你的隱私正在被明碼標價
你的隱私數據正在裸奔,而這背后,則是一個龐大的產業鏈:一個身份證,可以讓你所有的個人信息都暴露出來,隨后數據進入一環環的鏈條……
作者 |陶婷
編輯 | 孫春芳
隱私數據是什么?
熱播韓劇《黑暗榮耀》中,有一個片段是這樣的:為了復仇,女主人公文東恩,讓孫明悟幫她拿到了李莎拉的買毒品賬單,還有崔惠廷拼命想搞定的金龜婿的背景。買貨賬單、個人背景,諸如此類信息,便是隱私數據。
現實生活中,隱私數據被偷窺,被分析,然后被推銷,被騷擾的情況層出不窮。2021年3月15日,央視“3·15”晚會曝光了倒賣簡歷現象:你只需要花費7元,就可以在網上購得求職者簡歷。簡歷上,求職者的姓名、性別、年齡、照片、聯系方式、工作經歷、教育經歷等信息一應俱全。
兩年后的2023年3月15日,央視3·15晚會又出手了。這一次,是部分破解版App,違法違規收集用戶個人信息的問題。盡管破解App能夠免費使用一些功能,但一些破解版APP被額外嵌入第三方插件,即SDK軟件包。只要運行該破解版App,SDK包便能盜取用戶手機里的個人信息。
這僅僅是隱私數據泄露的冰山一角。針對“是否遇到過信息泄露”這一話題,有媒體還調研了880名車主。
其中,有41.8%的車主遭遇了“購車或辦理汽車金融業務后收到關聯推銷信息、電話”的煩惱,有22%車主的個人信息被導購平臺泄露,有17.3%的車主“在未被告知的情況下被人臉識別,個人信息被錄入4S店或直營店系統”。
對于平臺、商家和數據收集機構來說,這一條條只是數據,但對于被詐騙被騷擾者來說,這是一個又一個的大坑。
“老同學”坑了他50萬
瑞東(男)并不是一個購物狂。這些年,他的消費都很克制,以至于各大購物平臺中,瑞東常用的也只有京東和淘寶兩家。但最近,他將淘寶App卸載了。
令他做出如此舉動的,是一個陌生女人的來電。對方在電話中,不僅準確說出瑞東在淘寶上,什么時候買的什么牌子的花露水,價格是多少,就連他的姓名、手機號、收貨地址都說得準確無誤。
瑞東差點就相信了。因為,那個女人說的所有信息,與他的真實情況完全吻合。但好在,這個女人的騙術并不高明。她告訴瑞東,他已成為花露水的經銷商,需要繳納一定數目的保證金。
當瑞東斬釘截鐵地說“自己并沒有這樣做”后,這個女人話鋒一轉,稱是瑞東的親戚用他的信息,幫他注冊成為經銷商的。在瑞東看來,親戚會借用自己的信息?這根本不可能。眼看一計、二計都不成,該女子惱羞成怒,破口大罵起來。
意識到自己的隱私數據被泄露了,且很有可能跟購物平臺有關后,瑞東卸掉了淘寶App。
思甜(女)就沒那么好運了。她接到了一個陌生男人的電話,對方自稱是支付寶工作人員。該男子稱,“現在國家在管控大學生的網貸政策,所以需要您更改花唄、借唄的學生身份信息,不然會影響征信”。令思甜卸下防備的,是對方準確說出了她的身份信息,支付寶綁定的幾張銀行卡的尾數,以及花唄的開通時間。
這些數據,即便是思甜自己都要翻查銀行卡才能知道,所以她對該名“工作人員”的“支付寶學生賬戶清零”一說深信不疑。所謂把“支付寶學生賬戶”清零,是將“借唄”里的貸款額度借貸出去,轉成現金。思甜并不知道的是,詐騙分子是以此為障眼法,為的是掌握電話一端的用戶,到底能借貸多少錢。
對方說,讓思甜將“借唄”的錢借出來,放到自己的銀行卡,轉到他提供的自稱銀保監會的人的賬號里面。他說“借唄”清零了之后,自稱銀保監會的人,會馬上就把錢返回我的支付寶“借唄”里面。
