不同場合使用相同的密碼會被黑客輕易獲得

　　暗網(wǎng)交易兇悍：信息失守正在拓廣金融“黑洞”

　　本報記者/鄭瑜/張榮旺/北京報道

　　互聯(lián)網(wǎng)時代，你恐怕已經(jīng)沒有了隱私。

　　你的個人信息因為輕易地暴露在了各種數(shù)據(jù)流通的過程中，個人數(shù)據(jù)倒賣等黑色交易更是屢見不鮮。

　　日前，先是國內(nèi)5億用戶綁定手機號數(shù)據(jù)被掛上暗網(wǎng)（一種使用特殊加密技術(shù)刻意隱藏相關(guān)信息的互聯(lián)網(wǎng)）。隨后又有萬豪國際酒店集團公告稱約520萬客人的信息可能被泄露，信息包含姓名、郵寄地址、電子郵箱、手機號等。

　　暗網(wǎng)，又被稱為“隱藏網(wǎng)”，訪問“暗網(wǎng)”需要多重特殊手段，普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問。

　　在暗網(wǎng)上，身份證使用軌跡售價0.02比特幣/份（現(xiàn)價折合人民幣1000元左右/份），其中包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄。截至2020年4月2日，記者發(fā)現(xiàn)的涉及暗網(wǎng)買賣的社交平臺機器人顯示，包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄的“身份證使用軌跡信息”近期已經(jīng)售出18件，近一周賣出5件。而其他不同賣家提供的身份證使用（軌跡）記錄商品售出件數(shù)也達到二十多件。

　　近年來，包括金融信息在內(nèi)的各種信息流向黑產(chǎn)，被用于金融信貸催收、營銷等各個領(lǐng)域。

　　“最快能查到借款人外賣最近一次訂單、5分鐘前的通話記錄。”某國有大行附屬公司前催收人員告訴《中國經(jīng)營報》記者，催收公司一般會購買借款人資料，包括且不限于與身份證關(guān)聯(lián)的手機號、外賣、快遞、機票、火車票信息。

　　記者嘗試找到售賣信息的平臺，結(jié)果只花費了約8元人民幣就買到了自己與其他家人的住址、平臺賬號、密碼等信息，所買信息準確無誤。

　　花錢買來的信息利用無孔不入，甚至有人利用其違法犯罪。

　　4月2日，中國銀聯(lián)發(fā)布報告稱，51%的消費者曾經(jīng)遇到過網(wǎng)絡(luò)詐騙。

　　近年來各地警方（北京、河南、廣東、山西、陜西）曾多次發(fā)布提示，讓市民警惕犯罪分子通過非法渠道獲取公民個人信息，電信詐騙犯罪。在警方發(fā)布的案例中，一位在校大學生因騙子自稱網(wǎng)貸平臺人員，且能夠說出自己的詳細信息而輕信對方，在短短2天時間內(nèi)被騙7萬元。

　　起源：內(nèi)部人員泄露與黑客攻擊

　　為何手機號、密碼等數(shù)據(jù)會遭到泄露？

　　有網(wǎng)絡(luò)安全人士表示，近年互聯(lián)網(wǎng)公司遭黑客攻擊，泄露用戶數(shù)據(jù)案件頻頻發(fā)生，加之近年來數(shù)據(jù)公司內(nèi)部人員泄露信息事件高發(fā)是數(shù)據(jù)泄露的主要原因。

　　近期，中國人民銀行（以下簡稱“央行”）發(fā)布金融消費“套路”案例中介紹，某位客戶在某銀行辦理房貸、商貸等業(yè)務(wù)并查詢個人征信記錄后，常常接到小貸公司或銀行貸款的電話，詢問貸款需求。在客戶報案后發(fā)現(xiàn)是銀行內(nèi)部工作人員將他的個人信息倒賣給一些所謂的合作機構(gòu)?！霸撁y行工作人員違規(guī)販賣客戶賬戶信息、征信記錄等，涉嫌違法犯罪。”

　　亦有金融公司的工程師向記者分析道，數(shù)據(jù)泄露有兩種來源：一種是技術(shù)上從后臺數(shù)據(jù)庫導出，一種是業(yè)務(wù)人員從前臺導出。技術(shù)層面數(shù)據(jù)庫數(shù)據(jù)的泄露，有可能是公司技術(shù)人員非法拷貝數(shù)據(jù)庫中的數(shù)據(jù)，如果一家公司存在技術(shù)人員泄露數(shù)據(jù)的情況，則表明技術(shù)安全管理不到位；同時也有可能是被黑客攻擊導致泄露。一般情況來說，公司的系統(tǒng)都會有相應(yīng)的信息安防措施，因此由黑客攻擊導致的情況并不常見，但是黑客攻擊導致整個數(shù)據(jù)庫數(shù)據(jù)泄露的結(jié)果和影響通常會比較嚴重?！笆忻嫔献畛Ｒ姷氖菢I(yè)務(wù)人員對客戶信息的泄露，將客戶的個人信息導出，進行倒賣?！惫こ處煴硎?。

