楠木軒

“人肉搜索”背靠灰色江湖:起底神秘外網裏的個人隱私交易鏈

由 忻素芹 發佈於 科技

3月19日,陸續有微博用户發消息稱,出現了疑似用户個人信息泄露的情況,表現為不少人的手機號已經泄露,根據微博賬號可以查詢到手機號。

對此,微博方面公開回應稱,此次數據泄露應該追溯到2018年底。當時,有用户利用微博相關接口通過手機批量上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上其他渠道獲取的信息一起對外出售。

但是,《財經》記者深入調查後發現,微博用户信息泄露只是個人信息販賣這一網絡黑灰產的冰山一角。個人信息販賣已形成一條完整的產業鏈,且已由國內轉向國外的網絡空間。

在這個網絡空間裏,一個人重要的隱私信息幾乎全部暴露。賣家個個“神通廣大”,身份證號、家庭住址、車牌號、手機號,甚至賓館住宿記錄,全部“上架”待售。

而且這條黑色產業鏈的交易體系也已升級,從使用傳統網絡平台及工具轉向使用比特幣等新型數字貨幣為代表的新型網絡技術。

外網平台和虛擬貨幣支付,使得整個交易更加隱蔽和難以溯源。

根據調查情況來看,每個人的隱私信息都可能成為待價而沽的商品,這並不是危言聳聽。

有關業內專家在接受《財經》記者採訪時表示,個人信息泄露一般源於黑客攻擊等技術手段、內部人員利用職務便利竊取並流出。存儲數據的機構採取各種防範手段,但依然不能保證完全沒有漏洞。

黑灰產業鏈轉移

對於這次的微博用户信息泄露事件,微博方面表示,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,用户授權後可以使用該服務。但是,微博並不提供查詢用户性別和身份證號等信息,也不提供根據用户暱稱查詢手機號的服務。3月的這起數據泄露事件,對微博服務沒有影響。

同時微博方面強調,此次非法調用微博接口匹配出的信息僅為微博賬號暱稱,並不涉及身份證、密碼等其他隱私數據。目前微博已經及時加強了安全策略,並將不斷強化。

3月24日,工業和信息化部發布消息稱,工信部網絡安全管理局在3月21日對新浪微博相關負責人進行了問詢約談,要求其按照《網絡安全法》《電信和互聯網用户個人信息保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步採取有效措施,消除數據安全隱患。

主管部門和企業分別採取措施,使得這起泄露事件暫告段落。

但是《財經》記者循着此次泄露的線索深入調查後發現,這次泄露事件實際只是龐大的個人信息買賣黑灰產市場的冰山一角。

原來出沒於國內網絡平台的黑灰產人士,紛紛轉入以Telegram為代表的國外網絡平台,形成了更加隱蔽、更難溯源的新型產業鏈。

多名知情人士告訴《財經》記者,早先,個人信息販子一般使用QQ、微信、貼吧等國內網絡平台,主要使用微信支付、支付寶等支付工具。但隨着騰訊、阿里巴巴等平台企業對黑灰產的打擊力度持續加大,黑灰產業在國內的傳統平台已難以立足。

而且,在原來的國內平台上,既有真正出售個人信息的販子,也有以此為幌子的騙子。“有人做廣告説有海量且準確的各類個人信息,購買者付了費後卻直接被拉黑,這種事情多如牛毛。”有知情人士説。於是,這個產業鏈開始向外轉移,以Telegram為代表的國外軟件使用方便,而且引入了虛擬貨幣等“安全”支付方式,使得個人信息販賣產業逐漸轉至外網平台,並逐漸擴大規模且穩定下來。

從國內轉向國外,支付方式更為安全,提供信息和服務越來越可靠,是產業鏈轉移後的新形態。

“這次微博用户信息泄露事件,確實是由來已久,在羣組出售查詢這些信息,已經不是新鮮事。”前述知情人士告訴《財經》記者。

個人信息應有盡有

從3月27日起,《財經》記者登錄Telegram賬號,找到了用於出售個人信息的機器人。通過機器人界面,可以加入一個羣組。3月28日,這個羣組的人數顯示為4萬人左右,此後,人數一直在持續增長。

在羣組裏,不斷有各類賣家發佈消息出售各類個人信息,涵蓋了個人户口、家庭户口、手機號查機主、名下銀行卡、淘寶收貨地址、微博反查、微信反查、快遞單號查詢收貨地址、住宿記錄、出行記錄等等各類個人信息,幾乎無所不包。

