起底个人信息贩卖产业链

来源:《财经》杂志 2021-04-12 17:35:00

3月19日,陆续有微博用户发消息称,出现了疑似用户个人信息泄露的情况,表现为不少人的手机号已经泄露,根据微博账号可以查询到手机号。

对此,微博方面公开回应称,此次数据泄露应该追溯到2018年底。当时,有用户利用微博相关接口通过手机批量上传通讯录,匹配出几百万个账号昵称,再加上其他渠道获取的信息一起对外出售。

但是,《财经》记者深入调查后发现,微博用户信息泄露只是个人信息贩卖这一网络黑灰产的冰山一角。个人信息贩卖已形成一条完整的产业链,且已由国内转向国外的网络空间。

在这个网络空间里,一个人重要的隐私信息几乎全部暴露。卖家个个“神通广大”,身份证号、家庭住址、车牌号、手机号,甚至宾馆住宿记录,全部“上架”待售。

而且这条黑色产业链的交易体系也已升级,从使用传统网络平台及工具转向使用比特币等新型数字货币为代表的新型网络技术。

外网平台和虚拟货币支付,使得整个交易更加隐蔽和难以溯源。

根据调查情况来看,每个人的隐私信息都可能成为待价而沽的商品,这并不是危言耸听。

有关业内专家在接受《财经》记者采访时表示,个人信息泄露一般源于黑客攻击等技术手段、内部人员利用职务便利窃取并流出。存储数据的机构采取各种防范手段,但依然不能保证完全没有漏洞。

黑灰产业链转移

对于这次的微博用户信息泄露事件,微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但是,微博并不提供查询用户性别和身份证号等信息,也不提供根据用户昵称查询手机号的服务。3月的这起数据泄露事件,对微博服务没有影响。

同时微博方面强调,此次非法调用微博接口匹配出的信息仅为微博账号昵称,并不涉及身份证、密码等其他隐私数据。目前微博已经及时加强了安全策略,并将不断强化。

3月24日,工业和信息化部发布消息称,工信部网络安全管理局在3月21日对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。

主管部门和企业分别采取措施,使得这起泄露事件暂告段落。

但是《财经》记者循着此次泄露的线索深入调查后发现,这次泄露事件实际只是庞大的个人信息买卖黑灰产市场的冰山一角。

原来出没于国内网络平台的黑灰产人士,纷纷转入以Telegram为代表的国外网络平台,形成了更加隐蔽、更难溯源的新型产业链。

多名知情人士告诉《财经》记者,早先,个人信息贩子一般使用QQ、微信、贴吧等国内网络平台,主要使用微信支付、支付宝等支付工具。但随着腾讯、阿里巴巴等平台企业对黑灰产的打击力度持续加大,黑灰产业在国内的传统平台已难以立足。

而且,在原来的国内平台上,既有真正出售个人信息的贩子,也有以此为幌子的骗子。“有人做广告说有海量且准确的各类个人信息,购买者付了费后却直接被拉黑,这种事情多如牛毛。”有知情人士说。于是,这个产业链开始向外转移,以Telegram为代表的国外软件使用方便,而且引入了虚拟货币等“安全”支付方式,使得个人信息贩卖产业逐渐转至外网平台,并逐渐扩大规模且稳定下来。

从国内转向国外,支付方式更为安全,提供信息和服务越来越可靠,是产业链转移后的新形态。“

这次微博用户信息泄露事件,确实是由来已久,在群组出售查询这些信息,已经不是新鲜事。”前述知情人士告诉《财经》记者。

个人信息应有尽有

从3月27日起,《财经》记者登录Telegram账号,找到了用于出售个人信息的机器人。通过机器人界面,可以加入一个群组。3月28日,这个群组的人数显示为4万人左右,此后,人数一直在持续增长。

在群组里,不断有各类卖家发布消息出售各类个人信息,涵盖了个人户口、家庭户口、手机号查机主、名下银行卡、淘宝收货地址、微博反查、微信反查、快递单号查询收货地址、住宿记录、出行记录等等各类个人信息,几乎无所不包。