　　那么黑客是如何竊取到用戶隱私的？

　　其最常見的做法之一就是撞庫。撞庫是黑客通過已掌握的某個網(wǎng)站泄露用戶數(shù)據(jù)，嘗試登陸其他網(wǎng)站。

　　DCCI互聯(lián)網(wǎng)研究院院長、工信部信息通信經(jīng)濟專家委員會委員劉興亮告訴記者：“很多‘小白’（新手）用戶在不同網(wǎng)站使用的是相同的賬號密碼，黑客攻破了安全措施較低的論壇網(wǎng)站后，獲取的用戶名密碼往往會用來批量嘗試登陸其他網(wǎng)站，這就是黑客撞庫行為?！币簿褪钦f，如果你在不同場合使用相同的密碼，極有可能被黑客通過撞庫手法輕易獲得。

　　“與撞庫原理類似的是，現(xiàn)在有很多社交手機應(yīng)用軟件（APP），都具備自動匹配手機通訊錄聯(lián)系人，成為社交軟件中的好友功能。在用戶同意這些APP讀取通訊錄權(quán)限的同時，APP開始自動匹配通訊錄好友，將社交平臺賬號與手機號碼匹配?！鄙鲜龃髷?shù)據(jù)行業(yè)從業(yè)者表示：“此次備受關(guān)注的數(shù)據(jù)泄露事件，很有可能就是黑客偽造了一個本地通訊錄數(shù)據(jù)庫，數(shù)據(jù)庫中預先舉例大量手機號，再利用庫中大量手機號與APP匹配功能，將手機號與對應(yīng)賬號進行一一匹配。黑客往往還會通過Python網(wǎng)絡(luò)爬蟲抓取大量網(wǎng)頁上社交平臺賬號相關(guān)數(shù)據(jù)，最后將匹配成功的數(shù)據(jù)（比如手機號、社交平臺賬號、賬號相關(guān)信息）通過爬蟲抓取一并保存，從而造成個人數(shù)據(jù)外泄?！?/p>

　　上述人士表示，數(shù)據(jù)過度采集情況一直存在，一方面，網(wǎng)絡(luò)爬蟲過度爬去網(wǎng)站信息，致使網(wǎng)站崩潰，網(wǎng)站用戶信息被竊。另一方面，APP過度收集用戶信息，包括隱蔽收集、誤導同意、強制授權(quán)、過度索權(quán)、超范圍手機個人信息及賬號注銷困難等。

　　近年，有關(guān)部門高度重視個人信息保護工作，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導成立了APP違法違規(guī)收集使用個人信息專項治理工作組，開展APP整改相關(guān)工作。

　　震驚：“金融信息實時查詢服務(wù)絕不僅是撞庫這么簡單”

　　有金融科技從業(yè)者表示，由于網(wǎng)絡(luò)黑產(chǎn)的存在與2017年之前信息安全混沌的狀態(tài)，在他看來信息批量倒賣已并非新鮮事，但現(xiàn)在暗網(wǎng)可以如此方便地指定查詢個人金融信息，還是令從業(yè)8年的他感到十分震驚。

　　“實時指定查詢某個人的銀行流水與余額絕非撞庫能做到的，極大可能是掌握金融機構(gòu)數(shù)據(jù)庫的內(nèi)部人員所為?！鄙鲜鼋鹑诳萍紡臉I(yè)者認為。

　　在支付百元后，賣家向記者展示了通過姓名與某國有大行的銀行卡號，查詢銀行卡預留手機號碼和綁定的身份證號的功能。記者同時看到有些暗網(wǎng)賣家在銀行卡四要素（姓名、卡號、身份證號、預留手機）中，也會附帶著查看銀行卡余額的服務(wù)。

　　暗網(wǎng)上顯示，支付千元還可以查詢指定個人的銀行卡流水，包括一個月、三個月、半年、一年的多家銀行進出賬單詳細單，售價為2000元人民幣起步。

　　在上述人士看來，數(shù)據(jù)流通過程中，數(shù)據(jù)權(quán)屬與授權(quán)不明，是導致個人數(shù)據(jù)倒賣等黑色交易激增，造成社會危害的重要原因。

