3月19日,陸續有微博使用者發訊息稱,出現了疑似使用者個人資訊洩露的情況,表現為不少人的手機號已經洩露,根據微博賬號可以查詢到手機號。
對此,微博方面公開回應稱,此次資料洩露應該追溯到2018年底。當時,有使用者利用微博相關介面透過手機批次上傳通訊錄,匹配出幾百萬個賬號暱稱,再加上其他渠道獲取的資訊一起對外出售。
但是,《財經》記者深入調查後發現,微博使用者資訊洩露只是個人資訊販賣這一網路黑灰產的冰山一角。個人資訊販賣已形成一條完整的產業鏈,且已由國內轉向國外的網路空間。
在這個網路空間裡,一個人重要的隱私資訊幾乎全部暴露。賣家個個“神通廣大”,身份證號、家庭住址、車牌號、手機號,甚至賓館住宿記錄,全部“上架”待售。
而且這條黑色產業鏈的交易體系也已升級,從使用傳統網路平臺及工具轉向使用比特幣等新型數字貨幣為代表的新型網路技術。
外網平臺和虛擬貨幣支付,使得整個交易更加隱蔽和難以溯源。
根據調查情況來看,每個人的隱私資訊都可能成為待價而沽的商品,這並不是危言聳聽。
有關業內專家在接受《財經》記者採訪時表示,個人資訊洩露一般源於駭客攻擊等技術手段、內部人員利用職務便利竊取並流出。儲存資料的機構採取各種防範手段,但依然不能保證完全沒有漏洞。
黑灰產業鏈轉移
對於這次的微博使用者資訊洩露事件,微博方面表示,微博一直提供根據通訊錄手機號查詢微博好友暱稱的服務,使用者授權後可以使用該服務。但是,微博並不提供查詢使用者性別和身份證號等資訊,也不提供根據使用者暱稱查詢手機號的服務。3月的這起資料洩露事件,對微博服務沒有影響。
同時微博方面強調,此次非法呼叫微博介面匹配出的資訊僅為微博賬號暱稱,並不涉及身份證、密碼等其他隱私資料。目前微博已經及時加強了安全策略,並將不斷強化。
3月24日,工業和資訊化部發布訊息稱,工信部網路安全管理局在3月21日對新浪微博相關負責人進行了問詢約談,要求其按照《網路安全法》《電信和網際網路使用者個人資訊保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人資訊行為認定方法》,進一步採取有效措施,消除資料安全隱患。
主管部門和企業分別採取措施,使得這起洩露事件暫告段落。
但是《財經》記者循著此次洩露的線索深入調查後發現,這次洩露事件實際只是龐大的個人資訊買賣黑灰產市場的冰山一角。
原來出沒於國內網路平臺的黑灰產人士,紛紛轉入以Telegram為代表的國外網路平臺,形成了更加隱蔽、更難溯源的新型產業鏈。
多名知情人士告訴《財經》記者,早先,個人資訊販子一般使用QQ、微信、貼吧等國內網路平臺,主要使用微信支付、支付寶等支付工具。但隨著騰訊、阿里巴巴等平臺企業對黑灰產的打擊力度持續加大,黑灰產業在國內的傳統平臺已難以立足。
而且,在原來的國內平臺上,既有真正出售個人資訊的販子,也有以此為幌子的騙子。“有人做廣告說有海量且準確的各類個人資訊,購買者付了費後卻直接被拉黑,這種事情多如牛毛。”有知情人士說。於是,這個產業鏈開始向外轉移,以Telegram為代表的國外軟體使用方便,而且引入了虛擬貨幣等“安全”支付方式,使得個人資訊販賣產業逐漸轉至外網平臺,並逐漸擴大規模且穩定下來。
從國內轉向國外,支付方式更為安全,提供資訊和服務越來越可靠,是產業鏈轉移後的新形態。
“這次微博使用者資訊洩露事件,確實是由來已久,在群組出售查詢這些資訊,已經不是新鮮事。”前述知情人士告訴《財經》記者。
個人資訊應有盡有
從3月27日起,《財經》記者登入Telegram賬號,找到了用於出售個人資訊的機器人。透過機器人介面,可以加入一個群組。3月28日,這個群組的人數顯示為4萬人左右,此後,人數一直在持續增長。
在群組裡,不斷有各類賣家釋出訊息出售各類個人資訊,涵蓋了個人戶口、家庭戶口、手機號查機主、名下銀行卡、淘寶收貨地址、微博反查、微信反查、快遞單號查詢收貨地址、住宿記錄、出行記錄等等各類個人資訊,幾乎無所不包。
形象地說,Telegram平臺上的機器人實際就是眾多賣家將手中的個人資訊建成一個可自動檢索的資料庫。如果有人想購買或查詢資訊,一般使用BTC(比特幣)或ETH數字貨幣向機器人提供贊助,相當於充值。最低贊助320元人民幣,可摺合為260積分。群內提示的積分與數字貨幣換算率大致為0.358ETH=260積分。
按照規則,10積分可做一次普通查詢,大約等於10元人民幣可查詢一次。如果沒有比特幣,群組裡還有專門的代充值服務。
《財經》記者還在Telegram找到了5個其他類似群組,群組所出售和提供查詢的資訊與前述群組幾乎沒有區別,裡面打包出售的個人資訊價格從幾十元到上萬元不等,涉及資料動輒大小有幾個G。
Telegram平臺上出售個人資訊的群組截圖
那麼,這些只要付費就可以隨意查詢的個人資訊都是從哪裡來的呢?
