原标题:暗网交易凶悍:信息失守正在拓广金融“黑洞”
互联网时代,你恐怕已经没有了隐私。
你的个人信息因为轻易地暴露在了各种数据流通的过程中,个人数据倒卖等黑色交易更是屡见不鲜。
日前,先是国内5亿用户绑定手机号数据被挂上暗网(一种使用特殊加密技术刻意隐藏相关信息的互联网)。随后又有万豪国际酒店集团公告称约520万客人的信息可能被泄露,信息包含姓名、邮寄地址、电子邮箱、手机号等。
暗网,又被称为“隐藏网”,访问“暗网”需要多重特殊手段,普通用户无法通过常规互联网手段搜索和访问。
在暗网上,身份证使用轨迹售价0.02比特币/份(现价折合人民币1000元左右/份),其中包含银行、住宿、铁路、民航(交通)等身份证使用记录。截至2020年4月2日,记者发现的涉及暗网买卖的社交平台机器人显示,包含银行、住宿、铁路、民航(交通)等身份证使用记录的“身份证使用轨迹信息”近期已经售出18件,近一周卖出5件。而其他不同卖家提供的身份证使用(轨迹)记录商品售出件数也达到二十多件。
近年来,包括金融信息在内的各种信息流向黑产,被用于金融信贷催收、营销等各个领域。
“最快能查到借款人外卖最近一次订单、5分钟前的通话记录。”某国有大行附属公司前催收人员告诉《中国经营报》记者,催收公司一般会购买借款人资料,包括且不限于与身份证关联的手机号、外卖、快递、机票、火车票信息。
记者尝试找到售卖信息的平台,结果只花费了约8元人民币就买到了自己与其他家人的住址、平台账号、密码等信息,所买信息准确无误。
花钱买来的信息利用无孔不入,甚至有人利用其违法犯罪。
4月2日,中国银联发布报告称,51%的消费者曾经遇到过网络诈骗。
近年来各地警方(北京、河南、广东、山西、陕西)曾多次发布提示,让市民警惕犯罪分子通过非法渠道获取公民个人信息,电信诈骗犯罪。在警方发布的案例中,一位在校大学生因骗子自称网贷平台人员,且能够说出自己的详细信息而轻信对方,在短短2天时间内被骗7万元。
起源:内部人员泄露与黑客攻击
为何手机号、密码等数据会遭到泄露?
有网络安全人士表示,近年互联网公司遭黑客攻击,泄露用户数据案件频频发生,加之近年来数据公司内部人员泄露信息事件高发是数据泄露的主要原因。
近期,中国人民银行(以下简称“央行”)发布金融消费“套路”案例中介绍,某位客户在某银行办理房贷、商贷等业务并查询个人征信记录后,常常接到小贷公司或银行贷款的电话,询问贷款需求。在客户报案后发现是银行内部工作人员将他的个人信息倒卖给一些所谓的合作机构。“该名银行工作人员违规贩卖客户账户信息、征信记录等,涉嫌违法犯罪。”
亦有金融公司的工程师向记者分析道,数据泄露有两种来源:一种是技术上从后台数据库导出,一种是业务人员从前台导出。技术层面数据库数据的泄露,有可能是公司技术人员非法拷贝数据库中的数据,如果一家公司存在技术人员泄露数据的情况,则表明技术安全管理不到位;同时也有可能是被黑客攻击导致泄露。一般情况来说,公司的系统都会有相应的信息安防措施,因此由黑客攻击导致的情况并不常见,但是黑客攻击导致整个数据库数据泄露的结果和影响通常会比较严重。“市面上最常见的是业务人员对客户信息的泄露,将客户的个人信息导出,进行倒卖。”工程师表示。
那么黑客是如何窃取到用户隐私的?
其最常见的做法之一就是撞库。撞库是黑客通过已掌握的某个网站泄露用户数据,尝试登陆其他网站。
DCCI互联网研究院院长、工信部信息通信经济专家委员会委员刘兴亮告诉记者:“很多‘小白’(新手)用户在不同网站使用的是相同的账号密码,黑客攻破了安全措施较低的论坛网站后,获取的用户名密码往往会用来批量尝试登陆其他网站,这就是黑客撞库行为。”也就是说,如果你在不同场合使用相同的密码,极有可能被黑客通过撞库手法轻易获得。
“与撞库原理类似的是,现在有很多社交手机应用软件(APP),都具备自动匹配手机通讯录联系人,成为社交软件中的好友功能。在用户同意这些APP读取通讯录权限的同时,APP开始自动匹配通讯录好友,将社交平台账号与手机号码匹配。”上述大数据行业从业者表示:“此次备受关注的数据泄露事件,很有可能就是黑客伪造了一个本地通讯录数据库,数据库中预先举例大量手机号,再利用库中大量手机号与APP匹配功能,将手机号与对应账号进行一一匹配。黑客往往还会通过Python网络爬虫抓取大量网页上社交平台账号相关数据,最后将匹配成功的数据(比如手机号、社交平台账号、账号相关信息)通过爬虫抓取一并保存,从而造成个人数据外泄。”
上述人士表示,数据过度采集情况一直存在,一方面,网络爬虫过度爬去网站信息,致使网站崩溃,网站用户信息被窃。另一方面,APP过度收集用户信息,包括隐蔽收集、误导同意、强制授权、过度索权、超范围手机个人信息及账号注销困难等。
近年,有关部门高度重视个人信息保护工作,中央网信办、工信部、公安部、市场监管总局指导成立了APP违法违规收集使用个人信息专项治理工作组,开展APP整改相关工作。
震惊:“金融信息实时查询服务绝不仅是撞库这么简单”
有金融科技从业者表示,由于网络黑产的存在与2017年之前信息安全混沌的状态,在他看来信息批量倒卖已并非新鲜事,但现在暗网可以如此方便地指定查询个人金融信息,还是令从业8年的他感到十分震惊。
“实时指定查询某个人的银行流水与余额绝非撞库能做到的,极大可能是掌握金融机构数据库的内部人员所为。”上述金融科技从业者认为。