　　有大數(shù)據(jù)金融公司人士表示，以上述所說的銀行四要素為例，掌握這些數(shù)據(jù)的機構(gòu)包括一切有可能獲取到數(shù)據(jù)的服務(wù)機構(gòu)，不單有銀行，還有基金公司、券商、支付機構(gòu)、甚至還有電商。也就是說，個人信息的泄露渠道多元，這很可能令人防不勝防。

　　渠道多元，環(huán)節(jié)更令人擔憂。

　　“有可能發(fā)生數(shù)據(jù)泄露的環(huán)節(jié)不勝枚舉。生活中很多環(huán)節(jié)，用戶都需要提交個人金融信息，比如房地產(chǎn)經(jīng)紀機構(gòu)在協(xié)助辦理房屋貸款等業(yè)務(wù)時，也能拿到用戶的銀行卡信息?！眲⑴d亮解釋道。

　　“目前泄露的數(shù)據(jù)，對于銀行來說，更多的是一個歷史問題?！蹦炽y行人士表示：“相對近些年而言，銀行早年對于下屬經(jīng)營網(wǎng)點管理客戶信息保護方面，并不是特別重視。基層網(wǎng)點客戶四要素及其他開戶資料日積月累，逐漸成為金融信息黑產(chǎn)覬覦的目標。為從中牟取利益，基層網(wǎng)點內(nèi)部員工甚至存在倒賣等違規(guī)行為，這也滋長了黑色交易?！?/p>

　　上述人士同時坦言，最近幾年，銀行及內(nèi)部員工主動泄露用戶數(shù)據(jù)的可能性相對較低。因為目前銀行內(nèi)部各個環(huán)節(jié)與崗位，相互制約，比如管理權(quán)限的人員，不會掌握數(shù)據(jù)庫，掌握數(shù)據(jù)庫的員工，自己無法隨意查詢客戶信息。每一次數(shù)據(jù)的調(diào)用都需要各部門、各層級的層層審批，員工個人對外兜售數(shù)據(jù)情況可能性下降。 “此外，可以預見的是，隨著監(jiān)管打擊力度的不斷增強，銀行信息安全管理持續(xù)加碼，數(shù)據(jù)交互意愿或?qū)⑦M一步降低?？繑?shù)據(jù)驅(qū)動的金融科技企業(yè)也許會受到不小的影響。”

　　除了傳統(tǒng)金融機構(gòu)，非持牌的金融科技平臺與網(wǎng)貸平臺也是重災區(qū)。

　　“我一直在還錢，但家人不堪其擾，催收員還能找到我在其他社交平臺的賬號。還差200多元（欠款）時，催收員威脅要上門收取千元上門費。”一位網(wǎng)貸借款人表示。

　　記者曾經(jīng)獲得一份在暗網(wǎng)上兜售的網(wǎng)貸用戶數(shù)據(jù)，包含聯(lián)系人、月收入、工資發(fā)放形式、手機、工作時間、聯(lián)系地址、貸款額度等信息，并給出了部分詳細信息。記者致電上述數(shù)據(jù)中多位當事人，他們表示個人信息真實。其中有用戶表示記者所述信息曾提供給過網(wǎng)貸機構(gòu)與銀行。

　　而該網(wǎng)貸平臺相關(guān)人士表示，不排除有人利用網(wǎng)上公開信息與其他平臺泄露的用戶數(shù)據(jù)，冒用公司名義出售?！巴粋€借款人普遍會注冊多個平臺的現(xiàn)象，這些數(shù)據(jù)如果去匹配其他網(wǎng)貸平臺，存在一定的命中率。比較常見的是一些倒閉的網(wǎng)貸平臺對于數(shù)據(jù)往往疏于管理與善后，造成的此種情況?！?/p>

　　后果：大數(shù)據(jù)殺熟、信息繭房、電信詐騙

　　事實上，被各種渠道暴露的不只是金融信息，個人的各種信息包括隱私都可能被泄露。

　　“當前部分手機軟件擁有讀取用戶相冊權(quán)限，若自動識別到照片上人像頭發(fā)稀疏，就有可能接到植發(fā)廣告?！币晃淮髷?shù)據(jù)行業(yè)從業(yè)者有些無奈地介紹。

　　那么個人信息泄露可能會造成什么結(jié)果？

　　“首先是數(shù)據(jù)濫用，比如在營銷環(huán)節(jié)，大數(shù)據(jù)殺熟（互聯(lián)網(wǎng)企業(yè)提供同樣的商品或服務(wù)，但老客戶看到的價格反而比新客戶要貴出許多的現(xiàn)象。商家對個人數(shù)據(jù)分析后進行定價歧視?！睂＜冶硎?，在國外還有濫用數(shù)據(jù)干預政府選舉的情況存在。

