黑客內(nèi)鬼致個(gè)人成“透明人” 信息泄露渠道“無(wú)孔不入”
信息泄露黑灰產(chǎn)業(yè)鏈滋生巨大非法獲利空間
“李女士,您所購(gòu)買的小區(qū)最近正在交房,,您家裝修公司選好了嗎,?”
“您好,我們銀行最近有裝修貸產(chǎn)品做活動(dòng),,利率很優(yōu)惠,,您有需求嗎?”
“您家房本快下來(lái)了,,您有考慮賣房嗎,?”
……
自從李女士買了房,她的生活就像被跟蹤一般,,裝修公司,、銀行、中介的各種推銷電話每天各種轟炸,。大多數(shù)人都有過(guò)和李女士類似的經(jīng)歷,。究其原因,正是信息泄露讓我們無(wú)形中變身“透明人”,。
《經(jīng)濟(jì)參考報(bào)》記者調(diào)查發(fā)現(xiàn),,從上游個(gè)人信息被非法獲取,、到中游數(shù)據(jù)在各種黑市交易平臺(tái)被轉(zhuǎn)手和出售,、再到下游各種隱私數(shù)據(jù)被用于詐騙、勒索,,個(gè)人信息泄露背后已然形成了一條完整的黑灰產(chǎn)業(yè)鏈,,滋生著巨大的非法獲利空間,嚴(yán)重威脅著個(gè)人,、企業(yè)甚至國(guó)家安全,。
趙乃育 繪
“黑客”難躲“內(nèi)鬼” 頻現(xiàn)泄露渠道“無(wú)孔不入”
個(gè)人信息究竟是怎么被泄露的呢?在諸多的信息泄露案背后,,不乏“黑客”和“內(nèi)鬼”的身影,。
奇安信數(shù)據(jù)安全子公司負(fù)責(zé)人姚磊對(duì)《經(jīng)濟(jì)參考報(bào)》記者表示,黑客可利用在線系統(tǒng)漏洞拖庫(kù),、利用社工庫(kù)或者弱口令等撞庫(kù),,此前出現(xiàn)的QQ群、163郵箱,、天涯,、萬(wàn)豪、華住等數(shù)據(jù)泄露事件,,均和黑客攻擊有關(guān),。“部分黑客也可利用移動(dòng)終端操作系統(tǒng)漏洞、公共WIFI網(wǎng)絡(luò)漏洞,、終端舊設(shè)備數(shù)據(jù)刪除不完全等,,攻擊終端企業(yè)數(shù)據(jù),造成個(gè)人隱私數(shù)據(jù)泄露,?!彼f(shuō)。
除了“黑客”難躲,,“內(nèi)鬼”也頻現(xiàn),。北京市朝陽(yáng)區(qū)人民檢察院檢察官助理陳瑩璐告訴記者,就犯罪主體來(lái)看,,單位內(nèi)部員工或離職人員,,利用職務(wù)或工作便利,非法獲取或販賣公民個(gè)人信息案件時(shí)有發(fā)生,。她舉例稱,,被告人方某在某網(wǎng)絡(luò)公司任職期間,非法復(fù)制獲取公司系統(tǒng)服務(wù)器中的公民個(gè)人信息10萬(wàn)余條,,并出售獲利,。后該公司在排查中發(fā)現(xiàn)該員工賬戶使用異常,下載大量包含用戶信息姓名,、身份證,、電話等公民個(gè)人信息,故報(bào)案,。據(jù)方某供述,,其在公司利用爬蟲軟件獲取了數(shù)十萬(wàn)條公民個(gè)人信息,經(jīng)篩選,、刪除敏感信息后,,留下姓名、手機(jī)號(hào),,存入移動(dòng)硬盤,,后從移動(dòng)硬盤中找信息賣出。
值得注意的是,,現(xiàn)實(shí)生活中,,一些信息泄露途徑十分隱秘,無(wú)形之中我們就已然變身為“透明人”,。