《財經》記者詢問一些賣家,對方稱,資訊是從網際網路各處“收集”而來。前述知情人士則認為,這些資訊有不少是從歷次洩露事件中整合而來,也有駭客會繼續竊取,使得資料庫的規模不斷擴大。
《財經》記者經過親身體驗發現,具體交易流程並不複雜,找到機器人,買家充值獲得積分後,可以直接用積分進行自動查詢。
《財經》記者購買一些比特幣,向機器人支付獲取了積分。為了測試資訊的準確性,《財經》記者向機器人傳送了10個近親屬及朋友的手機號碼,並支付10個或20個積分進行“繫結查詢”,僅3秒左右時間,機器人提供出查詢結果。在這10個號碼中,有9個手機機主的名字準確無誤。其中還有一個號碼查詢到準確的微信賬號名和微博賬號名,另有一個號碼則準確查詢到一位朋友使用過的郵箱密碼和家庭住址。
在Telegram的此類群組中,手機機主資訊只是一個入門級別的查詢。《財經》記者使用機器人提供的“獵魔查詢”(模糊搜尋)功能,向其傳送一個親友的名字,隨即機器人提示選擇男女和省份。在支付100積分後,得到近30條與這名親友同名的身份證號碼資訊,記者的親友也位列其中,且身份證號碼準確。
前述知情人士稱,“獵魔查詢”可以被用於“人肉搜尋”,只需要提供被“人肉”的人的名字,就可以透過不同的資訊,一步步精準鎖定搜尋物件。
除了查詢和出售業務,《財經》記者還聯絡了群組中一些出售資訊的賣家。記者向一名賣家提供身份證號,表示想查詢這個身份證號的住宿資訊。賣家表示,此類資訊是以一個數據包的形式出售,資料包中包括少則數萬條,多則幾百萬條資訊,價格也從幾百到幾千元不等。
這位賣家稱,資料包越大,就能查到越多的準確資訊。在買到的一個數據包中,《財經》記者透過身份證號碼查詢,果真得到幾條準確的住宿資訊。但住宿時間並不是最新的,基本為2018年以前的資訊。
因為機器人充當了第三方的角色,透過機器人查詢購買,得到資訊的準確性強、可靠性高,不存在傳統平臺上付款後被賣家拉黑的情況。這對於諸多買家來說,無疑是一種“高品質”而又可靠的服務。
前述知情人士對《財經》記者表示,新的銷售方式方便了黑灰產的從業者“開展業務”,這些資訊販子隱匿於平臺背後,追蹤溯源的難度增大。同時,個人資訊販子預先購置了大量黑灰產“四件套”——身份證、銀行卡、手機號、U盾,用以提現。
為了保證安全,“四件套”均非使用者本人資訊,而是從另一批專業黑灰產人士那裡購得。由此可見,個人資訊販子已非單鏈條發展,已經發展成為產業網路。
同時,資訊販子利用數字貨幣交易的特性,可以為每個賣家單獨生成地址,以便於交易“安全”和隱匿交易痕跡。
經過多日調查,以及一些知情人士提供的資訊,《財經》記者初步掌握這一黑灰產業鏈條,上游為一些駭客為代表的技術人員,他們透過各類手段獲取海量資料。中游即為各類資訊販子,他們從上游購買獲取資料,在群組內出售。
購買者根據自身需求購買資料和資訊。據知情人士透露,這些購買者主要為三類群體:網貸從業者,購買個人資訊用於向借款者追討借款;私家偵探,購買查詢資訊用於調查業務;還有一部分散戶並無具體目的,把購買、查詢自己想要的某個個人的資訊當作一種心理需求。
Telegram為何成黑灰產“溫床”?