于是,令思甜至今都后悔的事發生了:在對方的指引下,她腦子像懵了一樣,通過支付寶借唄,借了兩筆錢共計兩萬八。秒到賬的這筆錢,又被思甜用手機銀行,轉賬到所謂“銀保監會”的賬戶上。
此時,思甜仍沒有意識到不對勁,直到對方對她說“你還有登記其他網貸平臺(微信的微粒貸、京東的網貸平臺)嗎”時,思甜才恍然大悟:這就是一個徹頭徹尾的騙局。
思甜很確定,自己根本沒有登記過其它網貸平臺,甚至連京東賬戶都沒有申請過。醒悟過來后,思甜一邊與詐騙者斡旋,一邊給銀行打電話中斷轉賬,但為時已晚。無奈之下,思甜選擇了報警處理。
“警方說,這些人一般都是境外作案,很難被抓到。被騙的兩萬八,可是我加班熬夜,用肝臟、心血賺回來的錢啊!也不敢讓爸媽知道,不想讓他們操心。為什么騙子知道我這么多信息?”思甜傷心地追問道。
“吳添源,老同學找你有事。”正是看到這句話,吳添源才通過對方的微信好友請求。在吳添源的認知里,既然知道自己的真實姓名,且通過手機號添加的微信,對方必定是他的熟人。
隨后,吳添源被“老同學”拉入一個群。在一頓“猛于虎”的洗腦中,他先是聽所謂的“大師”講課,再跟著“大師”炒股。但一夜暴富的神話并沒有到來,吳添源的50萬本金反而不翼而飛了。最終吳添源才搞明白:所謂的老同學,就是一個騙子;那個炒股App,根本就是假的。
追根溯源下,“正是一個真實的姓名,一個真實的手機號,一個說認識我的‘老同學’,把我坑進這個炒股騙局中。我的信息不知道哪個環節被泄露了。”吳添源向市界抱怨道。
光明和黑暗往往都是共生的。科技為人們帶來便利的同時,也帶來危機。不知從何時起,數據泄露就像家常便飯一樣,滲透于生活的方方面面,給人們帶來了巨大損失。
中國互聯網絡信息中心報告顯示,截至 2021 年 12 月,有 22.1% 的網民遭遇個人信息泄露。
這些個人信息泄露后,用戶輕則被騷擾電話困擾,重則可能會遭遇電信詐騙、套路貸、敲詐勒索等惡性事件,導致人身財產安全受到侵害。
那么,隱私數據到底是怎么被泄露的?
1份信息表讓他毛骨悚然
馮峰是一名資深營銷人。因工作原因,這十多年來,他一直跟各種信息和數據打交道。為了解競爭對手的項目信息,馮峰不僅翻過對方的垃圾桶,還安排臥底到競爭對手那里拿資料。為了拓客,他也曾運用各種市場調研手段,搜集潛在客戶數據。馮峰也很明白,一些信息就是隱私數據,自己可能在法律的邊緣瘋狂試探。
真正令馮峰對隱私數據泄露,感到毛骨悚然的,是多年前他拿到了一份北京白領信息表。表上數據量之大,信息之詳細,遠超馮峰想象。“大概有上百萬的白領,信息涉及年齡、單位、職務、電話、住址、身份證等個人信息。”馮峰告訴市界。
為導出這份龐大的數據,馮峰的電腦一度“癱瘓”。也正是因為這件事,馮峰意識到,“這玩意(隱私數據)就像雷一樣,指不定什么時候會炸。并且,數據量太大,處理起來太麻煩,就刪除了。”更重要的是,從國家政策來看,泄露隱私數據是違法的。
自此之后,馮峰變得謹小慎微起來。“不輕易在網上填手機號和身份證號;遇到辦信用卡送禮物這樣的活動,一概不參與;工作中對相關數據表格進行加密;涉及客戶信息的文件悉數銷毀。”馮峰向市界坦言。
即便小心到這個地步,馮峰的隱私數據,也還是被泄露了。在一次買了新車后,馮峰接到各種推銷車險的電話,這令他不勝其煩。
馮峰還發現,一些軟件還會“監聽”。“我平時從來不買床,也不會搜這些東西。但有一天晚上,我移動床,然后談了關于買床的事情。第二天,在一些視頻軟件上,我就看到相關推薦。”
隱私數據泄露可謂無處不在,那么,隱私數據的來源到底有哪些?