無(wú)處不在的攝像頭已經(jīng)成為獲取個(gè)人生物信息的重要渠道,。業(yè)內(nèi)專家表示,個(gè)人生物特征數(shù)據(jù)具有唯一性和不可再生性,,一旦被竊取,,無(wú)法追回和變更,將對(duì)個(gè)人隱私保護(hù)帶來(lái)極大的、不可逆的風(fēng)險(xiǎn),。人臉信息明文傳輸,,每次刷臉解鎖均會(huì)反復(fù)上傳,很容易發(fā)生泄露,,且識(shí)別可靠性差,,使用翻拍照片即可輕易破解。
另外,,電信運(yùn)營(yíng)商,、短信通道、第三方平臺(tái)等也已經(jīng)成為近些年來(lái)不可忽視的泄露渠道,?!坝脩粼L問(wèn)客戶網(wǎng)站/App的記錄被運(yùn)營(yíng)商泄露、用戶數(shù)據(jù)被第三方工具或平臺(tái)泄露,、企業(yè)下發(fā)給用戶的短信被第三方短信通道泄露等,,都時(shí)有發(fā)生?!睒I(yè)務(wù)情報(bào)安全企業(yè)永安在線產(chǎn)品經(jīng)理鄒洪志表示,。
他對(duì)記者說(shuō),永安在線最近協(xié)助某證券公司發(fā)現(xiàn)了一條數(shù)據(jù)資產(chǎn)泄露渠道,,該證券公司的數(shù)據(jù)并不存在直接泄露,,但與其客戶相關(guān)的資產(chǎn)數(shù)據(jù)在暗網(wǎng)或Telegram群被持續(xù)出售。
“黑灰產(chǎn)人員可以獲取到訪問(wèn)過(guò)該證券公司官網(wǎng)的用戶手機(jī)號(hào)碼,,有些還可以獲取到用戶姓名,、運(yùn)營(yíng)商,、省份,、城市等相關(guān)數(shù)據(jù)?!彼f(shuō),,運(yùn)營(yíng)商能拿到用戶的上網(wǎng)流量,可以通過(guò)用戶手機(jī)號(hào)-設(shè)備-流量(訪問(wèn)網(wǎng)址)對(duì)應(yīng)上,,然后通過(guò)內(nèi)鬼或者某個(gè)接口泄露到第三方“大數(shù)據(jù)營(yíng)”公司之類去賣,。鄒洪志說(shuō),一些數(shù)據(jù)賣家明確表示只支持某一家電信運(yùn)營(yíng)商,,也從側(cè)面證明這些賣家是與運(yùn)營(yíng)商合作的,。
圖片來(lái)源:永安在線
專家指出,實(shí)名制的深入實(shí)施讓個(gè)人信息常與設(shè)備,、賬號(hào)綁定,,進(jìn)一步放大了信息泄露的風(fēng)險(xiǎn)。360集團(tuán)手機(jī)安全研究員俞奎表示,某種程度上,,身份信息,、支付等校驗(yàn)的是設(shè)備、賬號(hào),,而不是本人,,即誰(shuí)掌握了他人的信息,即可實(shí)現(xiàn)身份冒充,。如果平臺(tái)遭受黑客攻擊,,或有內(nèi)鬼泄露,那么用戶交付出去的個(gè)人信息用途并不可控,。
層層加密無(wú)法追蹤 暗網(wǎng)等平臺(tái)成信息買賣“大本營(yíng)”
在一些隱秘的角落,,有關(guān)個(gè)人信息的非法交易“無(wú)時(shí)無(wú)刻”都在進(jìn)行?!皞鹘y(tǒng)的泄露數(shù)據(jù)大都在QQ,、微信以及地下論壇等交易。然而,,隨著國(guó)家對(duì)網(wǎng)絡(luò)空間治理和打擊力度的加大,,越來(lái)越多的泄露數(shù)據(jù)在‘暗網(wǎng)’這種匿名、匿蹤的黑市交易平臺(tái)出售,?!币谡f(shuō)。
