不同場(chǎng)合使用相同的密碼會(huì)被黑客輕易獲得
暗網(wǎng)交易兇悍:信息失守正在拓廣金融“黑洞”
本報(bào)記者/鄭瑜/張榮旺/北京報(bào)道
互聯(lián)網(wǎng)時(shí)代,你恐怕已經(jīng)沒有了隱私,。
你的個(gè)人信息因?yàn)檩p易地暴露在了各種數(shù)據(jù)流通的過程中,,個(gè)人數(shù)據(jù)倒賣等黑色交易更是屢見不鮮,。
日前,先是國內(nèi)5億用戶綁定手機(jī)號(hào)數(shù)據(jù)被掛上暗網(wǎng)(一種使用特殊加密技術(shù)刻意隱藏相關(guān)信息的互聯(lián)網(wǎng)),。隨后又有萬豪國際酒店集團(tuán)公告稱約520萬客人的信息可能被泄露,,信息包含姓名、郵寄地址,、電子郵箱,、手機(jī)號(hào)等。
暗網(wǎng),,又被稱為“隱藏網(wǎng)”,,訪問“暗網(wǎng)”需要多重特殊手段,普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問,。
在暗網(wǎng)上,,身份證使用軌跡售價(jià)0.02比特幣/份(現(xiàn)價(jià)折合人民幣1000元左右/份),其中包含銀行,、住宿,、鐵路、民航(交通)等身份證使用記錄,。截至2020年4月2日,,記者發(fā)現(xiàn)的涉及暗網(wǎng)買賣的社交平臺(tái)機(jī)器人顯示,包含銀行,、住宿,、鐵路、民航(交通)等身份證使用記錄的“身份證使用軌跡信息”近期已經(jīng)售出18件,,近一周賣出5件,。而其他不同賣家提供的身份證使用(軌跡)記錄商品售出件數(shù)也達(dá)到二十多件,。
近年來,包括金融信息在內(nèi)的各種信息流向黑產(chǎn),,被用于金融信貸催收,、營銷等各個(gè)領(lǐng)域。
“最快能查到借款人外賣最近一次訂單,、5分鐘前的通話記錄,。”某國有大行附屬公司前催收人員告訴《中國經(jīng)營報(bào)》記者,,催收公司一般會(huì)購買借款人資料,,包括且不限于與身份證關(guān)聯(lián)的手機(jī)號(hào)、外賣,、快遞,、機(jī)票、火車票信息,。
記者嘗試找到售賣信息的平臺(tái),,結(jié)果只花費(fèi)了約8元人民幣就買到了自己與其他家人的住址、平臺(tái)賬號(hào),、密碼等信息,,所買信息準(zhǔn)確無誤。
花錢買來的信息利用無孔不入,,甚至有人利用其違法犯罪,。
4月2日,中國銀聯(lián)發(fā)布報(bào)告稱,,51%的消費(fèi)者曾經(jīng)遇到過網(wǎng)絡(luò)詐騙,。
近年來各地警方(北京、河南,、廣東,、山西、陜西)曾多次發(fā)布提示,,讓市民警惕犯罪分子通過非法渠道獲取公民個(gè)人信息,,電信詐騙犯罪。在警方發(fā)布的案例中,,一位在校大學(xué)生因騙子自稱網(wǎng)貸平臺(tái)人員,,且能夠說出自己的詳細(xì)信息而輕信對(duì)方,在短短2天時(shí)間內(nèi)被騙7萬元,。
起源:內(nèi)部人員泄露與黑客攻擊
為何手機(jī)號(hào),、密碼等數(shù)據(jù)會(huì)遭到泄露?
