不同场合使用相同的密码会被黑客轻易获得
暗网交易凶悍:信息失守正在拓广金融“黑洞”
本报记者/郑瑜/张荣旺/北京报道
互联网时代,你恐怕已经没有了隐私。
你的个人信息因为轻易地暴露在了各种数据流通的过程中,个人数据倒卖等黑色交易更是屡见不鲜。
日前,先是国内5亿用户绑定手机号数据被挂上暗网(一种使用特殊加密技术刻意隐藏相关信息的互联网)。随后又有万豪国际酒店集团公告称约520万客人的信息可能被泄露,信息包含姓名、邮寄地址、电子邮箱、手机号等。
暗网,又被称为“隐藏网”,访问“暗网”需要多重特殊手段,普通用户无法通过常规互联网手段搜索和访问。
在暗网上,身份证使用轨迹售价0.02比特币/份(现价折合人民币1000元左右/份),其中包含银行、住宿、铁路、民航(交通)等身份证使用记录。截至2020年4月2日,记者发现的涉及暗网买卖的社交平台机器人显示,包含银行、住宿、铁路、民航(交通)等身份证使用记录的“身份证使用轨迹信息”近期已经售出18件,近一周卖出5件。而其他不同卖家提供的身份证使用(轨迹)记录商品售出件数也达到二十多件。
近年来,包括金融信息在内的各种信息流向黑产,被用于金融信贷催收、营销等各个领域。
“最快能查到借款人外卖最近一次订单、5分钟前的通话记录。”某国有大行附属公司前催收人员告诉《中国经营报》记者,催收公司一般会购买借款人资料,包括且不限于与身份证关联的手机号、外卖、快递、机票、火车票信息。
记者尝试找到售卖信息的平台,结果只花费了约8元人民币就买到了自己与其他家人的住址、平台账号、密码等信息,所买信息准确无误。
花钱买来的信息利用无孔不入,甚至有人利用其违法犯罪。
4月2日,中国银联发布报告称,51%的消费者曾经遇到过网络诈骗。
近年来各地警方(北京、河南、广东、山西、陕西)曾多次发布提示,让市民警惕犯罪分子通过非法渠道获取公民个人信息,电信诈骗犯罪。在警方发布的案例中,一位在校大学生因骗子自称网贷平台人员,且能够说出自己的详细信息而轻信对方,在短短2天时间内被骗7万元。
起源:内部人员泄露与黑客攻击
为何手机号、密码等数据会遭到泄露?
有网络安全人士表示,近年互联网公司遭黑客攻击,泄露用户数据案件频频发生,加之近年来数据公司内部人员泄露信息事件高发是数据泄露的主要原因。
近期,中国人民银行(以下简称“央行”)发布金融消费“套路”案例中介绍,某位客户在某银行办理房贷、商贷等业务并查询个人征信记录后,常常接到小贷公司或银行贷款的电话,询问贷款需求。在客户报案后发现是银行内部工作人员将他的个人信息倒卖给一些所谓的合作机构。“该名银行工作人员违规贩卖客户账户信息、征信记录等,涉嫌违法犯罪。”
亦有金融公司的工程师向记者分析道,数据泄露有两种来源:一种是技术上从后台数据库导出,一种是业务人员从前台导出。技术层面数据库数据的泄露,有可能是公司技术人员非法拷贝数据库中的数据,如果一家公司存在技术人员泄露数据的情况,则表明技术安全管理不到位;同时也有可能是被黑客攻击导致泄露。一般情况来说,公司的系统都会有相应的信息安防措施,因此由黑客攻击导致的情况并不常见,但是黑客攻击导致整个数据库数据泄露的结果和影响通常会比较严重。“市面上最常见的是业务人员对客户信息的泄露,将客户的个人信息导出,进行倒卖。”工程师表示。
那么黑客是如何窃取到用户隐私的?
