網絡配圖
個人信息洩露嚴峻性不斷升級,販賣「黑市」日益猖獗。記者近日調查發現,網絡中存在大量公開售賣包括酒店開房信息等僅在少數渠道可以獲取的公民個人隱私信息,準確度之高令人觸目驚心。業內人士分析認為,數據大量來自「內鬼」和「黑客」渠道,建議有關部門及時從銷售渠道端追查非法交易,遏制「黑產」泛濫。
銀行流水、開房記錄付款可查
原本保管嚴密的居民個人信息,卻可以被任何人在網上以幾百元至上千元的價格買到。記者近日調查發現,只要知道姓名或身份證號,就可以購買到任何人近十年的酒店開房記錄。
記者通過搜尋引擎查找並聯繫到一個名為「客服中心」的QQ聯繫人,稱可查最新開房記錄、出入境記錄和銀行流水,記者徵得一位同事同意後,支付了對方要求的1500元且提供了其身份證號碼。
該QQ聯繫人在兩日後提供了該同事2008年以來多達52條酒店開房信息,包括開房日期、酒店地址、入住時間、退房時間、房間號等極為具體的信息。經該同事確認,這些信息基本準確無誤。
經過反覆試驗調查,記者發現此類個人信息買賣的地下黑市十分猖獗,並存在三大特點。首要特點是交易十分活躍,廣告遍布網絡。在百度輸入「個人信息 查詢 私家偵探」等關鍵字後,顯示出諸多網站,號稱能查到所有個人信息。在QQ搜索「個人信息查詢」等關鍵字也能找到大量提供相關服務的QQ群,每個QQ群中都包含很多活躍聯繫人。
令人吃驚的是,一些網站甚至免費提供隱私信息查詢。在百度搜索「開房信息查詢」並在結果首頁進入一家網站後,在搜索框輸入任意姓名,就可查詢到該人身份證號碼、年齡、生日、地址、電郵和曾經的一條開房信息。
其次是信息並不全面。記者今年出差入住的部分賓館信息未被包括在內,且當日測試的酒店開房信息亦未被囊括在內。該QQ聯繫人自稱,最近警方嚴查,因此要求與記者在凌晨溝通。他還表示,如果花費5600元還可查詢銀行流水記錄,花1600元可查詢個人所有航班信息和出入境記錄。
第三個特點是衍生諸多詐騙產業。很多網上個人信息售賣者聲稱可以查詢微信等即時通訊聊天記錄,但記者經兩次嘗試後發現這主要為詐騙行為,在支付數百元定金後對方均無法提供並消失,從事此類交易的QQ群也大量存在於網絡中。
除去個人信息外,一些百度貼吧還存在大量的非法數據交易廣告。如在百度「數據買賣」貼吧中,叫賣「三大電信運營商內部數據」、「各行業客戶數據」、「網購買家數據」的內容隨處可見。
內鬼、黑客導致數據安全基本失控
從事信息安全工作多年的獵豹移動安全專家李鐵軍分析認為,個人隱私信息「黑產」龐大,形勢嚴峻,亟須加強監管。從信息來源看,個人隱私信息主要來自「黑客技術截獲」和「內部人員違規洩露」兩條路徑。
就在記者調查同期,公安部門破獲了一起侵犯公民個人信息犯罪的案件,正是來自相關單位內部人員與社會人員相互勾結所為。公安部表示,2016年以來共偵破此類案件1800餘起,抓獲犯罪嫌疑人4200餘人,查獲各類公民個人信息300餘億條,其中,抓獲涉及40餘個行業和部門的內部人員390餘人、黑客近百人。
李鐵軍認為,對於網絡數據和信息安全管理基本處於失控狀態,特別是個別管理掌握公民個人信息的機構可能存在大量管理漏洞,能批量獲取居民酒店開房信息、網吧登記信息和銀行卡餘額的只有少數內部網絡可以做到。這些都不是黑客可能輕易入侵的。
他認為,數據保護形勢異常嚴峻,不少業內人士都認為,由於數據管理和監管的缺失,在網際網路上幾乎可以查到任何人的信息,從唯一身份信息到交通、位置、航班等日常信息無所不有,洩露數據量之大已幾乎覆蓋到每個網民。