形象地说,Telegram平台上的机器人实际就是众多卖家将手中的个人信息建成一个可自动检索的数据库。如果有人想购买或查询信息,一般使用BTC(比特币)或ETH数字货币向机器人提供赞助,相当于充值。最低赞助320元人民币,可折合为260积分。群内提示的积分与数字货币换算率大致为0.358ETH=260积分。

按照规则,10积分可做一次普通查询,大约等于10元人民币可查询一次。如果没有比特币,群组里还有专门的代充值服务。

《财经》记者还在Telegram找到了5个其他类似群组,群组所出售和提供查询的信息与前述群组几乎没有区别,里面打包出售的个人信息价格从几十元到上万元不等,涉及数据动辄大小有几个G。

那么,这些只要付费就可以随意查询的个人信息都是从哪里来的呢?

《财经》记者询问一些卖家,对方称,信息是从互联网各处“收集”而来。前述知情人士则认为,这些信息有不少是从历次泄露事件中整合而来,也有黑客会继续窃取,使得数据库的规模不断扩大。

《财经》记者经过亲身体验发现,具体交易流程并不复杂,找到机器人,买家充值获得积分后,可以直接用积分进行自动查询。

《财经》记者购买一些比特币,向机器人支付获取了积分。为了测试信息的准确性,《财经》记者向机器人发送了10个近亲属及朋友的手机号码,并支付10个或20个积分进行“绑定查询”,仅3秒左右时间,机器人提供出查询结果。在这10个号码中,有9个手机机主的名字准确无误。其中还有一个号码查询到准确的微信账号名和微博账号名,另有一个号码则准确查询到一位朋友使用过的邮箱密码和家庭住址。

在Telegram的此类群组中,手机机主信息只是一个入门级别的查询。《财经》记者使用机器人提供的“猎魔查询”(模糊搜索)功能,向其发送一个亲友的名字,随即机器人提示选择男女和省份。在支付100积分后,得到近30条与这名亲友同名的身份证号码信息,记者的亲友也位列其中,且身份证号码准确。

前述知情人士称,“猎魔查询”可以被用于“人肉搜索”,只需要提供被“人肉”的人的名字,就可以通过不同的信息,一步步精准锁定搜索对象。

除了查询和出售业务,《财经》记者还联络了群组中一些出售信息的卖家。记者向一名卖家提供身份证号,表示想查询这个身份证号的住宿信息。卖家表示,此类信息是以一个数据包的形式出售,数据包中包括少则数万条,多则几百万条信息,价格也从几百到几千元不等。

这位卖家称,数据包越大,就能查到越多的准确信息。在买到的一个数据包中,《财经》记者通过身份证号码查询,果真得到几条准确的住宿信息。但住宿时间并不是最新的,基本为2018年以前的信息。

因为机器人充当了第三方的角色,透过机器人查询购买,得到信息的准确性强、可靠性高,不存在传统平台上付款后被卖家拉黑的情况。这对于诸多买家来说,无疑是一种“高品质”而又可靠的服务。

前述知情人士对《财经》记者表示,新的销售方式方便了黑灰产的从业者“开展业务”,这些信息贩子隐匿于平台背后,追踪溯源的难度增大。同时,个人信息贩子预先购置了大量黑灰产“四件套”——身份证、银行卡、手机号、U盾,用以提现。

为了保证安全,“四件套”均非使用者本人信息,而是从另一批专业黑灰产人士那里购得。由此可见,个人信息贩子已非单链条发展,已经发展成为产业网络。

同时,信息贩子利用数字货币交易的特性,可以为每个卖家单独生成地址,以便于交易“安全”和隐匿交易痕迹。

经过多日调查,以及一些知情人士提供的信息,《财经》记者初步掌握这一黑灰产业链条,上游为一些黑客为代表的技术人员,他们通过各类手段获取海量数据。中游即为各类信息贩子,他们从上游购买获取数据,在群组内出售。

购买者根据自身需求购买数据和信息。据知情人士透露,这些购买者主要为三类群体:网贷从业者,购买个人信息用于向借款者追讨借款;私家侦探,购买查询信息用于调查业务;还有一部分散户并无具体目的,把购买、查询自己想要的某个个人的信息当作一种心理需求。

Telegram为何成黑灰产“温床”?

