京东12G用户数据遭泄露,内容多达数千万条(包括身份证、电话、用户名、密码、邮箱、QQ号、消费记录等);
300元能买到个人所有酒店开房记录,700元可以追踪一切信息(报道来自《南方都市报》);
近几天,不断有用户隐私信息遭泄的新闻爆出,但实际上,所有的“黑幕”由来已久。黑产者们不仅掌握了大量网民的基本信息,甚至可以读取目标手机通讯录的所有电话,实时定位其位置……
在网络数据年代,用户的隐私已经沦陷,所有人都在裸泳。
【1】“大数据”时代很多上档次的科技与互联网公司都喜欢谈大数据。马云称:未来不再是IT的时代,而是DT(Data Technology)的时代,而阿里巴巴的本质,就是一家扩大数据价值的公司。
企业收集用户展现的一切数据,将之归纳总结,梳理成“有效”信息加之利用。在这样的体系里,亚马逊会适时向用户推荐几本其可能感兴趣的书籍,支付宝会提醒你到了缴水电费、还信用卡的时候,天猫会向你推荐与“近期浏览”类似的服装,今日头条会推给你最感兴趣的内容和文章……
这类“诱导消费”都基于用户信息,对于企业和消费者而言,这或许算是双赢。但在数据体系里,被动接受的用户始终处于弱势一方,信息公开化带来的并非完全是便利。
比如,你一定收到过不计其数的垃圾短信和邮件,隔三差五就有贷款、买卖房的骚扰电话打上门来,而其中的某些电话,来自诈骗团伙。
这些销售电话并非无的放矢。小贷公司不会给欠着一屁股债的人打贷款电话,银行不会发短信邀请有坏账记录的户主办理信用卡……换言之,大部分销售电话都建立在信息掌握的基础上。
就连诈骗团伙都告别了乱枪打鸟的时代。很多无良商家、骗子都是在做足了功课之后,才找上门来。
华商的一位朋友曾经离被骗只差一步。他是一名从业多年的记者,按理说深谙其道,但是骗子接连报出了其身份证号、家庭住址、亲友电话、银行卡账号等一系列信息,令之一步步迈入设好的陷阱。
这些原本私密的信息,已经成了任人掌握的数据。《人民日报》的文章称:至少78.2%的网民个人身份信息遭泄露,82.3%的网民因此受到影响。
《中国个人信息安全和隐私保护报告》则称:81%的参与调研者经历过对方知道自己的姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰。
那么,这些原本私密的信息是如何泄露出去的?
【2】接连不断的泄露事件信息都是用户自己“交出去”的。
数据时代,用户每时每刻都在“分享”自己的信息:办信用卡需要身份证、肖像照;网购需要银行卡号、住址;APP注册需要手机号、邮箱;订餐、打车需要分享自己的位置……很多用户还习惯于用同样的密码,这给了不法者更多发挥的空间。
这些信息一经分享,便成了企业记录在案的数据。用户们信赖支付宝、微信、银行等企业和机构,但是某些时候,这些信息没有被妥善封存,反而成了流通的数据。
过去几年间,被爆出数据泄露的大企业不在少数,每隔一段时间就有类似案件发生。
2013年11月,网络惊现出售真实QQ、微信用户资料的信息。这份资料囊括数亿用户,按照行业、产业、年龄、性别等分门别类,针对单独的QQ/微信账户,甚至可以查询到姓名、从业经历、年龄等讯息。整份数据高达90G,售价仅400元。
2014年1月,支付宝爆出用户资料泄露事件,内容超过20G。阿里巴巴前技术员工李明(音)利用工作之便,多次在公司后台下载相关资料,并将之出售。其中3万条支付宝用户信息,售价仅500元。信息包括个人实名、手机、电子邮箱、家庭住址、消费记录等精准资料。报道称,售卖期间,某知名电商品牌花重金买下了1000万条用户信息。
2014年12月,12306用户信息在网络疯传。官方网站称,此次泄露的用户数据不少于131,653条,信息内容包括账户、密码、身份证、邮箱等内容。
……
此后,京东、当当等网站用户的资料泄密事件闹得沸沸扬扬,锦江之星等知名连锁酒店开房记录之类的隐私信息泄露事件亦是层出不穷。
这类信息一经暴露,便永远不会消失。它们被打包整理在数之不尽的网络“数据库”中,等待发掘利用之时。这也是大部分黑产者只需要姓名和身份证,就能迅速查出用户私密信息的原因。
【3】隐私的价值与变现这些信息很值钱。在大数据时代,这些信息越来越具价值。
随着移动互联网的发展,客户的精准定位越发重要。很多商家没有获取用户信息的渠道,购买不法数据成了其唯一途径。
以电商为例,某些数据软件可以通过搜索引擎、数据库等信息,对电商网站、甚至单独的淘宝店铺进行分析,店铺的竞争对手做了哪些直通车广告、用了哪些关键词,效果如何、买家搜索词等信息,都可以查到。
“这都是退而求其次的方法。”某曾经的淘宝热门商铺、现天猫卖家告知华商韬略(微信号:hstl8888),“如果我手上能有更精准的数据,能知道消费者的购物频率、价格区间、消费规律、喜欢的品牌和样式等信息,我们就能提炼出更多信息,用于调整战略。如果进一步了解其手机号、邮箱、住址等,我们就可以通过定向群发的方式进行精细化营销。信息对于电商而言实在是太重要了,因为没有信息来源,我们只能通过购买数据软件服务,进行模糊营销。”
