隱私資訊“裸奔” 洩露規(guī)模呈“指數(shù)級”增長

　　數(shù)十億條個人資訊明碼標價 “潛規(guī)則”盛行售賣氾濫成災(zāi)

　　2020北京重點中學(xué)家長學(xué)生數(shù)據(jù)10萬條；

　　私人銀行理財百萬、千萬級高凈值富人10萬條；

　　飛機乘客個人資訊80萬條；

　　寶媽精準數(shù)據(jù)16萬條；

　　網(wǎng)貸數(shù)據(jù)12萬條；

　　……

　　通過業(yè)內(nèi)人士登錄Telegram、暗網(wǎng)，《經(jīng)濟參考報》記者看到，上億條各類別的個人精準資訊映入眼簾，正在被公開售賣。包括個人的行蹤軌跡資訊、徵信資訊、財産資訊、住宿資訊、通信記錄，甚至是面部活體資訊，只要點擊支付就可輕易獲取，販賣猖獗，資訊量和交易量之大觸目驚心。

　　《經(jīng)濟參考報》記者深入調(diào)查發(fā)現(xiàn)，隨處可見的身份綁定、過度索權(quán)加大了App等渠道的個人資訊洩露風(fēng)險。更加值得關(guān)注的是，虛擬貨幣加持下，不可控的暗網(wǎng)論壇、Telegram等社交平臺正成為資訊販賣的主要渠道。

　　“暗網(wǎng)不暗”

　　數(shù)十億條個人資訊明碼標價售賣猖獗

　　近期，記者在Telegram上一個名為“社工機器人&閒魚擔(dān)保交易查檔數(shù)據(jù)某認證群”的社交群上看到，大量的包括戶籍、手機號、定位、查人查檔、財産調(diào)查、開房記錄、流水等在內(nèi)的用戶資訊被公開售賣，十分猖獗。

　　“由於目前洩露資訊的量比較多，有的駭客就將各種數(shù)據(jù)做了大數(shù)據(jù)集合，命名為社工機器人。你只需在其中輸入相應(yīng)的需求，系統(tǒng)會自動將相關(guān)資訊搜索出來。”一位業(yè)內(nèi)人士説。

　　不僅僅是Telegram，《經(jīng)濟參考報》記者了解到，暗網(wǎng)中的數(shù)據(jù)交易量更為龐大。哈工大（深圳）—奇安信數(shù)據(jù)安全研究院執(zhí)行院長劉川意告訴記者，每年在暗網(wǎng)平臺出售的各類洩露數(shù)據(jù)多達上萬起，每年洩露的數(shù)據(jù)總量高達數(shù)十億條，交易金額超10億元人民幣。這些洩露出來公開出售的資訊，包括政府機構(gòu)公民資訊，銀行、證券等金融機構(gòu)的客戶資訊，各大電信運營商的機主以及網(wǎng)際網(wǎng)路、快遞、酒店、房地産、航空、醫(yī)院、學(xué)校等各行各業(yè)的客戶、用戶資訊。

　　而這樣大量詳細的真實數(shù)據(jù)，標價卻非常廉價?！安橐粭l資訊搜索平均也就幾毛錢?！币晃粯I(yè)內(nèi)人士告訴記者。

　　記者在暗網(wǎng)上看到，一份標稱剛出庫的某輔導(dǎo)機構(gòu)全國高校93萬學(xué)生身份數(shù)據(jù)售賣，打包價格為30美元。發(fā)帖者稱，數(shù)據(jù)是網(wǎng)站記錄的2016年到2018年的註冊數(shù)據(jù)，裏麵包括姓名、手機號、學(xué)校、住址等資訊。目前該數(shù)據(jù)包顯示已有18次成交。

　　某快消品牌官方旗艦店銷售資訊數(shù)據(jù)則報價16美元。發(fā)帖者表示，數(shù)據(jù)包共有15623條該品牌2020年中銷售數(shù)據(jù)資訊，包括購買人、購買資訊、價格、購買時間，同時還有購買者的電話和地址。

　　此外，身份證正反照、手持半身照也被打包售賣。從發(fā)帖者給出的附件截圖顯示，可以看到相關(guān)照片不僅有當(dāng)事人身份證正反面，同時還有當(dāng)事人單人照以及手持身份證照四張照片。而這樣的照片共有1500套，數(shù)據(jù)包售價為20美元。

