不同場合使用相同的密碼會被黑客輕易獲得

暗網交易兇悍：信息失守正在拓廣金融“黑洞”

本報記者/鄭瑜/張榮旺/北京報道

互聯網時代，你恐怕已經沒有了隱私。

你的個人信息因爲輕易地暴露在了各種數據流通的過程中，個人數據倒賣等黑色交易更是屢見不鮮。

日前，先是國內5億用戶綁定手機號數據被掛上暗網（一種使用特殊加密技術刻意隱藏相關信息的互聯網）。隨後又有 萬豪國際 酒店集團公告稱約520萬客人的信息可能被泄露，信息包含姓名、郵寄地址、電子郵箱、手機號等。

暗網，又被稱爲“隱藏網”，訪問“暗網”需要多重特殊手段，普通用戶無法通過常規互聯網手段搜索和訪問。

在暗網上，身份證使用軌跡售價0.02比特幣/份（現價摺合人民幣1000元左右/份），其中包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄。截至2020年4月2日，記者發現的涉及暗網買賣的社交平臺機器人顯示，包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄的“身份證使用軌跡信息”近期已經售出18件，近一週賣出5件。而其他不同賣家提供的身份證使用（軌跡）記錄商品售出件數也達到二十多件。

近年來，包括金融信息在內的各種信息流向黑產，被用於金融信貸催收、營銷等各個領域。

“最快能查到借款人外賣最近一次訂單、5分鐘前的通話記錄。”某國有大行附屬公司前催收人員告訴《中國經營報》記者，催收公司一般會購買借款人資料，包括且不限於與身份證關聯的手機號、外賣、快遞、機票、火車票信息。

記者嘗試找到售賣信息的平臺，結果只花費了約8元人民幣就買到了自己與其他家人的住址、平臺賬號、密碼等信息，所買信息準確無誤。

花錢買來的信息利用無孔不入，甚至有人利用其違法犯罪。

4月2日，中國銀聯發佈報告稱，51%的消費者曾經遇到過網絡詐騙。

近年來各地警方（北京、河南、廣東、山西、陝西）曾多次發佈提示，讓市民警惕犯罪分子通過非法渠道獲取公民個人信息，電信詐騙犯罪。在警方發佈的案例中，一位在校大學生因騙子自稱網貸平臺人員，且能夠說出自己的詳細信息而輕信對方，在短短2天時間內被騙7萬元。

起源：內部人員泄露與黑客攻擊

爲何手機號、密碼等數據會遭到泄露？

有網絡安全人士表示，近年互聯網公司遭黑客攻擊，泄露用戶數據案件頻頻發生，加之近年來數據公司內部人員泄露信息事件高發是數據泄露的主要原因。

近期，中國人民銀行（以下簡稱“央行”）發佈金融消費“套路”案例中介紹，某位客戶在某銀行辦理房貸、商貸等業務並查詢個人徵信記錄後，常常接到小貸公司或銀行貸款的電話，詢問貸款需求。在客戶報案後發現是銀行內部工作人員將他的個人信息倒賣給一些所謂的合作機構。“該名銀行工作人員違規販賣客戶賬戶信息、徵信記錄等，涉嫌違法犯罪。”

亦有金融公司的工程師向記者分析道，數據泄露有兩種來源：一種是技術上從後臺數據庫導出，一種是業務人員從前臺導出。技術層面數據庫數據的泄露，有可能是公司技術人員非法拷貝數據庫中的數據，如果一家公司存在技術人員泄露數據的情況，則表明技術安全管理不到位；同時也有可能是被黑客攻擊導致泄露。一般情況來說，公司的系統都會有相應的信息安防措施，因此由黑客攻擊導致的情況並不常見，但是黑客攻擊導致整個數據庫數據泄露的結果和影響通常會比較嚴重。“市面上最常見的是業務人員對客戶信息的泄露，將客戶的個人信息導出，進行倒賣。”工程師表示。

那麼黑客是如何竊取到用戶隱私的？

其最常見的做法之一就是撞庫。撞庫是黑客通過已掌握的某個網站泄露用戶數據，嘗試登陸其他網站。

DCCI互聯網研究院院長、工信部信息通信經濟專家委員會委員劉興亮告訴記者：“很多‘小白’（新手）用戶在不同網站使用的是相同的賬號密碼，黑客攻破了安全措施較低的論壇網站後，獲取的用戶名密碼往往會用來批量嘗試登陸其他網站，這就是黑客撞庫行爲。”也就是說，如果你在不同場合使用相同的密碼，極有可能被黑客通過撞庫手法輕易獲得。