從目前來看,隱私數據分為三種。一是用戶自愿提供的,如微博發表的各種言論及照片、向一些網站、App注冊提交的信息等。
二是被觀測到的數據,即用戶在使用信息設施或者軟件時,被記錄和觀察到的一系列行為數據,如上網記錄、購物記錄、搜索記錄等。
第三種是被推斷的數據,即根據用戶的各種信息推測的個人數據,如個人信用評級、消費需求、購物偏好等。
有研究指出,在大數據技術的背景下,絕大部分泄露的數據,來自于用戶自愿提供。除了微博、網站上的正常信息外,一些用戶進行網絡購物、下載“山寨”App、分享帶有個人信息的訂單、連接安全系數低的公共WIFI時,都暗藏風險。
根據近些年信息安全大事件來看,數據泄露的方式主要有三種:特權濫用、系統入侵、社會工程攻擊。
特權濫用,即員工利用自己的職務之便,獲取數據庫內的信息,并將這些數據泄露出去。
系統入侵,即企業可能遭遇爬蟲攻擊,也可能被植入木馬,也可能被黑客利用漏洞攻克了數據庫。如2021年,蔚來汽車的一些隱私數據,就被不法分子竊取了。
社會工程攻擊,即利用人的弱點,通過電話、短信、網頁中的各種誘惑或存在威脅的信息,引導人按照攻擊者的意愿去行動,從而達到攻擊者的目的。最常見的有電信詐騙、網絡釣魚等。
如生物一樣,數據也有著長長的生命周期,環節包括收集、傳輸、存儲、使用、流轉、銷毀等。在如此長的生命周期當中,任何一個環節出現紕漏,都可能導致數據安全問題出現。
很多人不知道的還有:隱私數據被掏空背后,一些“網絡黑手”,正磨刀霍霍向“牛羊”。
一條個人信息標價100元
“無利不起早,販賣信息能產生巨大利益,才會讓黑產越來越猖狂。”信息安全從業者江浩告訴市界。
被泄露的隱私數據,通過境外網站等平臺進行非法交易,形成一條黑色產業鏈。各種灰色數據,藏匿在百度貼吧、淘寶、閑魚、QQ等平臺上。這些數據都是明碼標價的。
證券時報曾如此報道:包含電話號碼、微信、QQ號等的個人信息被層層販賣。一級料商(即數據中間商)的進貨成本在0.15元/條左右,二級料商進貨成本為0.4元/條左右,三級料商進貨成本0.7-0.8元/條,終端售賣均價為1.2-1.5元/條。
“滲透數據”則貴得多。所謂滲透數據,即所有信息都能夠被抓取,除了電話號碼、微信等基本信息外,還包含身份證號、出行記錄、開房記錄、家庭成員、工作、婚姻狀態、戶籍所在地等。
這些信息在交易中被分了級。查詢個人簡易信息15元/條,包含姓名、性別、手機號;中級信息50元/條,除了簡易信息外,增加了戶籍地址、身份證號、照片;高級信息100元/條,在中級信息基礎上增加了現住地址、開房記錄、車輛信息。
隱私數據的集散地,主要來源于兩個地方。一是常規搜索引擎搜索不到的暗網。很多人看中了暗網“絕對隱形”的特性,在上面干著現實生活中干不了的事情,這其中就包括隱私數據販賣。
2018年6月,圓通快遞10億條快遞數據,被公然在暗網上售賣;同年7月,3億順豐用戶數據在暗網售賣;2023年3月上旬,美國數百名議員及其家人的敏感信息被放到了暗網上出售。
