隱私資訊“裸奔” 泄露規模呈“指數級”增長
數十億條個人資訊明碼標價 “潛規則”盛行售賣泛濫成災
2020北京重點中學家長學生數據10萬條;
私人銀行理財百萬、千萬級高凈值富人10萬條;
飛機乘客個人資訊80萬條;
寶媽精準數據16萬條;
網貸數據12萬條;
……
通過業內人士登錄Telegram、暗網,《經濟參考報》記者看到,上億條各類別的個人精準資訊映入眼簾,正在被公開售賣。包括個人的行蹤軌跡資訊、徵信資訊、財産資訊、住宿資訊、通信記錄,甚至是面部活體資訊,只要點擊支付就可輕易獲取,販賣猖獗,資訊量和交易量之大觸目驚心。
《經濟參考報》記者深入調查發現,隨處可見的身份綁定、過度索權加大了App等渠道的個人資訊泄露風險。更加值得關注的是,虛擬貨幣加持下,不可控的暗網論壇、Telegram等社交平臺正成為資訊販賣的主要渠道。
“暗網不暗”
數十億條個人資訊明碼標價售賣猖獗
近期,記者在Telegram上一個名為“社工機器人&閒魚擔保交易查檔數據某認證群”的社交群上看到,大量的包括戶籍、手機號、定位、查人查檔、財産調查、開房記錄、流水等在內的用戶資訊被公開售賣,十分猖獗。
“由于目前泄露資訊的量比較多,有的駭客就將各種數據做了大數據集合,命名為社工機器人。你只需在其中輸入相應的需求,係統會自動將相關資訊搜索出來。”一位業內人士説。
不僅僅是Telegram,《經濟參考報》記者了解到,暗網中的數據交易量更為龐大。哈工大(深圳)—奇安信數據安全研究院執行院長劉川意告訴記者,每年在暗網平臺出售的各類泄露數據多達上萬起,每年泄露的數據總量高達數十億條,交易金額超10億元人民幣。這些泄露出來公開出售的資訊,包括政府機構公民資訊,銀行、證券等金融機構的客戶資訊,各大電信運營商的機主以及互聯網、快遞、酒店、房地産、航空、醫院、學校等各行各業的客戶、用戶資訊。
而這樣大量詳細的真實數據,標價卻非常廉價。“查一條資訊搜索平均也就幾毛錢。”一位業內人士告訴記者。
記者在暗網上看到,一份標稱剛出庫的某輔導機構全國高校93萬學生身份數據售賣,打包價格為30美元。發帖者稱,數據是網站記錄的2016年到2018年的注冊數據,裏麵包括姓名、手機號、學校、住址等資訊。目前該數據包顯示已有18次成交。
某快消品牌官方旗艦店銷售資訊數據則報價16美元。發帖者表示,數據包共有15623條該品牌2020年中銷售數據資訊,包括購買人、購買資訊、價格、購買時間,同時還有購買者的電話和地址。
此外,身份證正反照、手持半身照也被打包售賣。從發帖者給出的附件截圖顯示,可以看到相關照片不僅有當事人身份證正反面,同時還有當事人單人照以及手持身份證照四張照片。而這樣的照片共有1500套,數據包售價為20美元。
與個人隱私資訊售價低廉不同的是,含賭博類會員的資訊價格直線上漲。有帖主表示,某體育足球類App郵箱泄露VPN賬號密碼,除了新增2020年4月1日到2020年8月8日的注冊資訊外,還更新了紅單推介會員數據,增量190萬條。值得注意的是,該數據包售價高達2000美元,已有2單成交。
此外,一份3月份第一批提取的18萬條棋牌數據包,裏麵包括電話、運營商、地區、訪問次數、抓取地址、抓取平臺、時間等具體資訊,交易單價300美元。
騰訊守護者計劃安全專家張文濤表示,目前網絡黑産已呈現國際化、公司化、智能化、匿名化的特點趨勢。“黑灰産團夥開始通過利用暗網、Telegram等境內外多種工具平臺,實施數據的竊取、流轉、整合和交易。同時根據一些典型案例可以看到,部分黑灰産利用公司化的外衣,從事數據交易的不法行為,並且存在黑産人員將多渠道獲取的數據進行數據清洗整合,自動化對外提供服務。”
“駭客最青睞”
金融行業成資訊泄露“重災區”
據劉川意介紹,泄露在“暗網”的個人資訊60%以上來自金融行業,金融業已經成為駭客最青睞的攻擊目標。
《經濟參考報》記者獲得某證券機構資金50萬以上優質股民資訊頁面截圖。頁面顯示,25969條數據,標價168美元,擁有姓名、開戶證件號、性別、年齡、籍貫、手機號、浮動盈虧等9個數據維度。發帖者表示:“姓名、身份證號碼、手機號碼等資訊可自行驗證,數據不多,貴在真實。”該數據自2021年1月17日發布,顯示已成交3單。