其最常见的做法之一就是撞库。撞库是黑客通过已掌握的某个网站泄露用户数据,尝试登陆其他网站。
DCCI互联网研究院院长、工信部信息通信经济专家委员会委员刘兴亮告诉记者:“很多‘小白’(新手)用户在不同网站使用的是相同的账号密码,黑客攻破了安全措施较低的论坛网站后,获取的用户名密码往往会用来批量尝试登陆其他网站,这就是黑客撞库行为。”也就是说,如果你在不同场合使用相同的密码,极有可能被黑客通过撞库手法轻易获得。
“与撞库原理类似的是,现在有很多社交手机应用软件(APP),都具备自动匹配手机通讯录联系人,成为社交软件中的好友功能。在用户同意这些APP读取通讯录权限的同时,APP开始自动匹配通讯录好友,将社交平台账号与手机号码匹配。”上述大数据行业从业者表示:“此次备受关注的数据泄露事件,很有可能就是黑客伪造了一个本地通讯录数据库,数据库中预先举例大量手机号,再利用库中大量手机号与APP匹配功能,将手机号与对应账号进行一一匹配。黑客往往还会通过Python网络爬虫抓取大量网页上社交平台账号相关数据,最后将匹配成功的数据(比如手机号、社交平台账号、账号相关信息)通过爬虫抓取一并保存,从而造成个人数据外泄。”
上述人士表示,数据过度采集情况一直存在,一方面,网络爬虫过度爬去网站信息,致使网站崩溃,网站用户信息被窃。另一方面,APP过度收集用户信息,包括隐蔽收集、误导同意、强制授权、过度索权、超范围手机个人信息及账号注销困难等。
近年,有关部门高度重视个人信息保护工作,中央网信办、工信部、公安部、市场监管总局指导成立了APP违法违规收集使用个人信息专项治理工作组,开展APP整改相关工作。
震惊:“金融信息实时查询服务绝不仅是撞库这么简单”
有金融科技从业者表示,由于网络黑产的存在与2017年之前信息安全混沌的状态,在他看来信息批量倒卖已并非新鲜事,但现在暗网可以如此方便地指定查询个人金融信息,还是令从业8年的他感到十分震惊。
“实时指定查询某个人的银行流水与余额绝非撞库能做到的,极大可能是掌握金融机构数据库的内部人员所为。”上述金融科技从业者认为。
在支付百元后,卖家向记者展示了通过姓名与某国有大行的银行卡号,查询银行卡预留手机号码和绑定的身份证号的功能。记者同时看到有些暗网卖家在银行卡四要素(姓名、卡号、身份证号、预留手机)中,也会附带着查看银行卡余额的服务。
暗网上显示,支付千元还可以查询指定个人的银行卡流水,包括一个月、三个月、半年、一年的多家银行进出账单详细单,售价为2000元人民币起步。
在上述人士看来,数据流通过程中,数据权属与授权不明,是导致个人数据倒卖等黑色交易激增,造成社会危害的重要原因。
有大数据金融公司人士表示,以上述所说的银行四要素为例,掌握这些数据的机构包括一切有可能获取到数据的服务机构,不单有银行,还有基金公司、券商、支付机构、甚至还有电商。也就是说,个人信息的泄露渠道多元,这很可能令人防不胜防。
渠道多元,环节更令人担忧。
“有可能发生数据泄露的环节不胜枚举。生活中很多环节,用户都需要提交个人金融信息,比如房地产经纪机构在协助办理房屋贷款等业务时,也能拿到用户的银行卡信息。”刘兴亮解释道。
“目前泄露的数据,对于银行来说,更多的是一个历史问题。”某银行人士表示:“相对近些年而言,银行早年对于下属经营网点管理客户信息保护方面,并不是特别重视。基层网点客户四要素及其他开户资料日积月累,逐渐成为金融信息黑产觊觎的目标。为从中牟取利益,基层网点内部员工甚至存在倒卖等违规行为,这也滋长了黑色交易。”
上述人士同时坦言,最近几年,银行及内部员工主动泄露用户数据的可能性相对较低。因为目前银行内部各个环节与岗位,相互制约,比如管理权限的人员,不会掌握数据库,掌握数据库的员工,自己无法随意查询客户信息。每一次数据的调用都需要各部门、各层级的层层审批,员工个人对外兜售数据情况可能性下降。 “此外,可以预见的是,随着监管打击力度的不断增强,银行信息安全管理持续加码,数据交互意愿或将进一步降低。靠数据驱动的金融科技企业也许会受到不小的影响。”
除了传统金融机构,非持牌的金融科技平台与网贷平台也是重灾区。
“我一直在还钱,但家人不堪其扰,催收员还能找到我在其他社交平台的账号。还差200多元(欠款)时,催收员威胁要上门收取千元上门费。”一位网贷借款人表示。
记者曾经获得一份在暗网上兜售的网贷用户数据,包含联系人、月收入、工资发放形式、手机、工作时间、联系地址、贷款额度等信息,并给出了部分详细信息。记者致电上述数据中多位当事人,他们表示个人信息真实。其中有用户表示记者所述信息曾提供给过网贷机构与银行。
而该网贷平台相关人士表示,不排除有人利用网上公开信息与其他平台泄露的用户数据,冒用公司名义出售。“同一个借款人普遍会注册多个平台的现象,这些数据如果去匹配其他网贷平台,存在一定的命中率。比较常见的是一些倒闭的网贷平台对于数据往往疏于管理与善后,造成的此种情况。”
后果:大数据杀熟、信息茧房、电信诈骗
事实上,被各种渠道暴露的不只是金融信息,个人的各种信息包括隐私都可能被泄露。
“当前部分手机软件拥有读取用户相册权限,若自动识别到照片上人像头发稀疏,就有可能接到植发广告。”一位大数据行业从业者有些无奈地介绍。
那么个人信息泄露可能会造成什么结果?
