黑市数据90%源于“内鬼”泄露

在黑市里,5分钟就能搞到上千条银行账户信息,700元就能买到一个人的行踪,包括开房、乘机、上网吧等11项纪录,而上述所有个人隐私信息,只需要提供一个手机号码就能搞定。

那么,到底是谁在肆无忌惮地贩卖我们的隐私呢?曾经有一个段子,一名姓李的网友为了追查到底是谁泄露了自己的信息,于是养成了一个习惯,在百度上注册名叫“李百度”,在淘宝上注册名叫“李淘宝”,在京东上注册名叫“李京东”,有一天他接到一个推销电话说:“请问是李淘宝先生吗?”一句问候语成了“绝杀句”,看似一语道破天机,但还是不能确定到底是淘宝平台还是快递公司泄露了信息。

黑市数据90%源于“内鬼”泄露

“从我们的观察来看,黑市上流转的个人信息,90%以上都是内部员工监守自盗。”贵阳大数据交易所CEO王叁寿向记者透露。

根据公安部去年年底披露的信息,在为期半年的打击侵犯公民个人信息犯罪专项行动中,捕获犯罪嫌疑人360余人。其中,仅有90多人为电脑黑客,其余270多人均是来自银行、快递、证券、电商网站等公司的内部员工。

据此样本推算,75%的泄露行为源于监守自盗,一定程度上佐证了黑市数据绝大多数来源于“内鬼”的说法。一位安全专家解释道,抓捕黑客的难度要比抓取违法的内部员工困难得多,大规模的信息泄露大多还是与黑客活动关系密切,但监守自盗的问题已经严重到惊人的地步。

在与白帽子黑客九月(化名)交流后,记者试图还原个人信息窃取的黑色产业链——源头往往来自“内鬼”或黑客,而黑客采取的手法往往是入侵拖下数据库,除此之外,还会采取木马病毒盗号、伪基站、钓鱼WiFi等手段盗取个人信息。有团队的黑客还会构建自家的“社工库”,含有大量个人信息的数据库成为他们日后敛财的工具,“社工库”已经完备到可以从200多个维度描述一个人,甚至比你自己还要了解你自己。

“个信批发商”扮演“黑中介”角色

“几乎每个互联网公司都在想办法获取数据,哪怕是非法手段,有数据才会有风投,继而研究自己的生态系统。如果公司倒闭了,最值钱的数据自然会被转卖或用于二次创业,不卖难道留着做纪念?”一位金融公司IT人员曾向记者透露,地下黑市的供给和需求都很旺盛。

在中间牵线搭桥的便是所谓的“个信批发商”,可以理解为黑市里的中介,在猎网平台提供的黑产链条中可以看到,“个信批发商”将收来的信息倒卖给电话诈骗经理、短信群发代理、邮件群发代理、伪基站团伙、在线推广技师等,从而完成网络诈骗产业链里的核心环节。

“个信批发商”在黑市地下交易中收购的个人信息价格较为便宜,据上述安全专家透露,“网银四大件”包括姓名、账号、密码、电话等组合信息,平均每条不到1元钱,运气好的时候,5元钱就能买到上百条。相比较而言,精准的实时信息价格更高,用户刚刚购物,马上就把用户的购物信息拿出来卖,一般能卖到几十元到上百元的价格。

对“个信批发商”来说,卖1份数据的成本,跟卖10份的成本是一样的,这一本万利的生意让无数黑产从业者趋之若鹜。

调查公司网上公开盗卖个人信息

潜伏在社交平台上偷偷叫卖个人信息的行为,早已是安全圈人尽皆知的黑市数据地下交易套路。从腾讯安全团队的回应中也可以窥见一二。从2016年年初至今,腾讯安全团队已经查处了涉及个人信息贩卖的QQ群4700多个,封停QQ账号3500多个。但记者近来发现,很多公司开始在网上明目张胆地非法盗卖个人信息,这些公司往往打着咨询公司、律师事务所、私人侦探社等旗号,注册一个两三人的小公司,被关停后又迅速“换壳”。

在百度输入“信息调查公司”“个人调查公司”等关键词,置顶的搜索结果都是此类公司投放的广告,它们的官网如出一辙,大多标榜10年经验,主要业务是婚外情调查、捉奸服务、债务追讨、财产调查取证、寻人服务、知识产权调查、经济情报调查以及打假维权、声讨老赖等。

记者与几家所谓的“调查公司”接触后发现,他们的实际业务就是贩卖个人信息,个人轨迹调查要价1800元,包括酒店开房信息、火车飞机出行等信息,对方还承诺,上午刷信用卡消费的信息下午就能拿到。名下财产调查要价2300元,包括名下房产、车子、银行账户余额、夫妻共有财产等信息。

有一家调查公司更是亮出高姿态,“虽然都是非法的,但我们拒绝给个人提供信息,只和公司合作,一般是外企,我们刚刚和一家顶级公司签下了一份员工忠诚度调查的大单。”记者在国家企业信用信息公示系统查询到, 这家所谓“调查公司”的登记机关竟是崇明区市场监管局,成立于2011年。

其实“私家侦探社”模式早已被取缔,但随着大数据、征信行业的大火,又开始呈现日益猖獗之势,从线下往线上转移。1993年,公安部就发布《关于禁止开设“私家侦探所”性质的民间机构的通知》,禁止任何单位和个人开设各种形式的民事事务调查所、安全事务调查所等私人侦探所性质的民间机构。2010年,两名“私家侦探”因非法获取公民个人信息罪,被法院判处有期徒刑1年,这也被认为是首例私家侦探非法获取个人信息罪案。

咨询公司注册门槛较低,10万元就可进行工商注册,所以成为新一轮的热门“隐匿壳”。

记者手记

谁来保护我的隐私安全?

去年,记者调查发现,国内外诸多网站都默认可以转让你的信息,至于个人数据到底属于谁,至今也没有确权。

处于监管“空档期”的大数据、征信行业出现乱象,黑市的繁荣阻碍了合法经营公司前进的道路。有些征信机构接入了非法数据,有些金融公司不愿花更多钱到正规数据交易所购买数据,因为在黑市上,同样的价钱可以买到更多未脱敏的数据。

每一个公民都被迫陷入了“人为刀俎,我为鱼肉”的不安境地,我们的隐私成为他们牟取暴利的资本,到底谁来保护我们的个人信息?

此番,记者从贵阳大数据交易所处得到了两个好消息,他们已经出台30多个标准,包括数据确权、定价、脱敏、可视化、安全等标准,约束整个市场从地下黑市向正规数据交易所转移。没有标准,我的个人信息是不是我的?我的个人信息值多少钱都无法确定,连官司都难打。

另一个好消息是,大数据行业开始启用区块链技术,给每组数据装上“GPS”,从而追踪数据。区块链这一核心技术让污染数据、数据作假的成本越来越高。

上一篇:赛可达发布2016年度全球手机安全软件横评报告

下一篇:二维码扫一扫背后存诈骗陷阱 技术门槛几乎为零