不同場合使用相同的密碼會(huì)被黑客輕易獲得

　　暗網(wǎng)交易兇悍：信息失守正在拓廣金融“黑洞”

　　本報(bào)記者/鄭瑜/張榮旺/北京報(bào)道

　　互聯(lián)網(wǎng)時(shí)代，你恐怕已經(jīng)沒有了隱私。

　　你的個(gè)人信息因?yàn)檩p易地暴露在了各種數(shù)據(jù)流通的過程中，個(gè)人數(shù)據(jù)倒賣等黑色交易更是屢見不鮮。

　　日前，先是國內(nèi)5億用戶綁定手機(jī)號(hào)數(shù)據(jù)被掛上暗網(wǎng)（一種使用特殊加密技術(shù)刻意隱藏相關(guān)信息的互聯(lián)網(wǎng)）。隨后又有萬豪國際酒店集團(tuán)公告稱約520萬客人的信息可能被泄露，信息包含姓名、郵寄地址、電子郵箱、手機(jī)號(hào)等。

　　暗網(wǎng)，又被稱為“隱藏網(wǎng)”，訪問“暗網(wǎng)”需要多重特殊手段，普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問。

　　在暗網(wǎng)上，身份證使用軌跡售價(jià)0.02比特幣/份（現(xiàn)價(jià)折合人民幣1000元左右/份），其中包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄。截至2020年4月2日，記者發(fā)現(xiàn)的涉及暗網(wǎng)買賣的社交平臺(tái)機(jī)器人顯示，包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄的“身份證使用軌跡信息”近期已經(jīng)售出18件，近一周賣出5件。而其他不同賣家提供的身份證使用（軌跡）記錄商品售出件數(shù)也達(dá)到二十多件。

　　近年來，包括金融信息在內(nèi)的各種信息流向黑產(chǎn)，被用于金融信貸催收、營銷等各個(gè)領(lǐng)域。

　　“最快能查到借款人外賣最近一次訂單、5分鐘前的通話記錄?！蹦硣写笮懈綄俟厩按呤杖藛T告訴《中國經(jīng)營報(bào)》記者，催收公司一般會(huì)購買借款人資料，包括且不限于與身份證關(guān)聯(lián)的手機(jī)號(hào)、外賣、快遞、機(jī)票、火車票信息。

　　記者嘗試找到售賣信息的平臺(tái)，結(jié)果只花費(fèi)了約8元人民幣就買到了自己與其他家人的住址、平臺(tái)賬號(hào)、密碼等信息，所買信息準(zhǔn)確無誤。

　　花錢買來的信息利用無孔不入，甚至有人利用其違法犯罪。

　　4月2日，中國銀聯(lián)發(fā)布報(bào)告稱，51%的消費(fèi)者曾經(jīng)遇到過網(wǎng)絡(luò)詐騙。

　　近年來各地警方（北京、河南、廣東、山西、陜西）曾多次發(fā)布提示，讓市民警惕犯罪分子通過非法渠道獲取公民個(gè)人信息，電信詐騙犯罪。在警方發(fā)布的案例中，一位在校大學(xué)生因騙子自稱網(wǎng)貸平臺(tái)人員，且能夠說出自己的詳細(xì)信息而輕信對(duì)方，在短短2天時(shí)間內(nèi)被騙7萬元。

　　起源：內(nèi)部人員泄露與黑客攻擊

　　為何手機(jī)號(hào)、密碼等數(shù)據(jù)會(huì)遭到泄露？

　　有網(wǎng)絡(luò)安全人士表示，近年互聯(lián)網(wǎng)公司遭黑客攻擊，泄露用戶數(shù)據(jù)案件頻頻發(fā)生，加之近年來數(shù)據(jù)公司內(nèi)部人員泄露信息事件高發(fā)是數(shù)據(jù)泄露的主要原因。

　　近期，中國人民銀行（以下簡稱“央行”）發(fā)布金融消費(fèi)“套路”案例中介紹，某位客戶在某銀行辦理房貸、商貸等業(yè)務(wù)并查詢個(gè)人征信記錄后，常常接到小貸公司或銀行貸款的電話，詢問貸款需求。在客戶報(bào)案后發(fā)現(xiàn)是銀行內(nèi)部工作人員將他的個(gè)人信息倒賣給一些所謂的合作機(jī)構(gòu)?！霸撁y行工作人員違規(guī)販賣客戶賬戶信息、征信記錄等，涉嫌違法犯罪。”