形象地説,Telegram平台上的機器人實際就是眾多賣家將手中的個人信息建成一個可自動檢索的數據庫。如果有人想購買或查詢信息,一般使用BTC(比特幣)或ETH數字貨幣向機器人提供贊助,相當於充值。最低贊助320元人民幣,可摺合為260積分。羣內提示的積分與數字貨幣換算率大致為0.358ETH=260積分。

按照規則,10積分可做一次普通查詢,大約等於10元人民幣可查詢一次。如果沒有比特幣,羣組裏還有專門的代充值服務。

《財經》記者還在Telegram找到了5個其他類似羣組,羣組所出售和提供查詢的信息與前述羣組幾乎沒有區別,裏面打包出售的個人信息價格從幾十元到上萬元不等,涉及數據動輒大小有幾個G。

Telegram平台上出售個人信息的羣組截圖

那麼,這些只要付費就可以隨意查詢的個人信息都是從哪裏來的呢?

《財經》記者詢問一些賣家,對方稱,信息是從互聯網各處“收集”而來。前述知情人士則認為,這些信息有不少是從歷次泄露事件中整合而來,也有黑客會繼續竊取,使得數據庫的規模不斷擴大。

《財經》記者經過親身體驗發現,具體交易流程並不複雜,找到機器人,買家充值獲得積分後,可以直接用積分進行自動查詢。

《財經》記者購買一些比特幣,向機器人支付獲取了積分。為了測試信息的準確性,《財經》記者向機器人發送了10個近親屬及朋友的手機號碼,並支付10個或20個積分進行“綁定查詢”,僅3秒左右時間,機器人提供出查詢結果。在這10個號碼中,有9個手機機主的名字準確無誤。其中還有一個號碼查詢到準確的微信賬號名和微博賬號名,另有一個號碼則準確查詢到一位朋友使用過的郵箱密碼和家庭住址。

在Telegram的此類羣組中,手機機主信息只是一個入門級別的查詢。《財經》記者使用機器人提供的“獵魔查詢”(模糊搜索)功能,向其發送一個親友的名字,隨即機器人提示選擇男女和省份。在支付100積分後,得到近30條與這名親友同名的身份證號碼信息,記者的親友也位列其中,且身份證號碼準確。

前述知情人士稱,“獵魔查詢”可以被用於“人肉搜索”,只需要提供被“人肉”的人的名字,就可以通過不同的信息,一步步精準鎖定搜索對象。

除了查詢和出售業務,《財經》記者還聯絡了羣組中一些出售信息的賣家。記者向一名賣家提供身份證號,表示想查詢這個身份證號的住宿信息。賣家表示,此類信息是以一個數據包的形式出售,數據包中包括少則數萬條,多則幾百萬條信息,價格也從幾百到幾千元不等。

這位賣家稱,數據包越大,就能查到越多的準確信息。在買到的一個數據包中,《財經》記者通過身份證號碼查詢,果真得到幾條準確的住宿信息。但住宿時間並不是最新的,基本為2018年以前的信息。

因為機器人充當了第三方的角色,透過機器人查詢購買,得到信息的準確性強、可靠性高,不存在傳統平台上付款後被賣家拉黑的情況。這對於諸多買家來説,無疑是一種“高品質”而又可靠的服務。

前述知情人士對《財經》記者表示,新的銷售方式方便了黑灰產的從業者“開展業務”,這些信息販子隱匿於平台背後,追蹤溯源的難度增大。同時,個人信息販子預先購置了大量黑灰產“四件套”——身份證、銀行卡、手機號、U盾,用以提現。

為了保證安全,“四件套”均非使用者本人信息,而是從另一批專業黑灰產人士那裏購得。由此可見,個人信息販子已非單鏈條發展,已經發展成為產業網絡。

同時,信息販子利用數字貨幣交易的特性,可以為每個賣家單獨生成地址,以便於交易“安全”和隱匿交易痕跡。

經過多日調查,以及一些知情人士提供的信息,《財經》記者初步掌握這一黑灰產業鏈條,上游為一些黑客為代表的技術人員,他們通過各類手段獲取海量數據。中游即為各類信息販子,他們從上游購買獲取數據,在羣組內出售。

購買者根據自身需求購買數據和信息。據知情人士透露,這些購買者主要為三類羣體:網貸從業者,購買個人信息用於向借款者追討借款;私家偵探,購買查詢信息用於調查業務;還有一部分散户並無具體目的,把購買、查詢自己想要的某個個人的信息當作一種心理需求。

Telegram為何成黑灰產“温牀”?