另一個在售的數據包為某證券公司多達16萬的客戶資訊,標價368美元。發帖者表示,該數據為2021年最新一手客戶數據,內部渠道流出,暗網首發。“數據一共16.5萬條,已去重,實號率95%以上,數據保真。”
此外,某商業銀行的銀行卡、理財資訊等多項泄露出來的數據被售賣。交易編號為41884的帖子表示,該數據包擁有2021年某商業銀行客戶數據48566條,內含詳細個人資訊、銀行卡號、銀行卡種類多項資訊。
交易編號為41847的帖子顯示,其擁有前述商業銀行理財客戶數據48800條。“該數據為內鬼帶出,首次在暗網發布,每份售價168美元。”發帖者稱。
記者查看該發帖者提供的可自行驗證數據看到,該數據內容詳實,包括理財認購人姓名、身份證號、手機號、産品名稱、認購金額、預期收益率、期限以及該認購人具體住址資訊。記者登錄上述銀行官方網站,可以看到多個目前在售理財産品與被泄露資訊一致。
除了駭客等技術人員盜取批量資訊之外,也有一些“內鬼”直接參與其中。交易編號為40046的帖子顯示:“只要提供身份證和姓名資訊,便可代查名下所有銀行卡具體資訊,不帶余額1100美元,結果帶余額需2200美元,1-5個工作日即可出結果。”值得注意的是,該貼自2020年8月24日發布以來,目前已交易多達360單。
中國司法大數據研究院社會治理研究中心主任李俊慧表示,2016年至2020年,全國各級人民法院一審審結涉侵害個人資訊犯罪且裁判文書已公開的案件中,從所涉個人資訊數據來源行業來看,金融行業佔比為39.10%,位列第一。
“金融、中介、招聘等服務行業由于嚴重依賴電話、短信等途徑進行行銷,為了提升行銷的針對性、有效性,買賣公民個人資訊已成了行業‘潛規則’。”北京市朝陽區人民檢察院檢察官助理陳瑩璐説。
記者了解到,金融行業資訊泄露不僅發生在中國。在境外,金融行業數據也是暗網“常客”。2020年4月9日,價值近200萬美元的韓國和美國支付卡資訊在暗網出售。位于新加坡的網絡安全公司Group-IB檢測到一個數據庫,其中包含韓國、美國的銀行和金融組織將近40萬張支付卡記錄的詳細資訊,並且這些資訊已于2020年4月9日上載到暗網。
資訊販賣成“潛規則”
泄露規模呈“指數級”增長
幾乎我們每個人都有如下類似的經歷:剛買了房子,就有裝修公司打來電話;生完小孩沒多久,就有早教中心來聯繫;買完車剛一年,就有保險公司來推銷車險……推銷人員借助“隱私資訊”無孔不入。個人資訊泄露規模到底有多大?
業務情報安全企業永安線上産品經理鄒洪志對《經濟參考報》記者表示,永安線上數據泄露監測平臺從2018年正式開始運營至今,已發現數據泄露事件超70000起,影響人數超過2億。
事實上,數據泄露在全球都處于高發態勢。近日,據外媒報道,WizCase安全團隊在掃描國際線上外匯交易平臺FBS伺服器時發現了嚴重的數據泄露事件。此次數據泄漏多達20TB,包括超過160億條記錄。泄漏資訊包括姓名、電話、郵件、護照號、個人照片、駕駛執照等個人基礎資訊。同時,存款金額、貨幣、交易ID、交易日期、余額、股本等用戶財務數據也在其內。
根據ForgeRock《消費者身份資訊違規報告》最近公布的數據,網絡犯罪分子在2019年暴露了超過50億條數據記錄。盡管2020年第一季度數據泄露事故數量下降了57%,但從泄露量來看,只增未減,泄露了多達16億條記錄,比2019年同期增加了9%。
“被侵犯的公民個人資訊數量從‘倍數級’進階至‘指數級’爆炸式增長。”北京市第三中級人民法院副院長辛尚民此前在介紹涉公民個人資訊犯罪案件審理情況時指出,隨著信息技術的發展,可利用的資訊數量日益龐大,從過去的姓名、身份證號、手機號、住址等傳統靜態資訊,增加了徵信資訊、定位資訊、行蹤軌跡資訊、住宿資訊、房屋産權資訊等多方面多維度資訊。同時,儲存資訊的載體從傳統的隨身碟、硬碟等變為儲存量更大的雲盤,也讓存儲成本和難度大幅度降低。(記者 張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩)