另一個是社工庫。它是黑客們將泄露的用戶數據整合分析,然后集中歸檔的一個地方。社工庫上的數據,一方面來自黑客攻擊網站后竊取的用戶數據庫,另一方面來自一些會出賣用戶數據的小網站。
盡管在中國,私自用社工庫調查他人,涉嫌侵犯個人信息權和隱私權,且在中國進入暗網也同樣屬于違法行為,但在利益的驅使下,一些人還是鋌而走險起來。
購買隱私數據的人中,有的是為發展業務,有的拿來搞詐騙。行騙者拿到信息后,是怎么做的呢?以身份證號為例,其算法規則是公開的。通過一張身份證,就能搞清該人的性別、年齡、籍貫、家庭住址等等。
根據身份證繼續查詢下去,行騙者還能得到主人的全家戶口信息。大部分情況下,還能查到對方的常用密碼,而很多人社交平臺的密碼是通用的。在此基礎上,不法分子再搜羅各大平臺動態,這個人的地址、工作單位、收入水平等,都一清二楚。一張較為簡略的“用戶畫像”,就出來了。
如果再深入一點,行騙者還可以利用一些手段,得到你的人際關系網,你的用戶畫像,就會越來越清晰。拿著如此全面的信息,行騙者就開始釣魚了。這顯然超出很多人的認知。于是,就有千千萬萬個像思甜一樣的受害者出現了。
不過,近些年來,我國已經形成了《個人信息保護法》《數據安全法》《網絡安全法》三大數據保護的防護網。3月16日,針對央視“3·15”晚會報道的部分破解版APP違法違規收集用戶個人信息問題,工信部表示,立即組織核查,并依據《個人信息保護法》《電信和互聯網用戶個人信息保護規定》等有關法律法規要求進行嚴厲查處。
在國家嚴厲打擊違法行為下,馮峰發現,直接購買隱私數據的渠道的確變少了。不過,相對應地,市場上涌現出一些服務公司,它們宣稱提供精準人群服務,其背后通常有海量的數據。“這些數據,從哪里來?”馮峰追問道。
北京大成律師事務所肖颯律師告訴市界,“如果這些服務公司的數據來源不正當,那必定屬于違法行為。在實際案例中,這些數據若認定是商業秘密,那么服務公司就有可能構成侵犯商業秘密罪;若被認定為是個人信息,就有可能觸犯侵犯公民個人信息罪,上下游人員還有可能構成幫助信息網絡犯罪活動罪。”
盡管思甜也擔心自己的隱私信息會被濫用,但令她矛盾的一點是:在面臨商家提供的優惠賬單時,她還是會選擇向商家提供個人信息以換取優惠。這也是大多數人的心理。因此,肖颯認為,單純強調讓個人提高隱私保護的意識,顯然是蒼白且不切實際的。
最重要的是,“如何讓個體在讓渡個人隱私獲得利益的同時,充分知曉自己將面臨的后果(個人信息不會泄露給第三者),這又涉及到企業合規的問題了。所以企業與個人對于隱私數據的態度,實際上是缺一不可的。”肖颯說。
而在深受傷害的思甜看來,企業能不能保護個人信息,不是她能掌控的,她能做的,就是像愛護眼睛一樣愛護自己的個人信息,不輕易泄露。
(文中思甜、馮峰、瑞東為化名。)
(聲明:本文僅代表作者觀點,不代表新浪網立場。)
作者簡介
