【猎云网(微信:ilieyun)北京】9月8日报道(文/张宁)
昨日晚间,美国征信企业Equifax披露,公司网站遭遇黑客攻击,有1.43亿美国人信息数据被泄露。泄露的内容包括个人信息,包括姓名、住址、出生日期、社会保障号,有时还会包含驾照信息,还包括20.9万人的信用卡卡号、18.2万人的特定争议文件。
个人信息泄露,困扰着普通百姓的生活,而其中酿造的多剧惨案,警醒着大众。
“您好,需要银行贷款吗”,“不需要”,电话另一端,小丽拒绝的语气中带有丝丝愠怒,“烦死了,昨天刚办的信用卡,今天就接到好几个贷款电话。”相同遭遇也在刘先生身上重演:“最近推销电话特别多,一天十多个,号码不知道怎么就泄露了。”
贷款、保险、股票……当这些推销电话一股脑涌进日常生活,毫无疑问,你的个人信息不仅泄露,而且还被黑产及某些机构明码标价甩卖了。
据猎云网了解,目前市场上交易的个人信息,大部分来自黑客攻击、企业内部员工监守自盗、机构之间数据交换。
黑客进攻,点杀与屠城
网络是黑客们的主战场,虽然用户可在应用商城下载“根正苗红”的正版软件,但黑客们依然是无孔不入,钓鱼网站、植入病毒、撞库、伪基站……是黑客猎取个人信息主要手法。“目标是获取信息,手法可以有很多种”,黑客技术爱好者A向猎云网演示,“可以控制你的手机不断截图,来获取你的聊天记录、通讯记录、登陆账号。”
除了被动式狩猎外,黑客们往往也会用撞库的方式发起主动进攻,“利用已经泄露的账号、密码在各个网站上登陆,碰运气,但准确率相当高”,A狡黠的笑了笑,“多数人都喜欢用同一个账号密码,帮我们省了不少事。”
不仅有A这样的单点猎杀,顶级黑客更喜欢屠城。2016年12月10日,京东被曝12G数据包在黑市流通,包含账户名、密码、邮箱、电话、身份证……15日,雅虎承认10亿用户数据被盗,包含用户姓名、电话、邮箱、密码。
而黑市中,并非一片江湖风气,而是结构严密,内鬼、黑客批量提供个人信息,组织者建立QQ群等,产业上下游分工协作,一手钱、一手货,童叟无欺。有的,甚至已经建立起批发代理商的销售体系,一级批发商、二级批发商……在采访中Z先生感叹道,“就跟超市买东西是的,一手钱一手货。”
资料显示,2016年,中国黑市上泄露的个人信息达到65亿条次,全国人均5条次。这也就是小丽、刘先生频繁接到贷款询问电话的原因。
当然,根据信息类别、详尽程度,个人信息价格也需要按资排辈,从几块到上千不等。像个人手机通话记录,由于能看出用户个人对外联系频次和社交网络,故费用较高,单条信息需上千,购买者通常不差钱,主要用来催收、侦察婚外情、敲诈勒索……
而个人通讯方式则要廉价的多,仅包含联系人姓名和号码,“一万条起,每条五分钱”,打包购买,用来做电话推销,所以保险、贷款机构……多数是这里的常客。
吃里扒外的内鬼
如果说黑客属于技术流派,那公司内部员工则是监守自盗的资源流派。“内鬼”,是对该派系的称呼,利用自身职务权限,下载、拷贝、出售用户个人资料。
“以前银行的人私下能帮我们查到客户所有的贷款情况”,小贷从业者张明回忆起2015年,“当时查询一次才5块钱。”不仅是银行,电商、快递……也是内鬼高发区。2014年,支付宝员工批次下载用户资料20多个G,出售给电商、数据公司;2015年,央视报道,快递站点以每条2元的价格出售用户信息,包括姓名、电话、快递地址……
然而,信息查看获取权限的规范,内鬼处境堪忧,大有日落山河之势。“用户资料属于企业内部数据,很多内鬼会把数据买个竞争对手”,对这种吃里爬外的行为,分析师Z先生认为,“依靠权限获取用户数据,以后将越来愈难。”
数据倒卖,榨干最后一滴油水
黑客、内鬼掀起信息外泄的波浪,而平台之间数据的倒卖、交换则撕开了个人信息安全的闸门。数据公司、征信公司、信贷机构对数据交易乐此不疲,而部分机构用完数据后,会转手倒卖、交换,毫不浪费,直到榨干个人信息最后一滴油水。
转卖变现、扩充数据库是这些交易者们的初衷。“我们会与它们免费置换用户数据,一条换一条”,在谈到与某主打欺诈风险的数据公司的合作时,某平台风控负责人A姐对交易条件颇为得意,“这样我们就减少了风控成本。”
除了征信机构扩充数据之外,信贷机构也不甘落后,盯住了这块蛋糕。猎云网了解,目前国内部分现金贷机构做起了导流平台,向其他信贷机构出售用户贷款申请信息,“每个月砸几百万的营销费用”,某知情人士向猎云网透露,“通过导流,除了覆盖营销成本,还能赚上一笔。”
数据交易中,与“借旧换新”相比,数据库扩容、转卖变现还算是“盗亦有道”。据了解,为了保证平台借款人按时还款,部分信贷机构当起了僚机,将逾期用户推给其他平台,帮助其能够借到钱,击鼓传花,免得坏账的大锅扣在自己头上。
公安、立法齐出动,监管重拳
个人信息泄露、欺诈案件频发,踩碾监管层的神经。2016年,徐玉玉因电信欺诈身亡,社会大众矛头直指个人信息泄露。
2016年11月,《中华人民共和国网络安全法》发布;2017年3月,最高人民法院审判委员会全体会议通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对非法买卖个人信息做出量刑处罚:
情节严重(如出售行踪轨迹、通信、财产、征信信息五十条以上)处以三年以下有期徒刑;情节特别严重(如造成被害人死亡、重伤、精神失常或者被绑架等严重后果)处以三年以上,七年以下有期徒刑。
同期,公安部也重拳出击。6月1日,深圳警方出动500余名警力,清查涉嫌侵犯公民个人信息违法犯罪窝点11个,共缴获非法公民个人信息50余万条,带回30名违法犯罪嫌疑人。
机构谨慎,数据服务商吃紧
“个人信息是条红线,搞不好会出问题”,在猎云网日常采访过程中,信贷平台对数据使用普遍谨慎,“只能用授权的数据,别的数据不敢用。”
用户个人数据保护的加强,令之前赚的盆满钵满的数据服务商陷入泥潭。“今年很多数据他们都拿不到,业务受冲击非常大”,某风控服务商负责人老Y在谈到数据、征信行业变化时,露出了忧虑。
据猎云网了解,目前部分风控、数据、征信公司都在拓展其他业务,如催收、自建导流平台……而部分厂商脱离第三方定位,做起了助贷平台。
“以后靠独家数据过活不太可能了”,老Y望着窗外,搓了搓手。