“與撞庫原理類似的是，現在有很多社交手機應用軟件（APP），都具備自動匹配手機通訊錄聯繫人，成爲社交軟件中的好友功能。在用戶同意這些APP讀取通訊錄權限的同時，APP開始自動匹配通訊錄好友，將社交平臺賬號與手機號碼匹配。”上述大數據行業從業者表示：“此次備受關注的數據泄露事件，很有可能就是黑客僞造了一個本地通訊錄數據庫，數據庫中預先舉例大量手機號，再利用庫中大量手機號與APP匹配功能，將手機號與對應賬號進行一一匹配。黑客往往還會通過Python網絡爬蟲抓取大量網頁上社交平臺賬號相關數據，最後將匹配成功的數據（比如手機號、社交平臺賬號、賬號相關信息）通過爬蟲抓取一併保存，從而造成個人數據外泄。”

上述人士表示，數據過度採集情況一直存在，一方面，網絡爬蟲過度爬去網站信息，致使網站崩潰，網站用戶信息被竊。另一方面，APP過度收集用戶信息，包括隱蔽收集、誤導同意、強制授權、過度索權、超範圍手機個人信息及賬號註銷困難等。

近年，有關部門高度重視個人信息保護工作，中央網信辦、工信部、公安部、市場監管總局指導成立了APP違法違規收集使用個人信息專項治理工作組，開展APP整改相關工作。

震驚：“金融信息實時查詢服務絕不僅是撞庫這麼簡單”

有金融科技從業者表示，由於網絡黑產的存在與2017年之前信息安全混沌的狀態，在他看來信息批量倒賣已並非新鮮事，但現在暗網可以如此方便地指定查詢個人金融信息，還是令從業8年的他感到十分震驚。

“實時指定查詢某個人的銀行流水與餘額絕非撞庫能做到的，極大可能是掌握金融機構數據庫的內部人員所爲。”上述金融科技從業者認爲。

在支付百元后，賣家向記者展示了通過姓名與某國有大行的銀行卡號，查詢銀行卡預留手機號碼和綁定的身份證號的功能。記者同時看到有些暗網賣家在銀行卡四要素（姓名、卡號、身份證號、預留手機）中，也會附帶着查看銀行卡餘額的服務。

暗網上顯示，支付千元還可以查詢指定個人的銀行卡流水，包括一個月、三個月、半年、一年的多家銀行進出賬單詳細單，售價爲2000元人民幣起步。

在上述人士看來，數據流通過程中，數據權屬與授權不明，是導致個人數據倒賣等黑色交易激增，造成社會危害的重要原因。

有大數據金融公司人士表示，以上述所說的銀行四要素爲例，掌握這些數據的機構包括一切有可能獲取到數據的服務機構，不單有銀行，還有基金公司、券商、支付機構、甚至還有電商。也就是說，個人信息的泄露渠道多元，這很可能令人防不勝防。

渠道多元，環節更令人擔憂。

“有可能發生數據泄露的環節不勝枚舉。生活中很多環節，用戶都需要提交個人金融信息，比如房地產經紀機構在協助辦理房屋貸款等業務時，也能拿到用戶的銀行卡信息。”劉興亮解釋道。

“目前泄露的數據，對於銀行來說，更多的是一個歷史問題。”某銀行人士表示：“相對近些年而言，銀行早年對於下屬經營網點管理客戶信息保護方面，並不是特別重視。基層網點客戶四要素及其他開戶資料日積月累，逐漸成爲金融信息黑產覬覦的目標。爲從中牟取利益，基層網點內部員工甚至存在倒賣等違規行爲，這也滋長了黑色交易。”

上述人士同時坦言，最近幾年，銀行及內部員工主動泄露用戶數據的可能性相對較低。因爲目前銀行內部各個環節與崗位，相互制約，比如管理權限的人員，不會掌握數據庫，掌握數據庫的員工，自己無法隨意查詢客戶信息。每一次數據的調用都需要各部門、各層級的層層審批，員工個人對外兜售數據情況可能性下降。 “此外，可以預見的是，隨着監管打擊力度的不斷增強，銀行信息安全管理持續加碼，數據交互意願或將進一步降低。靠數據驅動的金融科技企業也許會受到不小的影響。”

除了傳統金融機構，非持牌的金融科技平臺與網貸平臺也是重災區。

“我一直在還錢，但家人不堪其擾，催收員還能找到我在其他社交平臺的賬號。還差200多元（欠款）時，催收員威脅要上門收取千元上門費。”一位網貸借款人表示。

記者曾經獲得一份在暗網上兜售的網貸用戶數據，包含聯繫人、月收入、工資發放形式、手機、工作時間、聯繫地址、貸款額度等信息，並給出了部分詳細信息。記者致電上述數據中多位當事人，他們表示個人信息真實。其中有用戶表示記者所述信息曾提供給過網貸機構與銀行。