　　亦有金融公司的工程師向記者分析道，數(shù)據(jù)泄露有兩種來源：一種是技術(shù)上從后臺(tái)數(shù)據(jù)庫導(dǎo)出，一種是業(yè)務(wù)人員從前臺(tái)導(dǎo)出。技術(shù)層面數(shù)據(jù)庫數(shù)據(jù)的泄露，有可能是公司技術(shù)人員非法拷貝數(shù)據(jù)庫中的數(shù)據(jù)，如果一家公司存在技術(shù)人員泄露數(shù)據(jù)的情況，則表明技術(shù)安全管理不到位；同時(shí)也有可能是被黑客攻擊導(dǎo)致泄露。一般情況來說，公司的系統(tǒng)都會(huì)有相應(yīng)的信息安防措施，因此由黑客攻擊導(dǎo)致的情況并不常見，但是黑客攻擊導(dǎo)致整個(gè)數(shù)據(jù)庫數(shù)據(jù)泄露的結(jié)果和影響通常會(huì)比較嚴(yán)重?！笆忻嫔献畛Ｒ姷氖菢I(yè)務(wù)人員對(duì)客戶信息的泄露，將客戶的個(gè)人信息導(dǎo)出，進(jìn)行倒賣。”工程師表示。

　　那么黑客是如何竊取到用戶隱私的？

　　其最常見的做法之一就是撞庫。撞庫是黑客通過已掌握的某個(gè)網(wǎng)站泄露用戶數(shù)據(jù)，嘗試登陸其他網(wǎng)站。

　　DCCI互聯(lián)網(wǎng)研究院院長、工信部信息通信經(jīng)濟(jì)專家委員會(huì)委員劉興亮告訴記者：“很多‘小白’（新手）用戶在不同網(wǎng)站使用的是相同的賬號(hào)密碼，黑客攻破了安全措施較低的論壇網(wǎng)站后，獲取的用戶名密碼往往會(huì)用來批量嘗試登陸其他網(wǎng)站，這就是黑客撞庫行為?！币簿褪钦f，如果你在不同場合使用相同的密碼，極有可能被黑客通過撞庫手法輕易獲得。

　　“與撞庫原理類似的是，現(xiàn)在有很多社交手機(jī)應(yīng)用軟件（APP），都具備自動(dòng)匹配手機(jī)通訊錄聯(lián)系人，成為社交軟件中的好友功能。在用戶同意這些APP讀取通訊錄權(quán)限的同時(shí)，APP開始自動(dòng)匹配通訊錄好友，將社交平臺(tái)賬號(hào)與手機(jī)號(hào)碼匹配?！鄙鲜龃髷?shù)據(jù)行業(yè)從業(yè)者表示：“此次備受關(guān)注的數(shù)據(jù)泄露事件，很有可能就是黑客偽造了一個(gè)本地通訊錄數(shù)據(jù)庫，數(shù)據(jù)庫中預(yù)先舉例大量手機(jī)號(hào)，再利用庫中大量手機(jī)號(hào)與APP匹配功能，將手機(jī)號(hào)與對(duì)應(yīng)賬號(hào)進(jìn)行一一匹配。黑客往往還會(huì)通過Python網(wǎng)絡(luò)爬蟲抓取大量網(wǎng)頁上社交平臺(tái)賬號(hào)相關(guān)數(shù)據(jù)，最后將匹配成功的數(shù)據(jù)（比如手機(jī)號(hào)、社交平臺(tái)賬號(hào)、賬號(hào)相關(guān)信息）通過爬蟲抓取一并保存，從而造成個(gè)人數(shù)據(jù)外泄?！?/p>

　　上述人士表示，數(shù)據(jù)過度采集情況一直存在，一方面，網(wǎng)絡(luò)爬蟲過度爬去網(wǎng)站信息，致使網(wǎng)站崩潰，網(wǎng)站用戶信息被竊。另一方面，APP過度收集用戶信息，包括隱蔽收集、誤導(dǎo)同意、強(qiáng)制授權(quán)、過度索權(quán)、超范圍手機(jī)個(gè)人信息及賬號(hào)注銷困難等。

　　近年，有關(guān)部門高度重視個(gè)人信息保護(hù)工作，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導(dǎo)成立了APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組，開展APP整改相關(guān)工作。

　　震驚：“金融信息實(shí)時(shí)查詢服務(wù)絕不僅是撞庫這么簡單”

　　有金融科技從業(yè)者表示，由于網(wǎng)絡(luò)黑產(chǎn)的存在與2017年之前信息安全混沌的狀態(tài)，在他看來信息批量倒賣已并非新鮮事，但現(xiàn)在暗網(wǎng)可以如此方便地指定查詢個(gè)人金融信息，還是令從業(yè)8年的他感到十分震驚。

　　“實(shí)時(shí)指定查詢某個(gè)人的銀行流水與余額絕非撞庫能做到的，極大可能是掌握金融機(jī)構(gòu)數(shù)據(jù)庫的內(nèi)部人員所為?！鄙鲜鼋鹑诳萍紡臉I(yè)者認(rèn)為。

　　在支付百元后，賣家向記者展示了通過姓名與某國有大行的銀行卡號(hào)，查詢銀行卡預(yù)留手機(jī)號(hào)碼和綁定的身份證號(hào)的功能。記者同時(shí)看到有些暗網(wǎng)賣家在銀行卡四要素（姓名、卡號(hào)、身份證號(hào)、預(yù)留手機(jī)）中，也會(huì)附帶著查看銀行卡余額的服務(wù)。

　　暗網(wǎng)上顯示，支付千元還可以查詢指定個(gè)人的銀行卡流水，包括一個(gè)月、三個(gè)月、半年、一年的多家銀行進(jìn)出賬單詳細(xì)單，售價(jià)為2000元人民幣起步。

　　在上述人士看來，數(shù)據(jù)流通過程中，數(shù)據(jù)權(quán)屬與授權(quán)不明，是導(dǎo)致個(gè)人數(shù)據(jù)倒賣等黑色交易激增，造成社會(huì)危害的重要原因。

　　有大數(shù)據(jù)金融公司人士表示，以上述所說的銀行四要素為例，掌握這些數(shù)據(jù)的機(jī)構(gòu)包括一切有可能獲取到數(shù)據(jù)的服務(wù)機(jī)構(gòu)，不單有銀行，還有基金公司、券商、支付機(jī)構(gòu)、甚至還有電商。也就是說，個(gè)人信息的泄露渠道多元，這很可能令人防不勝防。

　　渠道多元，環(huán)節(jié)更令人擔(dān)憂。

　　“有可能發(fā)生數(shù)據(jù)泄露的環(huán)節(jié)不勝枚舉。生活中很多環(huán)節(jié)，用戶都需要提交個(gè)人金融信息，比如房地產(chǎn)經(jīng)紀(jì)機(jī)構(gòu)在協(xié)助辦理房屋貸款等業(yè)務(wù)時(shí)，也能拿到用戶的銀行卡信息?！眲⑴d亮解釋道。

　　“目前泄露的數(shù)據(jù)，對(duì)于銀行來說，更多的是一個(gè)歷史問題。”某銀行人士表示：“相對(duì)近些年而言，銀行早年對(duì)于下屬經(jīng)營網(wǎng)點(diǎn)管理客戶信息保護(hù)方面，并不是特別重視。基層網(wǎng)點(diǎn)客戶四要素及其他開戶資料日積月累，逐漸成為金融信息黑產(chǎn)覬覦的目標(biāo)。為從中牟取利益，基層網(wǎng)點(diǎn)內(nèi)部員工甚至存在倒賣等違規(guī)行為，這也滋長了黑色交易。”

　　上述人士同時(shí)坦言，最近幾年，銀行及內(nèi)部員工主動(dòng)泄露用戶數(shù)據(jù)的可能性相對(duì)較低。因?yàn)槟壳般y行內(nèi)部各個(gè)環(huán)節(jié)與崗位，相互制約，比如管理權(quán)限的人員，不會(huì)掌握數(shù)據(jù)庫，掌握數(shù)據(jù)庫的員工，自己無法隨意查詢客戶信息。每一次數(shù)據(jù)的調(diào)用都需要各部門、各層級(jí)的層層審批，員工個(gè)人對(duì)外兜售數(shù)據(jù)情況可能性下降。 “此外，可以預(yù)見的是，隨著監(jiān)管打擊力度的不斷增強(qiáng)，銀行信息安全管理持續(xù)加碼，數(shù)據(jù)交互意愿或?qū)⑦M(jìn)一步降低?？繑?shù)據(jù)驅(qū)動(dòng)的金融科技企業(yè)也許會(huì)受到不小的影響?！?/p>

　　除了傳統(tǒng)金融機(jī)構(gòu)，非持牌的金融科技平臺(tái)與網(wǎng)貸平臺(tái)也是重災(zāi)區(qū)。

　　“我一直在還錢，但家人不堪其擾，催收員還能找到我在其他社交平臺(tái)的賬號(hào)。還差200多元（欠款）時(shí)，催收員威脅要上門收取千元上門費(fèi)。”一位網(wǎng)貸借款人表示。

　　記者曾經(jīng)獲得一份在暗網(wǎng)上兜售的網(wǎng)貸用戶數(shù)據(jù)，包含聯(lián)系人、月收入、工資發(fā)放形式、手機(jī)、工作時(shí)間、聯(lián)系地址、貸款額度等信息，并給出了部分詳細(xì)信息。記者致電上述數(shù)據(jù)中多位當(dāng)事人，他們表示個(gè)人信息真實(shí)。其中有用戶表示記者所述信息曾提供給過網(wǎng)貸機(jī)構(gòu)與銀行。

　　而該網(wǎng)貸平臺(tái)相關(guān)人士表示，不排除有人利用網(wǎng)上公開信息與其他平臺(tái)泄露的用戶數(shù)據(jù)，冒用公司名義出售。“同一個(gè)借款人普遍會(huì)注冊(cè)多個(gè)平臺(tái)的現(xiàn)象，這些數(shù)據(jù)如果去匹配其他網(wǎng)貸平臺(tái)，存在一定的命中率。比較常見的是一些倒閉的網(wǎng)貸平臺(tái)對(duì)于數(shù)據(jù)往往疏于管理與善后，造成的此種情況?！?/p>

　　后果：大數(shù)據(jù)殺熟、信息繭房、電信詐騙

　　事實(shí)上，被各種渠道暴露的不只是金融信息，個(gè)人的各種信息包括隱私都可能被泄露。

　　“當(dāng)前部分手機(jī)軟件擁有讀取用戶相冊(cè)權(quán)限，若自動(dòng)識(shí)別到照片上人像頭發(fā)稀疏，就有可能接到植發(fā)廣告?！币晃淮髷?shù)據(jù)行業(yè)從業(yè)者有些無奈地介紹。

　　那么個(gè)人信息泄露可能會(huì)造成什么結(jié)果？

　　“首先是數(shù)據(jù)濫用，比如在營銷環(huán)節(jié)，大數(shù)據(jù)殺熟（互聯(lián)網(wǎng)企業(yè)提供同樣的商品或服務(wù)，但老客戶看到的價(jià)格反而比新客戶要貴出許多的現(xiàn)象。商家對(duì)個(gè)人數(shù)據(jù)分析后進(jìn)行定價(jià)歧視?！睂＜冶硎?，在國外還有濫用數(shù)據(jù)干預(yù)政府選舉的情況存在。

　　2018年3月，英國政治咨詢公司劍橋分析就曾未經(jīng)授權(quán)收集使用8700萬名Facebook用戶的個(gè)人數(shù)據(jù)為美國總統(tǒng)特朗普選舉服務(wù)。

　　同樣，信息繭房也值得關(guān)注。

　　復(fù)旦大學(xué)新聞學(xué)院執(zhí)行院長、教授張濤甫曾撰文表示，算法推薦的問世和普及是媒介技術(shù)進(jìn)步的體現(xiàn)，它讓信息與用戶實(shí)現(xiàn)精準(zhǔn)對(duì)接，將信息與用戶進(jìn)行個(gè)性化匹配?！八惴ǖ挠鲜酵扑]會(huì)造成庸俗、低俗、媚俗信息泛濫，進(jìn)而造成某些用戶低級(jí)趣味的固化和泛化。二是會(huì)形成信息‘繭房’問題?；谒惴ǖ贸龅尼槍?duì)特定用戶進(jìn)行的個(gè)性化推薦，勢(shì)必造成用戶信息選擇面的收窄，仿佛在用戶周圍砌起了一堵墻，形成信息‘繭房’?！?/p>