令人覺得諷刺的是,有眾多個人隱私資訊被交易的網路平臺——Telegram,其實是一款對待使用者隱私和資訊保安高於一切的產品。
2006年,帕維爾·杜羅夫和他哥哥一同建立了俄羅斯版的Facebook——VKontakte。2008年,VK使用者超過1000萬,成為俄羅斯最大的社交網站,估值達到3億美元。
2014年,帕維爾因拒絕向俄羅斯政府提交烏克蘭反對派資料、關閉俄羅斯反對黨領袖頁面的要求,被迫離開VKontakte。之後,他和哥哥前往美國紐約州,在那裡與團隊一起開發了即時加密通訊軟體 Telegram。
簡單來說,Telegram有一個絕對安全的加密資訊傳輸網路,支援端對端加密。此外,Telegram 提供閱後即焚、私密聊天等功能,可以滿足使用者保護隱私的需要。
起初,Telegram曾提供了一項功能,即允許使用者透過上傳電話號碼來搜尋其他使用者,以便讓新使用者快速瞭解手機通訊錄中的人是否已經在使用這款軟體。這項功能會自動將電話號碼與群組中的使用者名稱匹配起來,若執法部門向當地電信服務部門詢問電話號碼的持有者,就可以知道使用者的真實身份。
後來,Telegram釋出更新,允許使用者禁用電話號碼匹配。這樣就增大了鎖定使用者身份的難度,以此增強了私密性。在這樣的平臺規則下,Telegram的群組可自由進入,但使用者資訊全部很好地得到隱藏。
符合使用者期待的隱私理念,安全快速的產品體驗,讓Telegram迅速得到發展。2018年3月,Telegram宣佈其全球使用者已超過2億,每天傳送120億條訊息。一年後,其使用者數量超過3億。
然而,也正是基於這樣的私密特性,以及可提供虛擬貨幣交易的功能,致使大量非法交易紛紛在Telegram裡出現,包括一些軍火交易、色情交易,甚至被恐怖主義組織利用。也就能夠理解,Telegram為什麼會成為個人資訊販子們的樂土。
在近期轟動韓國的“N號房”事件中,同樣涉及Telegram。“N號房”運營者在Telegram上建立按等級付費的私密聊天室,供會員分享女性甚至未成年女被性剝削的照片和影片。
出於絕對保護使用者隱私的理念,Telegram拒絕向俄羅斯聯邦安全域性提供使用者加密資訊,2018年4月,俄羅斯聯邦電信、資訊科技和大眾傳媒監管局宣佈全國封鎖Telegram。此後,Telegram又在俄羅斯以外的多個國家被禁用。
被“人肉”的調查者
今年29歲的佟林,長期從事數字貨幣、網路安全等業務,對這些領域的情況輕車熟路。
3月20日左右,微博使用者個人資訊洩露的訊息發出後不久,出於公益目的,佟林立刻潛入前述Telegram群組,觀察群組內的活動動態。
佟林接受《財經》記者採訪時表示,他其實早已聽說,網路黑灰產人士從國內網路平臺轉往國外平臺,這在圈子裡並不是秘密,只是普通公眾一直尚不知情。
在“潛伏”多日,並嘗試著與賣家交易後,佟林將這一類系列情況釋出在自己的自媒體平臺上,很短時間就獲得將近10萬的閱讀量。
就在佟林繼續“潛伏”時,他發現了一個叫“佟林粉絲”的群組,他進群后發現,自己已經被裡面的諸多賣家“人肉”了。他的名字、電話、家庭住址、工作機構等個人資訊被準確無誤地公佈出來。連他的身份證原件圖片也被曬了出來。有人還威脅要使用電話、簡訊騷擾軟體對他進行“狂轟濫炸”,徹底“廢”了他。
面對這樣的報復,佟林沒有選擇沉默,將自己被“人肉”的情況繼續釋出在自媒體中,並根據自己的網際網路安全經驗,提示普通公眾在使用網際網路時,可以採取一些辦法保護自己的個人資訊。例如,儘量少使用同一個密碼或密碼關鍵詞;使用強密碼管理工具,為賬號開啟二次驗證;註冊使用多個郵箱,有時也可以使用一次性郵箱等等。
佟林告訴《財經》記者,前述Telegram群組中的賣家所提供的個人資訊中,很多都是被用於“人肉搜尋”。而在這些群組中,真實個人資訊公開被稱為“出道”。在佟林看來,自己個人資訊的完全洩露,已經意味著任何一個個人都可能已經失去了應有的隱私空間。
佟林對《財經》記者表示,自己既然已經“出道”,就願意用自己的經歷將這些侵犯個人資訊的情況更大範圍地讓公眾知曉。但有一點最讓他始終難以理解,那就是自己的身份證原件照片也被洩露出來了,“這種應該是管理最為嚴格的資訊,怎麼也就這麼洩露出來?”