有網(wǎng)絡(luò)安全人士表示,近年互聯(lián)網(wǎng)公司遭黑客攻擊,,泄露用戶數(shù)據(jù)案件頻頻發(fā)生,,加之近年來數(shù)據(jù)公司內(nèi)部人員泄露信息事件高發(fā)是數(shù)據(jù)泄露的主要原因。
近期,,中國人民銀行(以下簡(jiǎn)稱“央行”)發(fā)布金融消費(fèi)“套路”案例中介紹,,某位客戶在某銀行辦理房貸、商貸等業(yè)務(wù)并查詢個(gè)人征信記錄后,,常常接到小貸公司或銀行貸款的電話,,詢問貸款需求,。在客戶報(bào)案后發(fā)現(xiàn)是銀行內(nèi)部工作人員將他的個(gè)人信息倒賣給一些所謂的合作機(jī)構(gòu),。“該名銀行工作人員違規(guī)販賣客戶賬戶信息,、征信記錄等,,涉嫌違法犯罪?!?/p>
亦有金融公司的工程師向記者分析道,,數(shù)據(jù)泄露有兩種來源:一種是技術(shù)上從后臺(tái)數(shù)據(jù)庫導(dǎo)出,一種是業(yè)務(wù)人員從前臺(tái)導(dǎo)出,。技術(shù)層面數(shù)據(jù)庫數(shù)據(jù)的泄露,,有可能是公司技術(shù)人員非法拷貝數(shù)據(jù)庫中的數(shù)據(jù),如果一家公司存在技術(shù)人員泄露數(shù)據(jù)的情況,,則表明技術(shù)安全管理不到位,;同時(shí)也有可能是被黑客攻擊導(dǎo)致泄露。一般情況來說,,公司的系統(tǒng)都會(huì)有相應(yīng)的信息安防措施,,因此由黑客攻擊導(dǎo)致的情況并不常見,但是黑客攻擊導(dǎo)致整個(gè)數(shù)據(jù)庫數(shù)據(jù)泄露的結(jié)果和影響通常會(huì)比較嚴(yán)重,?!笆忻嫔献畛R姷氖菢I(yè)務(wù)人員對(duì)客戶信息的泄露,將客戶的個(gè)人信息導(dǎo)出,,進(jìn)行倒賣,。”工程師表示,。
那么黑客是如何竊取到用戶隱私的,?
其最常見的做法之一就是撞庫。撞庫是黑客通過已掌握的某個(gè)網(wǎng)站泄露用戶數(shù)據(jù),,嘗試登陸其他網(wǎng)站,。
DCCI互聯(lián)網(wǎng)研究院院長、工信部信息通信經(jīng)濟(jì)專家委員會(huì)委員劉興亮告訴記者:“很多‘小白’(新手)用戶在不同網(wǎng)站使用的是相同的賬號(hào)密碼,黑客攻破了安全措施較低的論壇網(wǎng)站后,,獲取的用戶名密碼往往會(huì)用來批量嘗試登陸其他網(wǎng)站,,這就是黑客撞庫行為?!币簿褪钦f,,如果你在不同場(chǎng)合使用相同的密碼,極有可能被黑客通過撞庫手法輕易獲得,。
“與撞庫原理類似的是,,現(xiàn)在有很多社交手機(jī)應(yīng)用軟件(APP),都具備自動(dòng)匹配手機(jī)通訊錄聯(lián)系人,,成為社交軟件中的好友功能,。在用戶同意這些APP讀取通訊錄權(quán)限的同時(shí),APP開始自動(dòng)匹配通訊錄好友,,將社交平臺(tái)賬號(hào)與手機(jī)號(hào)碼匹配,。”上述大數(shù)據(jù)行業(yè)從業(yè)者表示:“此次備受關(guān)注的數(shù)據(jù)泄露事件,,很有可能就是黑客偽造了一個(gè)本地通訊錄數(shù)據(jù)庫,,數(shù)據(jù)庫中預(yù)先舉例大量手機(jī)號(hào),再利用庫中大量手機(jī)號(hào)與APP匹配功能,,將手機(jī)號(hào)與對(duì)應(yīng)賬號(hào)進(jìn)行一一匹配,。黑客往往還會(huì)通過Python網(wǎng)絡(luò)爬蟲抓取大量網(wǎng)頁上社交平臺(tái)賬號(hào)相關(guān)數(shù)據(jù),最后將匹配成功的數(shù)據(jù)(比如手機(jī)號(hào),、社交平臺(tái)賬號(hào),、賬號(hào)相關(guān)信息)通過爬蟲抓取一并保存,從而造成個(gè)人數(shù)據(jù)外泄,?!?/p>