网络用户的信息随时可以变现,对于购买者而言,这是一笔绝对物超所值的回报。在某些犯罪者手中,甚至一些看似不具价值的信息也变得价值千金。
2016年8月,山东省临沂市接连发生了针对“准大学生”的诈骗案件。诈骗者通过电话、以各种缘由骗走其学费,其中两位学生在得知被骗后心脏骤停,不幸辞世。
据受害者家属称,骗子对于学生的身份证号、银行账户、家庭住址等情况一清二楚,甚至针对其家庭情况专门“定制”了诈骗方案。
高中毕业生的详细信息,在大部分商家看来价值不大,但是在骗子手中,这些信息却成了牟利的工具。()
有价值,便有了商品和流通的属性,随之出现了一批信息提供者。
信息提供者的构成五花八门。大部分影响甚广的泄露事件,都将源头归结于“内鬼”——内部人员下载信息后牟利出售。山东临沂事件中,就有舆论分析认为:只有两处掌握学生的详细信息,一是学校,一是教育局招生办,信息泄露很可能源自这两方。
信息泄露是“内鬼”所致,还是外部窃取,外界不得而知。迄今为止的泄露事件中,只有腾讯和京东承认因为系统漏洞,造成资料泄密。
针对近期事件,京东称:该事件源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。
华商韬略了解到的消息显示,“内鬼”并不是用户信息泄露的主要原因,大多数事件都源自黑客找到网站漏洞,窃取资料后拿去卖钱。而相较系统漏洞导致事故,将缘由推究于“内鬼”,对于企业形象与信赖度而言显然是一种更为稳妥的说法。
源源不断遭窃的信息背后,这条关乎个人隐私的黑色产业链,已经发展成为年产值高达千亿的灰色产业。
随着用户信息越来越多,该“产业”呈现了两大趋势:一是所谓的黑客入门门槛越来越低,二是“黑客”们开始承接越来越多的“私人订制”——这只无所不在的黑手,伸向了更多的普通群众。
【4】实时定位只需400元在微博、微信群、淘宝等平台上,可以搜索到大量针对个人隐私的服务。这类服务以“商务专业调查”、“私人侦探”为名,贩卖用户的隐私信息。
在这类服务中,只要提供身份证号码,就可以查询到出行记录、开房记录、银行记录等一系列信息,开价在500到800元不等。
开价不高,因为这并不是一项复杂的工作。从事这行的“黑客”都掌握社工库,社工库是大量外泄用户隐私的数据集合地,是黑客们的数据共享库。过往遭泄露的用户信息,大多可以在这里找到。
成为这样一名“黑客”也不是难事。如今网上充斥着简单易懂的黑客工具,小学生都能下载,初中生、高中生就可以熟练掌握这类黑客工具。
除利用社工库提供目标过往信息外,黑客们还提供实时服务,比如定位目标位置。黑客们拿着信息去社工库进行检索,就很有可能获取目标常用的用户名和密码,通过手机号和密码登录一些可以获取定位的应用,就能得知其位置,甚至做到追踪行动轨迹。
大量新式应用给黑客们提供了定位的空间:地图、饿了吗、美团等应用皆在此列。因为简单易操作,这类服务收费大多在300-500元之间。
如果运气好,黑客们还能获取目标的淘宝账号、支付宝密码等信息,虽然不能直接转走资金,但是这类信息同样有用。比如为讨债人服务时,他们可以得知对方是否具备还款能力。
讨债是定位服务的“大客户”。催收行业最大的痛点,就是找不到欠款人,这类服务因此成了刚需。
但过往的报道显示,并非所有的隐私窥探与定位服务都和讨债相关。“某些客户可能基于窥视或者兴趣找上门来。”一位从业者说,“在这里,他们甚至可以得知目标‘昨天网购了一盒避孕套’等诸如此类‘有意思’的信息。”
【5】注意自我防范在不断有信息遭泄露和黑产从业者越来越多的当下,用户的个人隐私已经变得脆弱不堪。
或许在某些普通群众看来,这一切“与我无关”:骚扰电话不接,骗子的智商远不如我,垃圾短信一律忽视……但是,你依旧无法避免某些人出于“兴趣和窥探”,花很少的钱,便掌握你的个人隐私。
更致命的是,这一切看上去似乎无可避免——网络的影响力无处不在,用户正不断暴露更多信息,并被采集、记录。
在这样的大环境里,出于自我保护的目的,有几点网民们应该加强防范:
1.不要为了省事用相同的账号密码
很多破译都源自“数据库”里用户惯用的账户和密码。此前12306泄露事件中,铁路公安机关的调查显示:犯罪嫌疑人正是通过其他网站掌握的账号和密码,尝试“撞库”,才掌握了12306用户的相关信息。
2.不要随便连接WiFi,尤其不需要密码的WiFi。
不少和金融相关的网络盗窃都出于WiFi连接。WiFi本质是一个数据传输的通道,黑客们通过数据包抓取可以破解连接者的信息,包括手机内的通讯录、账号密码等等。同时,“黑WiFi”还可以通过重新定向的方法,将你的目标网站转向相似度极高的山寨网站,藉此掌握账号、支付密码等敏感信息。
3.了解骗子的惯用套路。
遇到和转账相关的事件时,一定要多想、多问周围的人,不要遇事脑热,赶紧汇款。尤其需要注意的一点是:包括银行在内的企业和机构,不会在任何情况下询问你的密码。
黑色大潮愈掀愈高,普通群众能做的,也只有老生常谈的“加强自我范防意识”了。
版权声明:版权归华商韬略所有,禁止私自转载,如需转载,请联系微信公众号——华商韬略(hstl8888) 获得授权。