一線民警告訴記者,在此前查處的這類案件中發現,網際網路上每天進行著規模巨大、覆蓋全國、買賣便捷的公民個人信息交易。在眾多社交媒體群組中,信息販子不停地通過網際網路發布需求、互通有無。除了被反覆買賣的「二手」數據,「一手」信息來源有很多途徑,例如有黑客侵入一些資料庫,非法獲取各種個人信息並銷售牟利,還有一些能夠接觸公民個人信息的從業人員,利用職務之便將數據在網上出售。
除去內鬼外,黑客也是數據洩露的重要途徑,這一鏈條相對分散。根據李鐵軍的研究,這一人群分為三個層次。最頂端的黑客具備發現漏洞和攻破系統的能力,在全國有數百人。其次是買賣和利用這些漏洞的人,懂得如何利用漏洞獲取數據和倒賣信息,可能有上萬人。最底層是大量希望利用數據牟利的群體,以廣告營銷為目標的公司和用個人信息詐騙的團夥最多。
不僅如此,除了明目張胆的「黑產」,「灰色」的數據交易行為也普遍存在。如一些數據交易所交易的數據包括居民保險、企業貿易通關、專利、徵信、工商、司法、行業生產銷售、城市交通服務數據等,但由於我國對數據權屬、個人信息的定義等法律法規尚未完善,企業之間在平臺上交易個人數據,還屬於「無章可循」階段,同樣存在大量隱患。
專家建議從渠道端嚴打數據「黑產」
獵豹移動發布的一份全球隱私安全報告顯示,中國、印度等新興國家由於第三方市場缺乏管理,導致惡意應用在這些地區泛濫。2014年,獵豹移動全年截獲手機病毒及惡意應用APP共約280萬個,是2013年數據的3.29倍,其中60%以上屬於行動支付和竊取個人隱私類。
2015年獵豹移動安全實驗室從釣魚網站收集系統中回溯過往攔截歷史,發現自2014年7月以來就有6300多個專門收集銀行卡信息的釣魚網站,研究人員僅從30餘個釣魚網站中就獲得了超過3.5萬條銀行卡記錄。據推測,遭遇此類釣魚網站攻擊,洩露銀行卡信息的受害者保守估計在700至3500人/天。
公民隱私被嚴重侵犯以及多行業個人信息數據非法暴露在網際網路當中,反映了我國數據安全管理仍存在大量薄弱環節。對此專家及業內人士認為,應從渠道銷售端嚴格追溯非法數據倒賣,並從長遠規劃數據的安全存放和流通規則,保護公民信息隱私,妥善處理數據安全。
首先應從銷售渠道追溯嚴打。雖然數據洩露源頭端監管難度大,但因為大量交易渠道均為網際網路搜尋引擎、QQ群等公開渠道,並關聯到個人甚至企業實名的支付寶帳戶,因此非常容易追查。中國工程院院士鄔賀銓表示,安全是我國大數據產業的短板,存在技術與管理的雙重風險。居民個人隱私被公開販賣,正反映了這兩大風險,應從源頭上追溯非法數據倒賣案例,打擊「黑產」。
其次要加強源頭端數據權限管理。對各行業涉及數據信息的領域加強管理要求,針對「內鬼」大量存在的學校、政府機關、快遞公司、電商等洩露案例頻發的領域,可要求建立數據管理機制,將系統權限和數據獲取記錄集中管理,並增加預警機制。
再次應夯實數據管理的法律基礎。有專家表示,對個人數據的保護大多依照2012年通過的《全國人民代表大會常務委員會關於加強網絡信息保護的決定》,這已遠遠不能覆蓋目前行業的發展現狀。為此應加快大數據管理的法律法規依據,完善隱私保護的法律基礎。
此外還應確定大數據管理的權責部門。在我國逐步建立國家大數據中心的過程中,應不斷提升技術手段,並將個人隱私保護作為建設過程的重要內容,針對大數據產業迅速發展的形式,以及數據權屬、個人數據隱私保護、政府數據公開等難題,明確專門的監管部門,充分管理和利用好數據戰略資源。