PingWest / xyzhang
“双十二”这天,在一片“买买买”的嘶吼中,一条新闻在社交网络不胫而走:《南方都市报》记者只花费 700 元就买到了同事所有隐私信息,包括开房记录、名下资产、乘坐航班、网吧上网记录、户口信息,甚至银行存款记录、手机实时定位、手机通话记录,并且有第三方软件为这样的服务提供担保,整个交易已跃升到了“平台化”地步。
在这条新闻发出后的一天里,各种后续报道都或多或少佐证并进一步揭开了“地下社工库”的存在。而在信息安全界从业者们看来,这种事要不是时不时地上新闻,早就是存在多年的常态了,许多黑客都有自己积累的个人社工库,有大量用户数据。
在中国互联网上,个人信息泄露早已不是新鲜事。前有 CSDN、12306、携程、网易邮箱等大规模信息泄露事件,涉及到的用户数以十万、百万、千万、乃至亿计;刚刚过去的周末,据一本财经报道,京东12G 用户数据泄露,随后京东证实了这个消息,并称该数据源于 2013 年 Struts 2 的安全 洞问题。据熟知黑产的信息安全从业者透露,2013 年时京东确实有上亿的用户数据泄露,这个库是地下黑产圈内相对比较值钱的,用户数据量巨大,涉及交易信息,来自大公司的国民级产品。京东内部安全部门和黑客圈的许多人都知道这个数据库的存在,但此前拥有这个库的黑客还比较少,一旦被转手卖掉扩散出去,被京东这样的大公司追究的可能性也比较大,容易被追溯到源头,风险很高,因此3年来都没有公开暴露。但对京东来说它仍然是一颗定时炸弹,直到现在被媒体曝光才为外界所知。
另一件更让人哭笑不得的事情则与“双十二”关系更大。支付宝搞双十二线下支付优惠活动,设计了一项大奖,在双十二期间完成第 5000 万笔交易的用户,会得到包括 100 桶肯德基全家桶在内的超级大礼包。12月10日晚,根据支付宝官微的描述,“来自郑州的徐女士完成了支付宝口碑双 12 的第 5000 万笔交易。我们第一时间联系她,先是被挂了电话,好不容易再次联系上,她说这些礼物通通不要。虽然已告诉过她这些礼物将会通过支付宝卡券等形式发给她(卡券使用 0 门槛,自用转赠都 OK),并不是让她一次性全吃完,她依然拒收。”
这条微博下的评论区非常热闹,很多网友都认为如果自己碰到这样的事,也会以为是诈骗电话,跟徐女士一样拒绝接受奖品。由于徐女士拒收,这个双十二大奖只好顺延送给了后面一位用户。
在这起乌龙事件的背后,人们对电信诈骗的恐惧感若影若现。
随着过去十几年来生活水平、通信水平的提高,以及人们的隐私信息越来越多“触网”,电信诈骗日渐猖獗。我们几乎每个人都或多或少碰到过假扮银行、商场、公检法机关和“你的领导”的诈骗电话,而中招了的案例遍布全行业、全年龄段,而老人、学生等辨识力相对较低的群体尤其是高发区间。
血的教训殷鉴不远。今年 8 月,山东临沂女孩徐玉玉在考上大学之际,被一通伪装成教育机构发放助学金的诈骗电话骗去 9900 元学费,在报案回去的路上,徐玉玉心脏骤停离开人世。这个事件当时也曾引起过愤怒的舆论,要求严惩电信诈骗的声音一浪高过一浪,对事件背后的分析、对信息泄露环节的调查也不是没有,也许电信诈骗的势头也被压了一压。但事件热度没了,风头避过去了,公共机构里的“内鬼”该卖信息的照旧卖,地下黑产该社工数据库的照旧社工。警方只能加强对电信诈骗的案例宣传,普通用户只能提高对电信诈骗的警惕,除此之外,没有任何办法阻止自己的个人信息在互联网上流传,甚至只需要区区几百元就能买到相当隐私的个人信息。
在南方都市报的报道中,包括交通、住宿、银行、通信等多种类别信息在内的个人隐私,只要 700 元的价格,也挺让人匪夷所思。按正常理解,这些信息都是那些承诺不会外泄个人信息的机构和公司在服务用户时收集的,不论出于什么具体原因,最后似乎以很低的价格就进入了地下黑产数据库。充分说明,经过背后一系列采集、整理、流转的过程,信息泄露的难度并不大,成本和违法风险并不高。
专注新媒体行业法务观察的徐凯律师,在微信公众号“新法”中认为,这里的 700 元包括了“黑客的劳动力+中间人的佣金+法律风险成本估价”。根据市场经济原则,越是在供给端受到政府禁止和打压的商品,例如毒品、性交易以及禁酒令时的酒,在黑市上的价格就会越高。徐凯律师得出结论,个人信息价格如此之低,其中一个重要原因很可能是法律风险成本太低,无论在刑法上还是民法上,都很低。
根据刑法第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。换句话说,按照目前的刑法,你就算把全中国公民的所有隐私信息都泄露光,顶天了判你七年。
当然,执法难度之高也是导致个人信息泄露泛滥的原因之一,重刑治乱的思维也已经过时。但在电信诈骗血的教训和集体恐惧面前,难道就没有什么好办法了吗?近年来中国对国家信息安全的重视有目共睹,说明只要肯做,总还是有能力办到的。那么,可不可以在个人信息领域也让人民更加有安全感呢?我有一个梦想,希望明年双十二的幸运儿不再认为支付宝大奖是诈骗电话,希望大型互联网公司能批给安全部门更多预算,希望我们敏感的个人隐私信息不再只值 700 元。
但在那天到来之前,我们能做的,恐怕还只能是提高自己的辨识力和警惕性。
高层
访谈
观点