　　與個人隱私資訊售價低廉不同的是，含賭博類會員的資訊價格直線上漲。有帖主表示，某體育足球類App郵箱洩露VPN賬號密碼，除了新增2020年4月1日到2020年8月8日的註冊資訊外，還更新了紅單推介會員數(shù)據(jù)，增量190萬條。值得注意的是，該數(shù)據(jù)包售價高達2000美元，已有2單成交。

　　此外，一份3月份第一批提取的18萬條棋牌數(shù)據(jù)包，裏麵包括電話、運營商、地區(qū)、訪問次數(shù)、抓取地址、抓取平臺、時間等具體資訊，交易單價300美元。

　　騰訊守護者計劃安全專家張文濤表示，目前網(wǎng)路黑産已呈現(xiàn)國際化、公司化、智慧化、匿名化的特點趨勢?！昂诨耶b團夥開始通過利用暗網(wǎng)、Telegram等境內(nèi)外多種工具平臺，實施數(shù)據(jù)的竊取、流轉(zhuǎn)、整合和交易。同時根據(jù)一些典型案例可以看到，部分黑灰産利用公司化的外衣，從事數(shù)據(jù)交易的不法行為，並且存在黑産人員將多渠道獲取的數(shù)據(jù)進行數(shù)據(jù)清洗整合，自動化對外提供服務(wù)?！?/p>

　　“駭客最青睞”

　　金融行業(yè)成資訊洩露“重災(zāi)區(qū)”

　　據(jù)劉川意介紹，洩露在“暗網(wǎng)”的個人資訊60%以上來自金融行業(yè)，金融業(yè)已經(jīng)成為駭客最青睞的攻擊目標。

　　《經(jīng)濟參考報》記者獲得某證券機構(gòu)資金50萬以上優(yōu)質(zhì)股民資訊頁面截圖。頁面顯示，25969條數(shù)據(jù)，標價168美元，擁有姓名、開戶證件號、性別、年齡、籍貫、手機號、浮動盈虧等9個數(shù)據(jù)維度。發(fā)帖者表示：“姓名、身份證號碼、手機號碼等資訊可自行驗證，數(shù)據(jù)不多，貴在真實。”該數(shù)據(jù)自2021年1月17日發(fā)佈，顯示已成交3單。

　　另一個在售的數(shù)據(jù)包為某證券公司多達16萬的客戶資訊，標價368美元。發(fā)帖者表示，該數(shù)據(jù)為2021年最新一手客戶數(shù)據(jù)，內(nèi)部渠道流出，暗網(wǎng)首發(fā)?！皵?shù)據(jù)一共16.5萬條，已去重，實號率95%以上，數(shù)據(jù)保真?！?/p>

　　此外，某商業(yè)銀行的銀行卡、理財資訊等多項洩露出來的數(shù)據(jù)被售賣。交易編號為41884的帖子錶示，該數(shù)據(jù)包擁有2021年某商業(yè)銀行客戶數(shù)據(jù)48566條，內(nèi)含詳細個人資訊、銀行卡號、銀行卡種類多項資訊。

　　交易編號為41847的帖子顯示，其擁有前述商業(yè)銀行理財客戶數(shù)據(jù)48800條。“該數(shù)據(jù)為內(nèi)鬼帶出，首次在暗網(wǎng)發(fā)佈，每份售價168美元。”發(fā)帖者稱。

　　記者查看該發(fā)帖者提供的可自行驗證數(shù)據(jù)看到，該數(shù)據(jù)內(nèi)容詳實，包括理財認購人姓名、身份證號、手機號、産品名稱、認購金額、預(yù)期收益率、期限以及該認購人具體住址資訊。記者登錄上述銀行官方網(wǎng)站，可以看到多個目前在售理財産品與被洩露資訊一致。

　　除了駭客等技術(shù)人員盜取批量資訊之外，也有一些“內(nèi)鬼”直接參與其中。交易編號為40046的帖子顯示:“只要提供身份證和姓名資訊，便可代查名下所有銀行卡具體資訊，不帶餘額1100美元，結(jié)果帶餘額需2200美元，1-5個工作日即可出結(jié)果?！敝档米⒁獾氖?，該貼自2020年8月24日發(fā)佈以來，目前已交易多達360單。