陳瑩璐表示,,“暗網(wǎng)”被稱為“隱藏的服務(wù)器”,,其域名數(shù)量達(dá)到表層網(wǎng)絡(luò)的400-500倍,運(yùn)營(yíng)環(huán)節(jié)具有全方位的程序保護(hù)和復(fù)雜的登錄方式,。犯罪分子借助暗網(wǎng)匿名,、無(wú)法追蹤等特點(diǎn),并使用賭博平臺(tái),、虛擬貨幣進(jìn)行交易,,層層加密為游走在“暗網(wǎng)”的犯罪分子提供了技術(shù)上的“保護(hù)色”。
《經(jīng)濟(jì)參考報(bào)》記者從業(yè)內(nèi)人士了解到,,“暗網(wǎng)”提供各種“查檔”,、“定位”服務(wù),“查檔”指查詢公民的住宿,、出行,、戶籍、車輛,、犯罪記錄,、學(xué)籍等各種隱私信息,。“定位”則是指可查詢各種App位置信息,。
記者通過(guò)有關(guān)渠道獲取到一張“暗網(wǎng)”發(fā)布帖子的截圖,。發(fā)帖人稱,“全國(guó)幼兒園至高中,、職校以及相關(guān)教育機(jī)構(gòu)教師數(shù)據(jù),,一手出新74800條,數(shù)據(jù)內(nèi)容非常詳細(xì)”,。該截圖顯示,,這些個(gè)人信息包括教師姓名、手機(jī),、郵箱,、畢業(yè)院校、任教學(xué)科,、任教學(xué)校,、教齡等共16個(gè)維度的數(shù)據(jù)。記者隨機(jī)挑選了兩位教師的信息,,經(jīng)電話求證,,信息均為其個(gè)人真實(shí)信息。該帖子發(fā)布于2021年1月9日,,截至3月25日,,該定價(jià)為99美元的數(shù)據(jù)包已有4單成交。
實(shí)際上,,“暗網(wǎng)“已成個(gè)人信息買賣“大本營(yíng)”,。姚磊介紹,2020年以來(lái),,在“暗網(wǎng)”出售的部分重要數(shù)據(jù)包括:2021年1月,,印度支付公司Juspay超1億用戶的借記卡、信用卡信息在“暗網(wǎng)”上銷售,;2020年8月,,黑客在“暗網(wǎng)”出售美國(guó)1.86億選民數(shù)據(jù),;2020年4月,,超50萬(wàn)Zoom用戶賬戶在暗網(wǎng)出售;2020年3月,,5.38億條微博用戶信息在“暗網(wǎng)”出售,,包括用戶ID、微博數(shù),、粉絲數(shù),、關(guān)注數(shù),、地理位置、手機(jī)號(hào)等,。
滋生詐騙,、勒索 信息泄露成“精準(zhǔn)”犯罪“助推器”
陳瑩璐表示,隨著經(jīng)濟(jì)的快速發(fā)展和信息網(wǎng)絡(luò)的廣泛普及,,公民個(gè)人信息的經(jīng)濟(jì)價(jià)值日益凸顯,,導(dǎo)致侵犯公民個(gè)人信息的犯罪屢打不絕,且成為了滋生電信網(wǎng)絡(luò)詐騙,、綁架,、敲詐勒索等下游犯罪的源頭,社會(huì)危害日益突出并多發(fā),,已經(jīng)史無(wú)前例地成為影響個(gè)人甚至國(guó)家安全的重要問(wèn)題,。
中國(guó)司法大數(shù)據(jù)研究院社會(huì)治理研究中心主任李俊慧對(duì)《經(jīng)濟(jì)參考報(bào)》記者表示,通常而言,,買賣個(gè)人信息,,從購(gòu)買一方來(lái)看,一定有特殊用途,,不論是進(jìn)行業(yè)務(wù)推廣,,或是實(shí)施詐騙犯罪等。因此,,個(gè)人信息不當(dāng)泄露或非法買賣一定會(huì)給下游犯罪提供幫助,。他舉例稱,在一起個(gè)人信息非法買賣案件中,,不法分子成立了一家信息咨詢公司,,通過(guò)QQ購(gòu)買股民電話號(hào)碼,進(jìn)行虛假股票營(yíng)銷牟利,。公安機(jī)關(guān)在該公司現(xiàn)場(chǎng)查獲股民電話號(hào)碼約12萬(wàn)條,。
