“一系列的資訊洩露助長了騷擾電話有針對性地對特定公民的騷擾。”
為解決電話騷擾難題,推進社會共治,奧一實測研究院在2021年網路安全週期間推出《騷擾電話整治》系列報道:
騷擾電話越來越精準,整治難點痛點何在?專家指個人資訊洩露
商業營銷類電話兇猛!房產中介、教育培訓、貸款理財排前三
套餐越貴越易被騷擾?號碼使用越長騷擾電話越多?調查揭秘啦
孩子高考結束後,家長3個月收到幾十個招生電話,怎麼回事?
今年7月1日-9月15日,奧一實測研究院對近50名志願者進行兩個多月的跟蹤記錄,並結合1000多份“關於騷擾電話的使用者感知度調查”情況,採訪多位業內專家,發現騷擾、詐騙電話產生的背後,或是個人資訊的洩露。
而個人資訊又是如何洩露的呢?有哪些洩露渠道?奧一新聞記者調查發現,有不少人透過技術手段獲取網路使用者的個人資訊後,在QQ群、網站上出售牟利,而值得注意的是,在利益的驅動下,個人資訊洩露甚至形成了完整的黑灰產業鏈。
個人資訊被明碼標價、大量出售
近日,奧一新聞記者在一個名為“網路資料採集”的QQ群中發現,不僅有人售賣資料採集軟體,甚至有人在群裡公開出售個人資訊,包括姓名、電話、省份、地區等。
在記者加入該QQ群的幾個小時後,群裡便有“賣家”主動新增記者QQ並詢問“需要哪些資料”。當記者表示需要金融理財類使用者資訊時,該“賣家”向記者表示,可支援採集超200個金融理財類網站或app的使用者資訊,資訊包括姓名、電話、郵箱、持股數量,甚至身份證號等。
“賣家”提供給記者的截圖
“賣家”提供給記者的截圖
而如此精準、隱秘的資料,價格卻十分低廉。“1塊一條,1000條起拿。”該“賣家”向記者報出價格。也就是說,1000元即可獲得1000條涉及大量個人隱私的資料資訊。
除此以外,還有不少“買家”在群裡求購個人資訊,包括房產行業、金融行業、保險行業等使用者資訊,並稱目的是“拓客引流”。
爬蟲技術被誤用,資訊洩露渠道多樣
個人資訊是怎樣被獲取的?“爬蟲、內鬼、駭客脫庫、服務商洩漏……”一位業內人士告訴記者,資訊洩露的途徑有很多,每一種方式都有可能。
閃捷資訊保安戰略研究中心釋出的《2020年度資料洩漏態勢分析報告》顯示,個人資訊洩露佔所有資料洩露事件的60%。在洩漏的個人資訊中,姓名出現在45%的個人資訊洩露事件中,其次是電話號碼,佔比為32%。
在記者的調查中,發現許多“賣家”擅用“爬蟲”等技術抓取資料,而後在網上出售牟利。只要“買家”明確自己需要的是哪些資訊,他們就能根據要求爬取相關資訊。
“賣家”與“買家”聊天截圖,受訪者提供。
一位做金融產品推銷的受訪者陳小姐(化名)向記者提供了一張諮詢“如何獲取使用者資訊”的聊天截圖。據陳小姐稱,她們公司每個月有推介新客戶的任務指標,為了完成業績,有時不得已只能去網上購買一些使用者資訊。陳小姐透過QQ找到了一名“賣家”,對方稱可以“簡訊劫持”抓取到使用者的註冊資訊,價格是“8塊錢一條,因為金融的話比較敏感,所以這個價格要比其他行業的價格高一點。”
除了金融類網站,購物網站也是個人資訊被竊取的途徑之一。近日,朝陽網警偵破了一個“爬蟲”直播間偷資料的團伙。經調查發現,某購物網站“直播間”時常出現瞬時的流量激增現象,系因有人在直播期間透過“爬蟲”軟體竊取相關資料而產生。被“爬蟲”竊取來的直播資料經過一定處理後,都會在一網站上對外出售。
永安線上資料洩露監測平臺統計,從2020年1月1日至今,共監測到資料洩露事件21620起,涉及的行業涵括金融、網際網路、電商、教育等行業,這些事件大部分來自API爬取。
此外,第三方平臺也是常見的洩露渠道。近年來,App違規收集使用者資訊或強制、頻繁、過度索取個人許可權,引發了許多使用者的質疑。“註冊一個賬號還要求填寫生日、居住地、從事行業等無關平臺的個人資訊,還要開放定位、相簿訪問等許可權,涉及太多個人隱私,感覺很不安全。”有使用者吐槽道。
違規收集使用者資訊再往前一步,就很有可能發展成違法使用或資訊洩露,而平臺數據洩露事件並不少見。
2018年6月,知名影片網站A站遭駭客攻擊,近千萬使用者資料洩露。
2019年5月,優衣庫母公司日本迅銷釋出了一項宣告稱,優衣庫、GU銷售網站受到駭客攻擊,超過46萬名使用者資訊遭到未授權訪問,這意味著顧客的資訊遭到了洩露。
2020年8月,淘寶(中國)軟體有限公司報警稱,有黑產透過mtop訂單評價介面繞過平臺風控批次爬取加密資料,爬取內容包括買家使用者暱稱、使用者評價內容、暱稱等敏感欄位。
……
利益驅使下,資訊洩露誘發“精準”犯罪
資訊洩露為何如此猖獗?
閃捷資訊保安戰略研究中心釋出的《2020年度資料洩漏態勢分析報告》顯示,以獲利為目的的資料洩露事件佔所有洩漏事件特徵的80%以上,說明資料洩露事件仍然是利益驅動。
無論是爬取資訊出售牟利,還是以洩漏的資料作為籌碼,向企業索取高額贖金,都不外乎“利益”二字,而在利益的驅使下,資訊倒賣現象屢禁不止,資訊洩露問題生生不息。
對於使用者而言,過度洩露個人資訊,不僅容易招致“精準”營銷的騷擾電話,還有可能遭遇詐騙,造成財產損失。獲取更多的使用者資訊,意味著詐騙能夠編造出準確性更高的詐騙場景,以迷惑使用者,提升詐騙的成功機率。至此,資訊洩露與資訊買賣也就成了“精準”犯罪的助推器。
此外,企業的資料洩露也是常見的網路安全事件之一。企業在發展運營過程中涉及的敏感資料,是不法分子眼中的“香餑餑”,透過技術手段索取資料或投放勒索病毒,以此要挾、勒索企業,獲取暴利。
巨大的經濟利益促使不法分子趨之若鶩,肆意探尋個人隱私、企業隱私,讓資訊洩露無孔不入,甚至悄然形成了一條完整的黑灰產業鏈。從各種資訊被非法獲取,到加工轉賣,再到資訊被用以“精準”營銷、詐騙、勒索,每個環節都“拴”著利益,嚴重威脅著個人、企業甚至國家的資訊保安,資訊保護壓力日趨增大。
隨著消費者對隱私保護的呼聲越來越高,政府也在不斷加強對個人資訊保護的力度,如何在精準電話營銷與消費者隱私保護中求得平衡成了商家與電信運營商平臺需要思考和研究的重要問題。
監製:謝豔霞
策劃:謝江濤 高春明
統籌:管玉慧
執行:林思思 張潔瑩