“首先是数据滥用,比如在营销环节,大数据杀熟(互联网企业提供同样的商品或服务,但老客户看到的价格反而比新客户要贵出许多的现象。商家对个人数据分析后进行定价歧视。”专家表示,在国外还有滥用数据干预政府选举的情况存在。
2018年3月,英国政治咨询公司剑桥分析就曾未经授权收集使用8700万名Facebook用户的个人数据为美国总统特朗普选举服务。
同样,信息茧房也值得关注。
复旦大学新闻学院执行院长、教授张涛甫曾撰文表示,算法推荐的问世和普及是媒介技术进步的体现,它让信息与用户实现精准对接,将信息与用户进行个性化匹配。“算法的迎合式推荐会造成庸俗、低俗、媚俗信息泛滥,进而造成某些用户低级趣味的固化和泛化。二是会形成信息‘茧房’问题。基于算法得出的针对特定用户进行的个性化推荐,势必造成用户信息选择面的收窄,仿佛在用户周围砌起了一堵墙,形成信息‘茧房’。”
多位行业人士都向记者表示,个人数据滥用、倒卖经常存在于营销、信贷风控乃至诈骗。
2020年4月1日,北京市海淀公安、广东省珠海市刑侦等多地警方发布注销网贷账户骗局的风险提醒,表示近期网贷诈骗手段又有抬头之势。
根据山西省运城市平路县公安局介绍,有大学应届生在2天之内被骗7万元人民币,起因是自称是某网贷公司员工的人告诉他说,由于他注册了某网贷公司账户,需要注销学生账户,否则今后将无法借款。在此期间,骗子不仅发给他身份证、营业执照等信息证明其身份,而且骗子也可以准确说出该名应届生的名字与身份证号码,这位受害学生如今濒临自闭,既不敢告诉家人,又怕扛不下去,目前案件正在进一步处理中。
根据警方介绍,在诈骗过程中,骗子掌握了用户详细个人信息。
那么数据泄露在法律上如何追责?
北京金诚同达(上海)律师事务所律师周晨黠告诉记者,首先是刑事方面,一般而言此类行为相关的个人涉嫌侵犯公民个人信息罪,该罪需要行为人存在对犯罪的故意或共识,因此如果涉案的机构不存在对泄露行为的主观故意,很难追究机构的刑事责任。其次是行政方面,现在我国在个人信息保护这块的行政监管正在逐渐加强,如果机构存在管理疏忽、未能及时修复已经发现的漏洞、未能管理好合作的第三方等各类问题,导致发生数据泄露事件的,或者在发生数据泄露事件后未能及时采取措施导致损失进一步扩大的,机构很可能会受到行政部门的处罚。另外因为目前法律法规对数据安全这块的要求其实是比较高的,所以一旦发生数据泄露事件,往往能反过来查到企业的各种问题,因此这块的风险是比较大的。第三是民事方面,现有的这方面案例并不多,实际判决机构承担民事责任的也不多,但是考虑到民事案件的结果很大程度上取决于举证情况,消费者或者用户往往是因为无法证明是机构泄露的数据,以及无法举证证明具体的损失而导致败诉。这一块目前对于消费者或者用户具体需要举证到什么程度的问题也可能会有转变,同时考虑到监管层面对个人信息的不断重视,未来此类案件也可能会继续增多。
“应思考如何兼顾隐私保护与合理使用的途径”上述专家建议,“目前数据安全方面,我个人认为其最为关键的仍是数据规范使用问题。从明确个人信息保存期限入手,厘清数据权属与使用、共享的边界。”