“囿于違法所得金額的限制,對(duì)于涉公民個(gè)人信息犯罪違法所得的追繳與罰金的財(cái)產(chǎn)性處罰,,卻遠(yuǎn)不足以填平公民個(gè)人信息泄露造成的次生危害,。”北京市第三中級(jí)人民法院副院長(zhǎng)辛尚民表示,。實(shí)踐中,,行為人利用非法獲取的公民個(gè)人信息實(shí)施的犯罪主要有詐騙罪,比如向不特定對(duì)象發(fā)送“中獎(jiǎng)”信息,;合同詐騙罪,,比如利用某些理財(cái)軟件漏洞騙取財(cái)物;敲詐勒索罪,,比如利用酒店開房記錄等住宿信息對(duì)相關(guān)人員進(jìn)行勒索,。
值得注意的是,,數(shù)據(jù)泄露及販賣正從單純的交易數(shù)據(jù)演變到交易數(shù)據(jù)訪問(wèn)權(quán)限。網(wǎng)絡(luò)犯罪分子已將注意力從個(gè)人信息轉(zhuǎn)移到了更龐大的數(shù)據(jù)庫(kù)——工業(yè)企業(yè)數(shù)據(jù)庫(kù),。黑客利用漏洞竊取企業(yè)核心數(shù)據(jù),,并通過(guò)勒索軟件加密企業(yè)相關(guān)設(shè)備。隨后,,這些數(shù)據(jù)將被進(jìn)行“雙重勒索”,,如果不支付贖金不予解鎖,同時(shí)會(huì)泄露被盜數(shù)據(jù),。尤其是在制造業(yè)智能化程度大幅提高的背景下,,智能化工控系統(tǒng)(ICS)已成為黑客攻擊的目標(biāo)。
閃捷信息安全戰(zhàn)略研究中心發(fā)布的《2020年度數(shù)據(jù)泄漏態(tài)勢(shì)分析報(bào)告》顯示,,2020年受勒索攻擊而造成數(shù)據(jù)泄露事件占所有數(shù)據(jù)安全事件的15%,,成為常態(tài)化的數(shù)據(jù)安全事件。
據(jù)此前江蘇省南通市警方通報(bào),,在“凈網(wǎng) 2020”行動(dòng)中,,成功偵破一起由公安部督辦的特大制作、使用勒索病毒破壞計(jì)算機(jī)信息系統(tǒng)從而實(shí)施網(wǎng)絡(luò)敲詐勒索的案件,,非法獲利的比特幣折合人民幣500余萬(wàn)元,。
華順信安的創(chuàng)始人、CEO趙武表示,,黑客已單純索取數(shù)據(jù)行為轉(zhuǎn)向勒索,,通過(guò)勒索病毒對(duì)企業(yè)關(guān)鍵信息庫(kù)加密的方式索要高額虛擬貨幣,可以短時(shí)間獲得暴利,,又因虛擬貨幣的匿名性而保護(hù)身份不暴露,。“企業(yè)不同于個(gè)人,,企業(yè)不支付贖金,,黑客便泄露企業(yè)敏感數(shù)據(jù)、竊取其知識(shí)產(chǎn)權(quán),。極端情況下,,最嚴(yán)重的攻擊可能對(duì)制造商工廠和設(shè)備造成永久性損失,對(duì)企業(yè)影響難以估量,?!壁w武說(shuō)。(記者 張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩)