上述人士表示,數(shù)據(jù)過度采集情況一直存在,,一方面,,網(wǎng)絡(luò)爬蟲過度爬去網(wǎng)站信息,致使網(wǎng)站崩潰,,網(wǎng)站用戶信息被竊,。另一方面,APP過度收集用戶信息,,包括隱蔽收集,、誤導(dǎo)同意、強(qiáng)制授權(quán),、過度索權(quán),、超范圍手機(jī)個(gè)人信息及賬號(hào)注銷困難等,。
近年,有關(guān)部門高度重視個(gè)人信息保護(hù)工作,,中央網(wǎng)信辦,、工信部、公安部,、市場(chǎng)監(jiān)管總局指導(dǎo)成立了APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組,,開展APP整改相關(guān)工作。
震驚:“金融信息實(shí)時(shí)查詢服務(wù)絕不僅是撞庫這么簡(jiǎn)單”
有金融科技從業(yè)者表示,,由于網(wǎng)絡(luò)黑產(chǎn)的存在與2017年之前信息安全混沌的狀態(tài),,在他看來信息批量倒賣已并非新鮮事,但現(xiàn)在暗網(wǎng)可以如此方便地指定查詢個(gè)人金融信息,,還是令從業(yè)8年的他感到十分震驚,。
“實(shí)時(shí)指定查詢某個(gè)人的銀行流水與余額絕非撞庫能做到的,極大可能是掌握金融機(jī)構(gòu)數(shù)據(jù)庫的內(nèi)部人員所為,?!鄙鲜鼋鹑诳萍紡臉I(yè)者認(rèn)為。
在支付百元后,,賣家向記者展示了通過姓名與某國有大行的銀行卡號(hào),查詢銀行卡預(yù)留手機(jī)號(hào)碼和綁定的身份證號(hào)的功能,。記者同時(shí)看到有些暗網(wǎng)賣家在銀行卡四要素(姓名,、卡號(hào)、身份證號(hào),、預(yù)留手機(jī))中,,也會(huì)附帶著查看銀行卡余額的服務(wù)。
暗網(wǎng)上顯示,,支付千元還可以查詢指定個(gè)人的銀行卡流水,,包括一個(gè)月、三個(gè)月,、半年,、一年的多家銀行進(jìn)出賬單詳細(xì)單,售價(jià)為2000元人民幣起步,。
在上述人士看來,,數(shù)據(jù)流通過程中,數(shù)據(jù)權(quán)屬與授權(quán)不明,,是導(dǎo)致個(gè)人數(shù)據(jù)倒賣等黑色交易激增,,造成社會(huì)危害的重要原因。
有大數(shù)據(jù)金融公司人士表示,,以上述所說的銀行四要素為例,,掌握這些數(shù)據(jù)的機(jī)構(gòu)包括一切有可能獲取到數(shù)據(jù)的服務(wù)機(jī)構(gòu),,不單有銀行,還有基金公司,、券商,、支付機(jī)構(gòu)、甚至還有電商,。也就是說,,個(gè)人信息的泄露渠道多元,這很可能令人防不勝防,。
渠道多元,,環(huán)節(jié)更令人擔(dān)憂。
“有可能發(fā)生數(shù)據(jù)泄露的環(huán)節(jié)不勝枚舉,。生活中很多環(huán)節(jié),,用戶都需要提交個(gè)人金融信息,比如房地產(chǎn)經(jīng)紀(jì)機(jī)構(gòu)在協(xié)助辦理房屋貸款等業(yè)務(wù)時(shí),,也能拿到用戶的銀行卡信息,。”劉興亮解釋道,。
“目前泄露的數(shù)據(jù),,對(duì)于銀行來說,更多的是一個(gè)歷史問題,?!蹦炽y行人士表示:“相對(duì)近些年而言,銀行早年對(duì)于下屬經(jīng)營網(wǎng)點(diǎn)管理客戶信息保護(hù)方面,,并不是特別重視,。基層網(wǎng)點(diǎn)客戶四要素及其他開戶資料日積月累,,逐漸成為金融信息黑產(chǎn)覬覦的目標(biāo),。為從中牟取利益,基層網(wǎng)點(diǎn)內(nèi)部員工甚至存在倒賣等違規(guī)行為,,這也滋長了黑色交易,。”