而該網貸平臺相關人士表示，不排除有人利用網上公開信息與其他平臺泄露的用戶數據，冒用公司名義出售。“同一個借款人普遍會註冊多個平臺的現象，這些數據如果去匹配其他網貸平臺，存在一定的命中率。比較常見的是一些倒閉的網貸平臺對於數據往往疏於管理與善後，造成的此種情況。”

後果：大數據殺熟、信息繭房、電信詐騙

事實上，被各種渠道暴露的不只是金融信息，個人的各種信息包括隱私都可能被泄露。

“當前部分手機軟件擁有讀取用戶相冊權限，若自動識別到照片上人像頭髮稀疏，就有可能接到植髮廣告。”一位大數據行業從業者有些無奈地介紹。

那麼個人信息泄露可能會造成什麼結果？

“首先是數據濫用，比如在營銷環節，大數據殺熟（互聯網企業提供同樣的商品或服務，但老客戶看到的價格反而比新客戶要貴出許多的現象。商家對個人數據分析後進行定價歧視。”專家表示，在國外還有濫用數據干預政府選舉的情況存在。

2018年3月，英國政治諮詢公司劍橋分析就曾未經授權收集使用8700萬名 Facebook 用戶的個人數據爲美國總統特朗普選舉服務。

同樣，信息繭房也值得關注。

復旦大學新聞學院執行院長、教授張濤甫曾撰文表示，算法推薦的問世和普及是媒介技術進步的體現，它讓信息與用戶實現精準對接，將信息與用戶進行個性化匹配。“算法的迎合式推薦會造成庸俗、低俗、媚俗信息氾濫，進而造成某些用戶低級趣味的固化和泛化。二是會形成信息‘繭房’問題。基於算法得出的針對特定用戶進行的個性化推薦，勢必造成用戶信息選擇面的收窄，彷彿在用戶周圍砌起了一堵牆，形成信息‘繭房’。”

多位行業人士都向記者表示，個人數據濫用、倒賣經常存在於營銷、信貸風控乃至詐騙。

2020年4月1日，北京市海淀公安、廣東省珠海市刑偵等多地警方發佈註銷網貸賬戶騙局的風險提醒，表示近期網貸詐騙手段又有抬頭之勢。

根據山西省運城市平路縣公安局介紹，有大學應屆生在2天之內被騙7萬元人民幣，起因是自稱是某網貸公司員工的人告訴他說，由於他註冊了某網貸公司賬戶，需要註銷學生賬戶，否則今後將無法借款。在此期間，騙子不僅發給他身份證、營業執照等信息證明其身份，而且騙子也可以準確說出該名應屆生的名字與身份證號碼，這位受害學生如今瀕臨自閉，既不敢告訴家人，又怕扛不下去，目前案件正在進一步處理中。

根據警方介紹，在詐騙過程中，騙子掌握了用戶詳細個人信息。

那麼數據泄露在法律上如何追責？

北京金誠同達（上海）律師事務所律師周晨黠告訴記者，首先是刑事方面，一般而言此類行爲相關的個人涉嫌侵犯公民個人信息罪，該罪需要行爲人存在對犯罪的故意或共識，因此如果涉案的機構不存在對泄露行爲的主觀故意，很難追究機構的刑事責任。其次是行政方面，現在我國在個人信息保護這塊的行政監管正在逐漸加強，如果機構存在管理疏忽、未能及時修復已經發現的漏洞、未能管理好合作的第三方等各類問題，導致發生數據泄露事件的，或者在發生數據泄露事件後未能及時採取措施導致損失進一步擴大的，機構很可能會受到行政部門的處罰。另外因爲目前法律法規對數據安全這塊的要求其實是比較高的，所以一旦發生數據泄露事件，往往能反過來查到企業的各種問題，因此這塊的風險是比較大的。第三是民事方面，現有的這方面案例並不多，實際判決機構承擔民事責任的也不多，但是考慮到民事案件的結果很大程度上取決於舉證情況，消費者或者用戶往往是因爲無法證明是機構泄露的數據，以及無法舉證證明具體的損失而導致敗訴。這一塊目前對於消費者或者用戶具體需要舉證到什麼程度的問題也可能會有轉變，同時考慮到監管層面對個人信息的不斷重視，未來此類案件也可能會繼續增多。

“應思考如何兼顧隱私保護與合理使用的途徑”上述專家建議，“目前數據安全方面，我個人認爲其最爲關鍵的仍是數據規範使用問題。從明確個人信息保存期限入手，釐清數據權屬與使用、共享的邊界。”

相關文章