令人覺得諷刺的是,有眾多個人隱私信息被交易的網絡平台——Telegram,其實是一款對待用户隱私和信息安全高於一切的產品。

2006年,帕維爾·杜羅夫和他哥哥一同創建了俄羅斯版的Facebook——VKontakte。2008年,VK用户超過1000萬,成為俄羅斯最大的社交網站,估值達到3億美元。

2014年,帕維爾因拒絕向俄羅斯政府提交烏克蘭反對派數據、關閉俄羅斯反對黨領袖頁面的要求,被迫離開VKontakte。之後,他和哥哥前往美國紐約州,在那裏與團隊一起開發了即時加密通訊軟件 Telegram。

簡單來説,Telegram有一個絕對安全的加密信息傳輸網絡,支持端對端加密。此外,Telegram 提供閲後即焚、私密聊天等功能,可以滿足用户保護隱私的需要。

起初,Telegram曾提供了一項功能,即允許用户通過上傳電話號碼來搜索其他用户,以便讓新用户快速瞭解手機通訊錄中的人是否已經在使用這款軟件。這項功能會自動將電話號碼與羣組中的用户名匹配起來,若執法部門向當地電信服務部門詢問電話號碼的持有者,就可以知道用户的真實身份。

後來,Telegram發佈更新,允許用户禁用電話號碼匹配。這樣就增大了鎖定使用者身份的難度,以此增強了私密性。在這樣的平台規則下,Telegram的羣組可自由進入,但用户信息全部很好地得到隱藏。

符合用户期待的隱私理念,安全快速的產品體驗,讓Telegram迅速得到發展。2018年3月,Telegram宣佈其全球用户已超過2億,每天發送120億條消息。一年後,其用户數量超過3億。

然而,也正是基於這樣的私密特性,以及可提供虛擬貨幣交易的功能,致使大量非法交易紛紛在Telegram裏出現,包括一些軍火交易、色情交易,甚至被恐怖主義組織利用。也就能夠理解,Telegram為什麼會成為個人信息販子們的樂土。

在近期轟動韓國的“N號房”事件中,同樣涉及Telegram。“N號房”運營者在Telegram上建立按等級付費的私密聊天室,供會員分享女性甚至未成年女被性剝削的照片和視頻。

出於絕對保護用户隱私的理念,Telegram拒絕向俄羅斯聯邦安全局提供用户加密信息,2018年4月,俄羅斯聯邦電信、信息技術和大眾傳媒監管局宣佈全國封鎖Telegram。此後,Telegram又在俄羅斯以外的多個國家被禁用。

被“人肉”的調查者

今年29歲的佟林,長期從事數字貨幣、網絡安全等業務,對這些領域的情況輕車熟路。

3月20日左右,微博用户個人信息泄露的消息發出後不久,出於公益目的,佟林立刻潛入前述Telegram羣組,觀察羣組內的活動動態。

佟林接受《財經》記者採訪時表示,他其實早已聽説,網絡黑灰產人士從國內網絡平台轉往國外平台,這在圈子裏並不是秘密,只是普通公眾一直尚不知情。

在“潛伏”多日,並嘗試着與賣家交易後,佟林將這一類系列情況發佈在自己的自媒體平台上,很短時間就獲得將近10萬的閲讀量。

就在佟林繼續“潛伏”時,他發現了一個叫“佟林粉絲”的羣組,他進羣后發現,自己已經被裏面的諸多賣家“人肉”了。他的名字、電話、家庭住址、工作機構等個人信息被準確無誤地公佈出來。連他的身份證原件圖片也被曬了出來。有人還威脅要使用電話、短信騷擾軟件對他進行“狂轟濫炸”,徹底“廢”了他。

面對這樣的報復,佟林沒有選擇沉默,將自己被“人肉”的情況繼續發佈在自媒體中,並根據自己的互聯網安全經驗,提示普通公眾在使用互聯網時,可以採取一些辦法保護自己的個人信息。例如,儘量少使用同一個密碼或密碼關鍵詞;使用強密碼管理工具,為賬號開啓二次驗證;註冊使用多個郵箱,有時也可以使用一次性郵箱等等。

佟林告訴《財經》記者,前述Telegram羣組中的賣家所提供的個人信息中,很多都是被用於“人肉搜索”。而在這些羣組中,真實個人信息公開被稱為“出道”。在佟林看來,自己個人信息的完全泄露,已經意味着任何一個個人都可能已經失去了應有的隱私空間。

佟林對《財經》記者表示,自己既然已經“出道”,就願意用自己的經歷將這些侵犯個人信息的情況更大範圍地讓公眾知曉。但有一點最讓他始終難以理解,那就是自己的身份證原件照片也被泄露出來了,“這種應該是管理最為嚴格的信息,怎麼也就這麼泄露出來?”