　　中國司法大數(shù)據(jù)研究院社會治理研究中心主任李俊慧表示，2016年至2020年，全國各級人民法院一審審結(jié)涉侵害個人資訊犯罪且裁判文書已公開的案件中，從所涉?zhèn)€人資訊數(shù)據(jù)來源行業(yè)來看，金融行業(yè)佔比為39.10%，位列第一。

　　“金融、仲介、招聘等服務(wù)行業(yè)由於嚴重依賴電話、短信等途徑進行行銷，為了提升行銷的針對性、有效性，買賣公民個人資訊已成了行業(yè)‘潛規(guī)則’?！北本┦谐枀^(qū)人民檢察院檢察官助理陳瑩璐説。

　　記者了解到，金融行業(yè)資訊洩露不僅發(fā)生在中國。在境外，金融行業(yè)數(shù)據(jù)也是暗網(wǎng)“?？汀?。2020年4月9日，價值近200萬美元的韓國和美國支付卡資訊在暗網(wǎng)出售。位於新加坡的網(wǎng)路安全公司Group-IB檢測到一個數(shù)據(jù)庫，其中包含韓國、美國的銀行和金融組織將近40萬張支付卡記錄的詳細資訊，並且這些資訊已于2020年4月9日上載到暗網(wǎng)。

　　資訊販賣成“潛規(guī)則”

　　洩露規(guī)模呈“指數(shù)級”增長

　　幾乎我們每個人都有如下類似的經(jīng)歷：剛買了房子，就有裝修公司打來電話；生完小孩沒多久，就有早教中心來聯(lián)繫；買完車剛一年，就有保險公司來推銷車險……推銷人員借助“隱私資訊”無孔不入。個人資訊洩露規(guī)模到底有多大？

　　業(yè)務(wù)情報安全企業(yè)永安線上産品經(jīng)理鄒洪志對《經(jīng)濟參考報》記者表示，永安線上數(shù)據(jù)洩露監(jiān)測平臺從2018年正式開始運營至今，已發(fā)現(xiàn)數(shù)據(jù)洩露事件超70000起，影響人數(shù)超過2億。

　　事實上，數(shù)據(jù)洩露在全球都處於高發(fā)態(tài)勢。近日，據(jù)外媒報道，WizCase安全團隊在掃描國際線上外匯交易平臺FBS伺服器時發(fā)現(xiàn)了嚴重的數(shù)據(jù)洩露事件。此次數(shù)據(jù)泄漏多達20TB，包括超過160億條記錄。泄漏資訊包括姓名、電話、郵件、護照號、個人照片、駕駛執(zhí)照等個人基礎(chǔ)資訊。同時，存款金額、貨幣、交易ID、交易日期、餘額、股本等用戶財務(wù)數(shù)據(jù)也在其內(nèi)。

　　根據(jù)ForgeRock《消費者身份資訊違規(guī)報告》最近公佈的數(shù)據(jù)，網(wǎng)路犯罪分子在2019年暴露了超過50億條數(shù)據(jù)記錄。儘管2020年第一季度數(shù)據(jù)洩露事故數(shù)量下降了57%，但從洩露量來看，只增未減，洩露了多達16億條記錄，比2019年同期增加了9%。

　　“被侵犯的公民個人資訊數(shù)量從‘倍數(shù)級’進階至‘指數(shù)級’爆炸式增長。”北京市第三中級人民法院副院長辛尚民此前在介紹涉公民個人資訊犯罪案件審理情況時指出，隨著資訊技術(shù)的發(fā)展，可利用的資訊數(shù)量日益龐大，從過去的姓名、身份證號、手機號、住址等傳統(tǒng)靜態(tài)資訊，增加了徵信資訊、定位資訊、行蹤軌跡資訊、住宿資訊、房屋産權(quán)資訊等多方面多維度資訊。同時，儲存資訊的載體從傳統(tǒng)的隨身碟、硬碟等變?yōu)閮Υ媪扛蟮碾?yún)盤，也讓存儲成本和難度大幅度降低。（記者 張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩）