不同場合使用相同的密碼會被黑客輕易獲得

　　暗網交易兇悍：信息失守正在拓廣金融“黑洞”

　　本報記者/鄭瑜/張榮旺/北京報道

　　互聯(lián)網時代，你恐怕已經沒有了隱私。

　　你的個人信息因為輕易地暴露在了各種數據流通的過程中，個人數據倒賣等黑色交易更是屢見不鮮。

　　日前，先是國內5億用戶綁定手機號數據被掛上暗網（一種使用特殊加密技術刻意隱藏相關信息的互聯(lián)網）。隨后又有萬豪國際酒店集團公告稱約520萬客人的信息可能被泄露，信息包含姓名、郵寄地址、電子郵箱、手機號等。

　　暗網，又被稱為“隱藏網”，訪問“暗網”需要多重特殊手段，普通用戶無法通過常規(guī)互聯(lián)網手段搜索和訪問。

　　在暗網上，身份證使用軌跡售價0.02比特幣/份（現(xiàn)價折合人民幣1000元左右/份），其中包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄。截至2020年4月2日，記者發(fā)現(xiàn)的涉及暗網買賣的社交平臺機器人顯示，包含銀行、住宿、鐵路、民航（交通）等身份證使用記錄的“身份證使用軌跡信息”近期已經售出18件，近一周賣出5件。而其他不同賣家提供的身份證使用（軌跡）記錄商品售出件數也達到二十多件。

　　近年來，包括金融信息在內的各種信息流向黑產，被用于金融信貸催收、營銷等各個領域。

　　“最快能查到借款人外賣最近一次訂單、5分鐘前的通話記錄。”某國有大行附屬公司前催收人員告訴《中國經營報》記者，催收公司一般會購買借款人資料，包括且不限于與身份證關聯(lián)的手機號、外賣、快遞、機票、火車票信息。

　　記者嘗試找到售賣信息的平臺，結果只花費了約8元人民幣就買到了自己與其他家人的住址、平臺賬號、密碼等信息，所買信息準確無誤。

　　花錢買來的信息利用無孔不入，甚至有人利用其違法犯罪。

　　4月2日，中國銀聯(lián)發(fā)布報告稱，51%的消費者曾經遇到過網絡詐騙。

　　近年來各地警方（北京、河南、廣東、山西、陜西）曾多次發(fā)布提示，讓市民警惕犯罪分子通過非法渠道獲取公民個人信息，電信詐騙犯罪。在警方發(fā)布的案例中，一位在校大學生因騙子自稱網貸平臺人員，且能夠說出自己的詳細信息而輕信對方，在短短2天時間內被騙7萬元。

　　起源：內部人員泄露與黑客攻擊

　　為何手機號、密碼等數據會遭到泄露？

　　有網絡安全人士表示，近年互聯(lián)網公司遭黑客攻擊，泄露用戶數據案件頻頻發(fā)生，加之近年來數據公司內部人員泄露信息事件高發(fā)是數據泄露的主要原因。

　　近期，中國人民銀行（以下簡稱“央行”）發(fā)布金融消費“套路”案例中介紹，某位客戶在某銀行辦理房貸、商貸等業(yè)務并查詢個人征信記錄后，常常接到小貸公司或銀行貸款的電話，詢問貸款需求。在客戶報案后發(fā)現(xiàn)是銀行內部工作人員將他的個人信息倒賣給一些所謂的合作機構?！霸撁y行工作人員違規(guī)販賣客戶賬戶信息、征信記錄等，涉嫌違法犯罪?！?/p>

　　亦有金融公司的工程師向記者分析道，數據泄露有兩種來源：一種是技術上從后臺數據庫導出，一種是業(yè)務人員從前臺導出。技術層面數據庫數據的泄露，有可能是公司技術人員非法拷貝數據庫中的數據，如果一家公司存在技術人員泄露數據的情況，則表明技術安全管理不到位；同時也有可能是被黑客攻擊導致泄露。一般情況來說，公司的系統(tǒng)都會有相應的信息安防措施，因此由黑客攻擊導致的情況并不常見，但是黑客攻擊導致整個數據庫數據泄露的結果和影響通常會比較嚴重。“市面上最常見的是業(yè)務人員對客戶信息的泄露，將客戶的個人信息導出，進行倒賣。”工程師表示。

　　那么黑客是如何竊取到用戶隱私的？

　　其最常見的做法之一就是撞庫。撞庫是黑客通過已掌握的某個網站泄露用戶數據，嘗試登陸其他網站。

　　DCCI互聯(lián)網研究院院長、工信部信息通信經濟專家委員會委員劉興亮告訴記者：“很多‘小白’（新手）用戶在不同網站使用的是相同的賬號密碼，黑客攻破了安全措施較低的論壇網站后，獲取的用戶名密碼往往會用來批量嘗試登陸其他網站，這就是黑客撞庫行為?！币簿褪钦f，如果你在不同場合使用相同的密碼，極有可能被黑客通過撞庫手法輕易獲得。

　　“與撞庫原理類似的是，現(xiàn)在有很多社交手機應用軟件（APP），都具備自動匹配手機通訊錄聯(lián)系人，成為社交軟件中的好友功能。在用戶同意這些APP讀取通訊錄權限的同時，APP開始自動匹配通訊錄好友，將社交平臺賬號與手機號碼匹配?！鄙鲜龃髷祿袠I(yè)從業(yè)者表示：“此次備受關注的數據泄露事件，很有可能就是黑客偽造了一個本地通訊錄數據庫，數據庫中預先舉例大量手機號，再利用庫中大量手機號與APP匹配功能，將手機號與對應賬號進行一一匹配。黑客往往還會通過Python網絡爬蟲抓取大量網頁上社交平臺賬號相關數據，最后將匹配成功的數據（比如手機號、社交平臺賬號、賬號相關信息）通過爬蟲抓取一并保存，從而造成個人數據外泄?！?/p>

　　上述人士表示，數據過度采集情況一直存在，一方面，網絡爬蟲過度爬去網站信息，致使網站崩潰，網站用戶信息被竊。另一方面，APP過度收集用戶信息，包括隱蔽收集、誤導同意、強制授權、過度索權、超范圍手機個人信息及賬號注銷困難等。

　　近年，有關部門高度重視個人信息保護工作，中央網信辦、工信部、公安部、市場監(jiān)管總局指導成立了APP違法違規(guī)收集使用個人信息專項治理工作組，開展APP整改相關工作。

　　震驚：“金融信息實時查詢服務絕不僅是撞庫這么簡單”

　　有金融科技從業(yè)者表示，由于網絡黑產的存在與2017年之前信息安全混沌的狀態(tài)，在他看來信息批量倒賣已并非新鮮事，但現(xiàn)在暗網可以如此方便地指定查詢個人金融信息，還是令從業(yè)8年的他感到十分震驚。

　　“實時指定查詢某個人的銀行流水與余額絕非撞庫能做到的，極大可能是掌握金融機構數據庫的內部人員所為?！鄙鲜鼋鹑诳萍紡臉I(yè)者認為。

　　在支付百元后，賣家向記者展示了通過姓名與某國有大行的銀行卡號，查詢銀行卡預留手機號碼和綁定的身份證號的功能。記者同時看到有些暗網賣家在銀行卡四要素（姓名、卡號、身份證號、預留手機）中，也會附帶著查看銀行卡余額的服務。

　　暗網上顯示，支付千元還可以查詢指定個人的銀行卡流水，包括一個月、三個月、半年、一年的多家銀行進出賬單詳細單，售價為2000元人民幣起步。

　　在上述人士看來，數據流通過程中，數據權屬與授權不明，是導致個人數據倒賣等黑色交易激增，造成社會危害的重要原因。

　　有大數據金融公司人士表示，以上述所說的銀行四要素為例，掌握這些數據的機構包括一切有可能獲取到數據的服務機構，不單有銀行，還有基金公司、券商、支付機構、甚至還有電商。也就是說，個人信息的泄露渠道多元，這很可能令人防不勝防。

　　渠道多元，環(huán)節(jié)更令人擔憂。

　　“有可能發(fā)生數據泄露的環(huán)節(jié)不勝枚舉。生活中很多環(huán)節(jié)，用戶都需要提交個人金融信息，比如房地產經紀機構在協(xié)助辦理房屋貸款等業(yè)務時，也能拿到用戶的銀行卡信息?！眲⑴d亮解釋道。

　　“目前泄露的數據，對于銀行來說，更多的是一個歷史問題?！蹦炽y行人士表示：“相對近些年而言，銀行早年對于下屬經營網點管理客戶信息保護方面，并不是特別重視?；鶎泳W點客戶四要素及其他開戶資料日積月累，逐漸成為金融信息黑產覬覦的目標。為從中牟取利益，基層網點內部員工甚至存在倒賣等違規(guī)行為，這也滋長了黑色交易?！?/p>

　　上述人士同時坦言，最近幾年，銀行及內部員工主動泄露用戶數據的可能性相對較低。因為目前銀行內部各個環(huán)節(jié)與崗位，相互制約，比如管理權限的人員，不會掌握數據庫，掌握數據庫的員工，自己無法隨意查詢客戶信息。每一次數據的調用都需要各部門、各層級的層層審批，員工個人對外兜售數據情況可能性下降。 “此外，可以預見的是，隨著監(jiān)管打擊力度的不斷增強，銀行信息安全管理持續(xù)加碼，數據交互意愿或將進一步降低?？繑祿寗拥慕鹑诳萍计髽I(yè)也許會受到不小的影響?！?/p>

　　除了傳統(tǒng)金融機構，非持牌的金融科技平臺與網貸平臺也是重災區(qū)。

　　“我一直在還錢，但家人不堪其擾，催收員還能找到我在其他社交平臺的賬號。還差200多元（欠款）時，催收員威脅要上門收取千元上門費?！币晃痪W貸借款人表示。

　　記者曾經獲得一份在暗網上兜售的網貸用戶數據，包含聯(lián)系人、月收入、工資發(fā)放形式、手機、工作時間、聯(lián)系地址、貸款額度等信息，并給出了部分詳細信息。記者致電上述數據中多位當事人，他們表示個人信息真實。其中有用戶表示記者所述信息曾提供給過網貸機構與銀行。

　　而該網貸平臺相關人士表示，不排除有人利用網上公開信息與其他平臺泄露的用戶數據，冒用公司名義出售。“同一個借款人普遍會注冊多個平臺的現(xiàn)象，這些數據如果去匹配其他網貸平臺，存在一定的命中率。比較常見的是一些倒閉的網貸平臺對于數據往往疏于管理與善后，造成的此種情況?！?/p>

　　后果：大數據殺熟、信息繭房、電信詐騙

　　事實上，被各種渠道暴露的不只是金融信息，個人的各種信息包括隱私都可能被泄露。

　　“當前部分手機軟件擁有讀取用戶相冊權限，若自動識別到照片上人像頭發(fā)稀疏，就有可能接到植發(fā)廣告。”一位大數據行業(yè)從業(yè)者有些無奈地介紹。

　　那么個人信息泄露可能會造成什么結果？

　　“首先是數據濫用，比如在營銷環(huán)節(jié)，大數據殺熟（互聯(lián)網企業(yè)提供同樣的商品或服務，但老客戶看到的價格反而比新客戶要貴出許多的現(xiàn)象。商家對個人數據分析后進行定價歧視?！睂＜冶硎荆趪膺€有濫用數據干預政府選舉的情況存在。