《財經》記者在上述群組中注意到,群內成員對於各類揭露類似個人資訊販賣的報道反應速度極快,報道刊發後不久就會被轉到群內,群內成員對這些報道不以為然,發表各類嘲諷,甚至聲稱會去“人肉”記者。
資訊洩露的源頭能堵住嗎?
個人資訊洩露事件近年來屢有發生,已對普通公眾產生滋擾,最常見的是很多人經常會接到各類精準營銷。而一些由於電信詐騙案件引發的惡性事件更是讓公眾感到不安。
很多人都存在疑問:個人資訊究竟是如何洩露的?究竟有沒有辦法防止洩露?
中國電子技術標準化研究院信安中心審查部總監何延哲告訴《財經》記者,近幾年的個人資訊洩露,一般有三個來源。一是“駭客”等外部力量攻擊資料庫,用技術手段把內部資訊盜走;二是儲存有海量資料的機構,有內部人員利用系統管理許可權將資料獲取後流出;三是在使用第三方網路平臺時,使用者將個人資訊提交給平臺,但這些平臺的防護措施不到位或沒有按照約定儲存使用資料,導致洩露。
針對這三種情況,想防止資料洩露,掌握海量資料的機構應該加強技術防護,制定嚴格管理制度,同時嚴防“內鬼”。出於對資料安全的考慮,各機構也都在加強防護措施,但在現實中並不可能做到完全沒有漏洞。
何延哲向《財經》記者舉例,從2019年開始,中央網信辦、工信部、公安部、市場監管總局四部門聯合展開App個人資訊保護治理,對不斷提升App個人資訊保護水平起到了積極推動作用。但是隻要出現一個“內鬼”,大規模洩露立刻出現,防不勝防。
以酒店住宿資訊為例,近兩年已有多起大規模洩露事件。
2018年8月,華住酒店集團發生洩露事件,涉及的個人資訊數量超過5億條。華住旗下的酒店品牌包括漢庭、美爵、桔子、全季、宜必思等,門店數量數千家。
2018年12月,國際酒店巨頭萬豪對外披露,其旗下品牌酒店的客人入住資訊系統遭駭客入侵,數億條個人入住資訊和身份資訊被洩露。
就在2020年3月末,萬豪再次公告稱,約520萬名客戶的資料可能被洩露。這次洩露的原因則為可能有人使用集團旗下一家特許經營酒店的兩個員工的登入憑據,訪問了數量眾多的客戶資訊。萬豪方面發現後,已禁用相關登入憑據,並通知有關部門展開調查。
檢索中國裁判文書網可知,順豐速運曾發生的一起內部員工洩露個人資訊的案件。這是近年來快遞行業涉及洩露個人資訊的一起重大案件。
湖北省荊州中級法院2018年5月的一份判決書顯示,順豐速運員工杜立明、馮丹等11人分別就職於河北順豐速運有限公司和荊州順豐速運有限公司,職位涵蓋安保部主管、市場部專員、倉管、快遞員等。
2015年以來,杜、馮等人為謀取非法利益,利用微信、QQ等軟體平臺,出售、提供、非法獲取包含順豐快遞單號、面單(即包含順豐快遞單號、地址、電話號碼的圖片)中公民的個人資訊。案件涉及被洩露的公民個人資訊超過千萬條,涉案金額200餘萬元。如果摺合成單條資訊,每條價格僅有約0.2元。
除了酒店業、快遞業,同樣掌握有海量資料的一些行政機關工作人員也成為個人資訊洩露的“內鬼”。
2020年4月初,湖南省衡陽市公安局刑偵支隊五大隊原民警肖某二審獲刑四年半。衡陽中院判決認定,2017年3月,肖某發現出售公民個人資訊可以賺錢,便開始利用職務便利,出售個人資訊牟利。
由於肖某自己的數字證書無高階查詢許可權,他盜用同事的數字證書,透過登入公安機關相關資訊平臺,將查詢到的公民戶籍資訊或行蹤軌跡資訊出售。肖某先後出售過的個人資訊包括公民戶籍資訊、公民個人行蹤軌跡資訊、車輛軌跡資訊、住宿資訊。他設定的價格為公民個人行蹤軌跡資訊每條300元,車輛軌跡資訊每條100元,住宿資訊每條100元。
在交易過程中,肖某曾使用國內軟體進行交易。出於安全考慮,他也改用一些國外軟體進行聯絡和交易。法院審理認定,自2017年3月至2018年12月,肖某盜取公民個人資訊出售給他人,違法所得總計180餘萬元。
正是由於國內對於資訊洩露和販賣等非法行為的治理,這些黑灰產從業者轉移到Telegram這樣的國外平臺,以逃避打擊。
截至發稿時,前述Telegram群組的參與人數仍處於不斷增長中,而各種個人資訊交易依然活躍。