經「出道」,就願意用自己的經歷將這些侵犯個人信息的情況更大範圍地讓公眾知曉。但有一點最讓他始終難以理解,那就是自己的身份證原件照片也被泄露出來了,「這種應該是管理最為嚴格的信息,怎麼也就這麼泄露出來?」
《財經》記者在上述群組中注意到,群內成員對於各類揭露類似個人信息販賣的報導反應速度極快,報導刊發後不久就會被轉到群內,群內成員對這些報導不以為然,發表各類嘲諷,甚至聲稱會去「人肉」記者。
5
信息泄露的源頭能堵住嗎?
個人信息泄露事件近年來屢有發生,已對普通公眾產生滋擾,最常見的是很多人經常會接到各類精準營銷。而一些由於電信詐騙案件引發的惡性事件更是讓公眾感到不安。
很多人都存在疑問:個人信息究竟是如何泄露的?究竟有沒有辦法防止泄露?
中國電子技術標準化研究院信安中心審查部總監何延哲告訴《財經》記者,近幾年的個人信息泄露,一般有三個來源。一是「黑客」等外部力量攻擊資料庫,用技術手段把內部信息盜走;二是存儲有海量數據的機構,有內部人員利用系統管理權限將數據獲取後流出;三是在使用第三方網絡平台時,用戶將個人信息提交給平台,但這些平台的防護措施不到位或沒有按照約定存儲使用數據,導致泄露。
針對這三種情況,想防止數據泄露,掌握海量數據的機構應該加強技術防護,制定嚴格管理制度,同時嚴防「內鬼」。出於對數據安全的考慮,各機構也都在加強防護措施,但在現實中並不可能做到完全沒有漏洞。
何延哲向《財經》記者舉例,從2019年開始,中央網信辦、工信部、公安部、市場監管總局四部門聯合展開App個人信息保護治理,對不斷提升App個人信息保護水平起到了積極推動作用。但是只要出現一個「內鬼」,大規模泄露立刻出現,防不勝防。
以酒店住宿信息為例,近兩年已有多起大規模泄露事件。
2018年8月,華住酒店集團發生泄露事件,涉及的個人信息數量超過5億條。華住旗下的酒店品牌包括漢庭、美爵、桔子、全季、宜必思等,門店數量數千家。
2018年12月,國際酒店巨頭萬豪對外披露,其旗下品牌酒店的客人入住信息系統遭黑客入侵,數億條個人入住信息和身份信息被泄露。
就在2020年3月末,萬豪再次公告稱,約520萬名客戶的資料可能被泄露。這次泄露的原因則為可能有人使用集團旗下一家特許經營酒店的兩個員工的登錄憑據,訪問了數量眾多的客戶信息。萬豪方面發現後,已禁用相關登錄憑據,並通知有關部門展開調查。
檢索中國裁判文書網可知,順豐速運曾發生的一起內部員工泄露個人信息的案件。這是近年來快遞行業涉及泄露個人信息的一起重大案件。
湖北省荊州中級法院2018年5月的一份判決書顯示,順豐速運員工杜立明、馮丹等11人分別就職於河北順豐速運有限公司和荊州順豐速運有限公司,職位涵蓋安保部主管、市場部專員、倉管、快遞員等。
2015年以來,杜、馮等人為謀取非法利益,利用微信、QQ等軟體平台,出售、提供、非法獲取包含順豐快遞單號、面單(即包含順豐快遞單號、地址、電話號碼的圖片)中公民的個人信息。案件涉及被泄露的公民個人信息超過千萬條,涉案金額200餘萬元。如果摺合成單條信息,每條價格僅有約0.2元。
除了酒店業、快遞業,同樣掌握有海量數據的一些行政機關工作人員也成為個人信息泄露的「內鬼」。
2020年4月初,湖南省衡陽市公安局刑偵支隊五大隊原民警肖某二審獲刑四年半。衡陽中院判決認定,2017年3月,肖某發現出售公民個人信息可以賺錢,便開始利用職務便利,出售個人信息牟利。
由於肖某自己的數字證書無高級查詢權限,他盜用同事的數字證書,通過登錄公安機關相關信息平台,將查詢到的公民戶籍信息或行蹤軌跡信息出售。肖某先後出售過的個人信息包括公民戶籍信息、公民個人行蹤軌跡信息、車輛軌跡信息、住宿信息。他設定的價格為公民個人行蹤軌跡信息每條300元,車輛軌跡信息每條100元,住宿信息每條100元。
在交易過程中,肖某曾使用國內軟體進行交易。出於安全考慮,他也改用一些國外軟體進行聯絡和交易。法院審理認定,自2017年3月至2018年12月,肖某盜取公民個人信息出售給他人,違法所得總計180餘萬元。
正是由於國內對於信息泄露和販賣等非法行為的治理,這些黑灰產從業者轉移到Telegram這樣的國外平台,以逃避打擊。
截至發稿時,前述Telegram群組的參與人數仍處於不斷增長中,而各種個人信息交易依然活躍。
文 | 王勇
本文轉載自微信公眾號「財經E法」(ID:CAIJINGELAW),原文首發於2020年4月28日,原標題為《「人肉」產業遊戲:起底外網空間裡的個人隱私交易》,不代表瞭望智庫觀點。
原標題:《小心你的身份證號、車牌號、手機號…》