　　2018年3月，英國政治咨詢公司劍橋分析就曾未經授權收集使用8700萬名Facebook用戶的個人數據為美國總統(tǒng)特朗普選舉服務。

　　同樣，信息繭房也值得關注。

　　復旦大學新聞學院執(zhí)行院長、教授張濤甫曾撰文表示，算法推薦的問世和普及是媒介技術進步的體現(xiàn)，它讓信息與用戶實現(xiàn)精準對接，將信息與用戶進行個性化匹配。“算法的迎合式推薦會造成庸俗、低俗、媚俗信息泛濫，進而造成某些用戶低級趣味的固化和泛化。二是會形成信息‘繭房’問題?；谒惴ǖ贸龅尼槍μ囟ㄓ脩暨M行的個性化推薦，勢必造成用戶信息選擇面的收窄，仿佛在用戶周圍砌起了一堵墻，形成信息‘繭房’?！?/p>

　　多位行業(yè)人士都向記者表示，個人數據濫用、倒賣經常存在于營銷、信貸風控乃至詐騙。

　　2020年4月1日，北京市海淀公安、廣東省珠海市刑偵等多地警方發(fā)布注銷網貸賬戶騙局的風險提醒，表示近期網貸詐騙手段又有抬頭之勢。

　　根據山西省運城市平路縣公安局介紹，有大學應屆生在2天之內被騙7萬元人民幣，起因是自稱是某網貸公司員工的人告訴他說，由于他注冊了某網貸公司賬戶，需要注銷學生賬戶，否則今后將無法借款。在此期間，騙子不僅發(fā)給他身份證、營業(yè)執(zhí)照等信息證明其身份，而且騙子也可以準確說出該名應屆生的名字與身份證號碼，這位受害學生如今瀕臨自閉，既不敢告訴家人，又怕扛不下去，目前案件正在進一步處理中。

　　根據警方介紹，在詐騙過程中，騙子掌握了用戶詳細個人信息。

　　那么數據泄露在法律上如何追責？

　　北京金誠同達（上海）律師事務所律師周晨黠告訴記者，首先是刑事方面，一般而言此類行為相關的個人涉嫌侵犯公民個人信息罪，該罪需要行為人存在對犯罪的故意或共識，因此如果涉案的機構不存在對泄露行為的主觀故意，很難追究機構的刑事責任。其次是行政方面，現(xiàn)在我國在個人信息保護這塊的行政監(jiān)管正在逐漸加強，如果機構存在管理疏忽、未能及時修復已經發(fā)現(xiàn)的漏洞、未能管理好合作的第三方等各類問題，導致發(fā)生數據泄露事件的，或者在發(fā)生數據泄露事件后未能及時采取措施導致?lián)p失進一步擴大的，機構很可能會受到行政部門的處罰。另外因為目前法律法規(guī)對數據安全這塊的要求其實是比較高的，所以一旦發(fā)生數據泄露事件，往往能反過來查到企業(yè)的各種問題，因此這塊的風險是比較大的。第三是民事方面，現(xiàn)有的這方面案例并不多，實際判決機構承擔民事責任的也不多，但是考慮到民事案件的結果很大程度上取決于舉證情況，消費者或者用戶往往是因為無法證明是機構泄露的數據，以及無法舉證證明具體的損失而導致敗訴。這一塊目前對于消費者或者用戶具體需要舉證到什么程度的問題也可能會有轉變，同時考慮到監(jiān)管層面對個人信息的不斷重視，未來此類案件也可能會繼續(xù)增多。

　　“應思考如何兼顧隱私保護與合理使用的途徑”上述專家建議，“目前數據安全方面，我個人認為其最為關鍵的仍是數據規(guī)范使用問題。從明確個人信息保存期限入手，厘清數據權屬與使用、共享的邊界?！?/p>