上述人士同時(shí)坦言,,最近幾年,,銀行及內(nèi)部員工主動(dòng)泄露用戶數(shù)據(jù)的可能性相對(duì)較低。因?yàn)槟壳般y行內(nèi)部各個(gè)環(huán)節(jié)與崗位,,相互制約,,比如管理權(quán)限的人員,不會(huì)掌握數(shù)據(jù)庫,,掌握數(shù)據(jù)庫的員工,,自己無法隨意查詢客戶信息,。每一次數(shù)據(jù)的調(diào)用都需要各部門、各層級(jí)的層層審批,,員工個(gè)人對(duì)外兜售數(shù)據(jù)情況可能性下降,。 “此外,可以預(yù)見的是,,隨著監(jiān)管打擊力度的不斷增強(qiáng),,銀行信息安全管理持續(xù)加碼,數(shù)據(jù)交互意愿或?qū)⑦M(jìn)一步降低,??繑?shù)據(jù)驅(qū)動(dòng)的金融科技企業(yè)也許會(huì)受到不小的影響?!?/p>
除了傳統(tǒng)金融機(jī)構(gòu),,非持牌的金融科技平臺(tái)與網(wǎng)貸平臺(tái)也是重災(zāi)區(qū)。
“我一直在還錢,,但家人不堪其擾,,催收員還能找到我在其他社交平臺(tái)的賬號(hào)。還差200多元(欠款)時(shí),,催收員威脅要上門收取千元上門費(fèi),。”一位網(wǎng)貸借款人表示,。
記者曾經(jīng)獲得一份在暗網(wǎng)上兜售的網(wǎng)貸用戶數(shù)據(jù),,包含聯(lián)系人、月收入,、工資發(fā)放形式、手機(jī),、工作時(shí)間,、聯(lián)系地址、貸款額度等信息,,并給出了部分詳細(xì)信息,。記者致電上述數(shù)據(jù)中多位當(dāng)事人,他們表示個(gè)人信息真實(shí),。其中有用戶表示記者所述信息曾提供給過網(wǎng)貸機(jī)構(gòu)與銀行,。
而該網(wǎng)貸平臺(tái)相關(guān)人士表示,不排除有人利用網(wǎng)上公開信息與其他平臺(tái)泄露的用戶數(shù)據(jù),,冒用公司名義出售,。“同一個(gè)借款人普遍會(huì)注冊(cè)多個(gè)平臺(tái)的現(xiàn)象,,這些數(shù)據(jù)如果去匹配其他網(wǎng)貸平臺(tái),,存在一定的命中率,。比較常見的是一些倒閉的網(wǎng)貸平臺(tái)對(duì)于數(shù)據(jù)往往疏于管理與善后,造成的此種情況,?!?/p>
后果:大數(shù)據(jù)殺熟、信息繭房,、電信詐騙
事實(shí)上,,被各種渠道暴露的不只是金融信息,個(gè)人的各種信息包括隱私都可能被泄露,。
“當(dāng)前部分手機(jī)軟件擁有讀取用戶相冊(cè)權(quán)限,,若自動(dòng)識(shí)別到照片上人像頭發(fā)稀疏,就有可能接到植發(fā)廣告,?!币晃淮髷?shù)據(jù)行業(yè)從業(yè)者有些無奈地介紹。
那么個(gè)人信息泄露可能會(huì)造成什么結(jié)果,?
“首先是數(shù)據(jù)濫用,,比如在營銷環(huán)節(jié),大數(shù)據(jù)殺熟(互聯(lián)網(wǎng)企業(yè)提供同樣的商品或服務(wù),,但老客戶看到的價(jià)格反而比新客戶要貴出許多的現(xiàn)象,。商家對(duì)個(gè)人數(shù)據(jù)分析后進(jìn)行定價(jià)歧視?!睂<冶硎?,在國外還有濫用數(shù)據(jù)干預(yù)政府選舉的情況存在。
2018年3月,,英國政治咨詢公司劍橋分析就曾未經(jīng)授權(quán)收集使用8700萬名Facebook用戶的個(gè)人數(shù)據(jù)為美國總統(tǒng)特朗普選舉服務(wù),。
同樣,信息繭房也值得關(guān)注,。