　　2018年3月，英國政治咨詢公司劍橋分析就曾未經(jīng)授權(quán)收集使用8700萬名Facebook用戶的個人數(shù)據(jù)為美國總統(tǒng)特朗普選舉服務(wù)。

　　同樣，信息繭房也值得關(guān)注。

　　復旦大學新聞學院執(zhí)行院長、教授張濤甫曾撰文表示，算法推薦的問世和普及是媒介技術(shù)進步的體現(xiàn)，它讓信息與用戶實現(xiàn)精準對接，將信息與用戶進行個性化匹配。“算法的迎合式推薦會造成庸俗、低俗、媚俗信息泛濫，進而造成某些用戶低級趣味的固化和泛化。二是會形成信息‘繭房’問題?；谒惴ǖ贸龅尼槍μ囟ㄓ脩暨M行的個性化推薦，勢必造成用戶信息選擇面的收窄，仿佛在用戶周圍砌起了一堵墻，形成信息‘繭房’?！?/p>

　　多位行業(yè)人士都向記者表示，個人數(shù)據(jù)濫用、倒賣經(jīng)常存在于營銷、信貸風控乃至詐騙。

　　2020年4月1日，北京市海淀公安、廣東省珠海市刑偵等多地警方發(fā)布注銷網(wǎng)貸賬戶騙局的風險提醒，表示近期網(wǎng)貸詐騙手段又有抬頭之勢。

　　根據(jù)山西省運城市平路縣公安局介紹，有大學應(yīng)屆生在2天之內(nèi)被騙7萬元人民幣，起因是自稱是某網(wǎng)貸公司員工的人告訴他說，由于他注冊了某網(wǎng)貸公司賬戶，需要注銷學生賬戶，否則今后將無法借款。在此期間，騙子不僅發(fā)給他身份證、營業(yè)執(zhí)照等信息證明其身份，而且騙子也可以準確說出該名應(yīng)屆生的名字與身份證號碼，這位受害學生如今瀕臨自閉，既不敢告訴家人，又怕扛不下去，目前案件正在進一步處理中。

　　根據(jù)警方介紹，在詐騙過程中，騙子掌握了用戶詳細個人信息。

　　那么數(shù)據(jù)泄露在法律上如何追責？

　　北京金誠同達（上海）律師事務(wù)所律師周晨黠告訴記者，首先是刑事方面，一般而言此類行為相關(guān)的個人涉嫌侵犯公民個人信息罪，該罪需要行為人存在對犯罪的故意或共識，因此如果涉案的機構(gòu)不存在對泄露行為的主觀故意，很難追究機構(gòu)的刑事責任。其次是行政方面，現(xiàn)在我國在個人信息保護這塊的行政監(jiān)管正在逐漸加強，如果機構(gòu)存在管理疏忽、未能及時修復已經(jīng)發(fā)現(xiàn)的漏洞、未能管理好合作的第三方等各類問題，導致發(fā)生數(shù)據(jù)泄露事件的，或者在發(fā)生數(shù)據(jù)泄露事件后未能及時采取措施導致?lián)p失進一步擴大的，機構(gòu)很可能會受到行政部門的處罰。另外因為目前法律法規(guī)對數(shù)據(jù)安全這塊的要求其實是比較高的，所以一旦發(fā)生數(shù)據(jù)泄露事件，往往能反過來查到企業(yè)的各種問題，因此這塊的風險是比較大的。第三是民事方面，現(xiàn)有的這方面案例并不多，實際判決機構(gòu)承擔民事責任的也不多，但是考慮到民事案件的結(jié)果很大程度上取決于舉證情況，消費者或者用戶往往是因為無法證明是機構(gòu)泄露的數(shù)據(jù)，以及無法舉證證明具體的損失而導致敗訴。這一塊目前對于消費者或者用戶具體需要舉證到什么程度的問題也可能會有轉(zhuǎn)變，同時考慮到監(jiān)管層面對個人信息的不斷重視，未來此類案件也可能會繼續(xù)增多。

　　“應(yīng)思考如何兼顧隱私保護與合理使用的途徑”上述專家建議，“目前數(shù)據(jù)安全方面，我個人認為其最為關(guān)鍵的仍是數(shù)據(jù)規(guī)范使用問題。從明確個人信息保存期限入手，厘清數(shù)據(jù)權(quán)屬與使用、共享的邊界?！?/p>