《財經》記者在上述羣組中注意到,羣內成員對於各類揭露類似個人信息販賣的報道反應速度極快,報道刊發後不久就會被轉到羣內,羣內成員對這些報道不以為然,發表各類嘲諷,甚至聲稱會去“人肉”記者。

信息泄露的源頭能堵住嗎?

個人信息泄露事件近年來屢有發生,已對普通公眾產生滋擾,最常見的是很多人經常會接到各類精準營銷。而一些由於電信詐騙案件引發的惡性事件更是讓公眾感到不安。

很多人都存在疑問:個人信息究竟是如何泄露的?究竟有沒有辦法防止泄露?

中國電子技術標準化研究院信安中心審查部總監何延哲告訴《財經》記者,近幾年的個人信息泄露,一般有三個來源。一是“黑客”等外部力量攻擊數據庫,用技術手段把內部信息盜走;二是存儲有海量數據的機構,有內部人員利用系統管理權限將數據獲取後流出;三是在使用第三方網絡平台時,用户將個人信息提交給平台,但這些平台的防護措施不到位或沒有按照約定存儲使用數據,導致泄露。

針對這三種情況,想防止數據泄露,掌握海量數據的機構應該加強技術防護,制定嚴格管理制度,同時嚴防“內鬼”。出於對數據安全的考慮,各機構也都在加強防護措施,但在現實中並不可能做到完全沒有漏洞。

何延哲向《財經》記者舉例,從2019年開始,中央網信辦、工信部、公安部、市場監管總局四部門聯合展開App個人信息保護治理,對不斷提升App個人信息保護水平起到了積極推動作用。但是隻要出現一個“內鬼”,大規模泄露立刻出現,防不勝防。

以酒店住宿信息為例,近兩年已有多起大規模泄露事件。

2018年8月,華住酒店集團發生泄露事件,涉及的個人信息數量超過5億條。華住旗下的酒店品牌包括漢庭、美爵、桔子、全季、宜必思等,門店數量數千家。

2018年12月,國際酒店巨頭萬豪對外披露,其旗下品牌酒店的客人入住信息系統遭黑客入侵,數億條個人入住信息和身份信息被泄露。

就在2020年3月末,萬豪再次公告稱,約520萬名客户的資料可能被泄露。這次泄露的原因則為可能有人使用集團旗下一家特許經營酒店的兩個員工的登錄憑據,訪問了數量眾多的客户信息。萬豪方面發現後,已禁用相關登錄憑據,並通知有關部門展開調查。

檢索中國裁判文書網可知,順豐速運曾發生的一起內部員工泄露個人信息的案件。這是近年來快遞行業涉及泄露個人信息的一起重大案件。

湖北省荊州中級法院2018年5月的一份判決書顯示,順豐速運員工杜立明、馮丹等11人分別就職於河北順豐速運有限公司和荊州順豐速運有限公司,職位涵蓋安保部主管、市場部專員、倉管、快遞員等。

2015年以來,杜、馮等人為謀取非法利益,利用微信、QQ等軟件平台,出售、提供、非法獲取包含順豐快遞單號、面單(即包含順豐快遞單號、地址、電話號碼的圖片)中公民的個人信息。案件涉及被泄露的公民個人信息超過千萬條,涉案金額200餘萬元。如果摺合成單條信息,每條價格僅有約0.2元。

除了酒店業、快遞業,同樣掌握有海量數據的一些行政機關工作人員也成為個人信息泄露的“內鬼”。

2020年4月初,湖南省衡陽市公安局刑偵支隊五大隊原民警肖某二審獲刑四年半。衡陽中院判決認定,2017年3月,肖某發現出售公民個人信息可以賺錢,便開始利用職務便利,出售個人信息牟利。

由於肖某自己的數字證書無高級查詢權限,他盜用同事的數字證書,通過登錄公安機關相關信息平台,將查詢到的公民户籍信息或行蹤軌跡信息出售。肖某先後出售過的個人信息包括公民户籍信息、公民個人行蹤軌跡信息、車輛軌跡信息、住宿信息。他設定的價格為公民個人行蹤軌跡信息每條300元,車輛軌跡信息每條100元,住宿信息每條100元。

在交易過程中,肖某曾使用國內軟件進行交易。出於安全考慮,他也改用一些國外軟件進行聯絡和交易。法院審理認定,自2017年3月至2018年12月,肖某盜取公民個人信息出售給他人,違法所得總計180餘萬元。

正是由於國內對於信息泄露和販賣等非法行為的治理,這些黑灰產從業者轉移到Telegram這樣的國外平台,以逃避打擊。

截至發稿時,前述Telegram羣組的參與人數仍處於不斷增長中,而各種個人信息交易依然活躍。