復(fù)旦大學(xué)新聞學(xué)院執(zhí)行院長,、教授張濤甫曾撰文表示,算法推薦的問世和普及是媒介技術(shù)進(jìn)步的體現(xiàn),,它讓信息與用戶實(shí)現(xiàn)精準(zhǔn)對(duì)接,,將信息與用戶進(jìn)行個(gè)性化匹配?!八惴ǖ挠鲜酵扑]會(huì)造成庸俗,、低俗、媚俗信息泛濫,,進(jìn)而造成某些用戶低級(jí)趣味的固化和泛化,。二是會(huì)形成信息‘繭房’問題?;谒惴ǖ贸龅尼槍?duì)特定用戶進(jìn)行的個(gè)性化推薦,,勢(shì)必造成用戶信息選擇面的收窄,,仿佛在用戶周圍砌起了一堵墻,形成信息‘繭房’,?!?/p>
多位行業(yè)人士都向記者表示,個(gè)人數(shù)據(jù)濫用,、倒賣經(jīng)常存在于營銷,、信貸風(fēng)控乃至詐騙。
2020年4月1日,,北京市海淀公安,、廣東省珠海市刑偵等多地警方發(fā)布注銷網(wǎng)貸賬戶騙局的風(fēng)險(xiǎn)提醒,表示近期網(wǎng)貸詐騙手段又有抬頭之勢(shì),。
根據(jù)山西省運(yùn)城市平路縣公安局介紹,,有大學(xué)應(yīng)屆生在2天之內(nèi)被騙7萬元人民幣,起因是自稱是某網(wǎng)貸公司員工的人告訴他說,,由于他注冊(cè)了某網(wǎng)貸公司賬戶,,需要注銷學(xué)生賬戶,否則今后將無法借款,。在此期間,,騙子不僅發(fā)給他身份證、營業(yè)執(zhí)照等信息證明其身份,,而且騙子也可以準(zhǔn)確說出該名應(yīng)屆生的名字與身份證號(hào)碼,,這位受害學(xué)生如今瀕臨自閉,既不敢告訴家人,,又怕扛不下去,,目前案件正在進(jìn)一步處理中。
根據(jù)警方介紹,,在詐騙過程中,,騙子掌握了用戶詳細(xì)個(gè)人信息。
那么數(shù)據(jù)泄露在法律上如何追責(zé),?
北京金誠同達(dá)(上海)律師事務(wù)所律師周晨黠告訴記者,首先是刑事方面,,一般而言此類行為相關(guān)的個(gè)人涉嫌侵犯公民個(gè)人信息罪,,該罪需要行為人存在對(duì)犯罪的故意或共識(shí),因此如果涉案的機(jī)構(gòu)不存在對(duì)泄露行為的主觀故意,,很難追究機(jī)構(gòu)的刑事責(zé)任,。其次是行政方面,現(xiàn)在我國在個(gè)人信息保護(hù)這塊的行政監(jiān)管正在逐漸加強(qiáng),,如果機(jī)構(gòu)存在管理疏忽,、未能及時(shí)修復(fù)已經(jīng)發(fā)現(xiàn)的漏洞,、未能管理好合作的第三方等各類問題,導(dǎo)致發(fā)生數(shù)據(jù)泄露事件的,,或者在發(fā)生數(shù)據(jù)泄露事件后未能及時(shí)采取措施導(dǎo)致?lián)p失進(jìn)一步擴(kuò)大的,,機(jī)構(gòu)很可能會(huì)受到行政部門的處罰。另外因?yàn)槟壳胺煞ㄒ?guī)對(duì)數(shù)據(jù)安全這塊的要求其實(shí)是比較高的,,所以一旦發(fā)生數(shù)據(jù)泄露事件,,往往能反過來查到企業(yè)的各種問題,因此這塊的風(fēng)險(xiǎn)是比較大的,。第三是民事方面,,現(xiàn)有的這方面案例并不多,實(shí)際判決機(jī)構(gòu)承擔(dān)民事責(zé)任的也不多,,但是考慮到民事案件的結(jié)果很大程度上取決于舉證情況,,消費(fèi)者或者用戶往往是因?yàn)闊o法證明是機(jī)構(gòu)泄露的數(shù)據(jù),以及無法舉證證明具體的損失而導(dǎo)致敗訴,。這一塊目前對(duì)于消費(fèi)者或者用戶具體需要舉證到什么程度的問題也可能會(huì)有轉(zhuǎn)變,,同時(shí)考慮到監(jiān)管層面對(duì)個(gè)人信息的不斷重視,未來此類案件也可能會(huì)繼續(xù)增多,。
“應(yīng)思考如何兼顧隱私保護(hù)與合理使用的途徑”上述專家建議,,“目前數(shù)據(jù)安全方面,我個(gè)人認(rèn)為其最為關(guān)鍵的仍是數(shù)據(jù)規(guī)范使用問題,。從明確個(gè)人信息保存期限入手,,厘清數(shù)據(jù)權(quán)屬與使用、共享的邊界,?!?/p>