　　多位行業(yè)人士都向記者表示，個(gè)人數(shù)據(jù)濫用、倒賣經(jīng)常存在于營銷、信貸風(fēng)控乃至詐騙。

　　2020年4月1日，北京市海淀公安、廣東省珠海市刑偵等多地警方發(fā)布注銷網(wǎng)貸賬戶騙局的風(fēng)險(xiǎn)提醒，表示近期網(wǎng)貸詐騙手段又有抬頭之勢(shì)。

　　根據(jù)山西省運(yùn)城市平路縣公安局介紹，有大學(xué)應(yīng)屆生在2天之內(nèi)被騙7萬元人民幣，起因是自稱是某網(wǎng)貸公司員工的人告訴他說，由于他注冊(cè)了某網(wǎng)貸公司賬戶，需要注銷學(xué)生賬戶，否則今后將無法借款。在此期間，騙子不僅發(fā)給他身份證、營業(yè)執(zhí)照等信息證明其身份，而且騙子也可以準(zhǔn)確說出該名應(yīng)屆生的名字與身份證號(hào)碼，這位受害學(xué)生如今瀕臨自閉，既不敢告訴家人，又怕扛不下去，目前案件正在進(jìn)一步處理中。

　　根據(jù)警方介紹，在詐騙過程中，騙子掌握了用戶詳細(xì)個(gè)人信息。

　　那么數(shù)據(jù)泄露在法律上如何追責(zé)？

　　北京金誠同達(dá)（上海）律師事務(wù)所律師周晨黠告訴記者，首先是刑事方面，一般而言此類行為相關(guān)的個(gè)人涉嫌侵犯公民個(gè)人信息罪，該罪需要行為人存在對(duì)犯罪的故意或共識(shí)，因此如果涉案的機(jī)構(gòu)不存在對(duì)泄露行為的主觀故意，很難追究機(jī)構(gòu)的刑事責(zé)任。其次是行政方面，現(xiàn)在我國在個(gè)人信息保護(hù)這塊的行政監(jiān)管正在逐漸加強(qiáng)，如果機(jī)構(gòu)存在管理疏忽、未能及時(shí)修復(fù)已經(jīng)發(fā)現(xiàn)的漏洞、未能管理好合作的第三方等各類問題，導(dǎo)致發(fā)生數(shù)據(jù)泄露事件的，或者在發(fā)生數(shù)據(jù)泄露事件后未能及時(shí)采取措施導(dǎo)致?lián)p失進(jìn)一步擴(kuò)大的，機(jī)構(gòu)很可能會(huì)受到行政部門的處罰。另外因?yàn)槟壳胺煞ㄒ?guī)對(duì)數(shù)據(jù)安全這塊的要求其實(shí)是比較高的，所以一旦發(fā)生數(shù)據(jù)泄露事件，往往能反過來查到企業(yè)的各種問題，因此這塊的風(fēng)險(xiǎn)是比較大的。第三是民事方面，現(xiàn)有的這方面案例并不多，實(shí)際判決機(jī)構(gòu)承擔(dān)民事責(zé)任的也不多，但是考慮到民事案件的結(jié)果很大程度上取決于舉證情況，消費(fèi)者或者用戶往往是因?yàn)闊o法證明是機(jī)構(gòu)泄露的數(shù)據(jù)，以及無法舉證證明具體的損失而導(dǎo)致敗訴。這一塊目前對(duì)于消費(fèi)者或者用戶具體需要舉證到什么程度的問題也可能會(huì)有轉(zhuǎn)變，同時(shí)考慮到監(jiān)管層面對(duì)個(gè)人信息的不斷重視，未來此類案件也可能會(huì)繼續(xù)增多。

　　“應(yīng)思考如何兼顧隱私保護(hù)與合理使用的途徑”上述專家建議，“目前數(shù)據(jù)安全方面，我個(gè)人認(rèn)為其最為關(guān)鍵的仍是數(shù)據(jù)規(guī)范使用問題。從明確個(gè)人信息保存期限入手，厘清數(shù)據(jù)權(quán)屬與使用、共享的邊界?！?/p>