令人觉得讽刺的是,在有众多个人隐私信息被交易的网络平台——Telegram,原本是为保护用户隐私而生的。

2006年,帕维尔·杜罗夫和哥哥一起创办了俄罗斯最大的社交网站VKontakte,自此淘到了第一桶金。此后,有不少反政府人员把VKontakte当做宣传平台,这引起了俄罗斯政府的不满,要求网站加强审查。

2013年,不甘被政府干预的兄弟俩退出VKontakte,前往美国,并创立了Telegram。

简单来说,Telegram是一个加密的社交网络平台,提供秘密聊天、阅后即焚、账户定期删除等功能。

起初,Telegram曾提供了一项功能,即允许用户通过上传电话号码来搜索其他用户,以便让新用户快速了解手机通讯录中的人是否已经在使用这款软件。这项功能会自动将电话号码与群组中的用户名匹配起来,若执法部门向当地电信服务部门询问电话号码的持有者,就可以知道用户的真实身份。

后来,Telegram发布更新,允许用户禁用电话号码匹配。这样就增大了锁定使用者身份的难度,以此增强了私密性。在这样的平台规则下,Telegram的群组可自由进入,但用户信息全部很好地得到隐藏。

与之相对,Telegram强调,它的隐私理念中最重要的两点分别是保护私人谈话不被第三方窥探,以及保护个人数据不受第三方侵害。

符合用户期待的隐私理念,安全快速的产品体验,让Telegram迅速得到发展。截至2019年8月,Telegram的用户数量已超过3亿。

然而,也正是基于这样的私密特性,以及可提供虚拟货币交易的功能,致使大量非法交易纷纷在Telegram里出现,包括一些枪支弹药交易、色情产业交易,甚至被恐怖主义组织利用。也就能够理解,Telegram为什么会成为个人信息贩子们的乐土。

在近期轰动韩国的“N号房”事件中,同样涉及Telegram。运营者在Telegram上开设直播间和聊天室,胁迫受害者拍摄强奸、性虐待的照片和视频,并有偿提供给会员。双方用虚拟货币进行交易,聊天内容会被定期销毁,难以取证和追踪。

事件发生后,Telegram在韩国警方的要求下,删除非法视频。不过,最终没有满足警方提供非法视频上传者个人信息的要求。

出于绝对保护用户隐私理念,Telegram拒绝接受政府监管,于2018年在俄罗斯境内被屏蔽。此外,伊朗、印尼、巴基斯坦等多个国家也已经禁用Telegram。

被“人肉”的调查者

今年29岁的佟林,长期从事数字货币、网络安全等业务,对这些领域的情况轻车熟路。

3月20日左右,微博用户个人信息泄露的消息发出后不久,出于公益目的,佟林立刻潜入前述Telegram群组,观察群组内的活动动态。

佟林接受《财经》记者采访时表示,他其实早已听说,网络黑灰产人士从国内网络平台转往国外平台,这在圈子里并不是秘密,只是普通公众一直尚不知情。

在“潜伏”多日,并尝试着与卖家交易后,佟林将这一类系列情况发布在自己的自媒体平台上,很短时间就获得将近10万的阅读量。

就在佟林继续“潜伏”时,他发现了一个叫“佟林粉丝”的群组,他进群后发现,自己已经被里面的诸多卖家“人肉”了。他的名字、电话、家庭住址、工作机构等个人信息被准确无误地公布出来。连他的身份证原件图片也被晒了出来。有人还威胁要使用电话、短信骚扰软件对他进行“狂轰滥炸”,彻底“废”了他。

面对这样的报复,佟林没有选择沉默,将自己被“人肉”的情况继续发布在自媒体中,并根据自己的互联网安全经验,提示普通公众在使用互联网时,可以采取一些办法保护自己的个人信息。例如,尽量少使用同一个密码或密码关键词;使用强密码管理工具,为账号开启二次验证;注册使用多个邮箱,有时也可以使用一次性邮箱等等。

佟林告诉《财经》记者,前述Telegram群组中的卖家所提供的个人信息中,很多都是被用于“人肉搜索”。而在这些群组中,真实个人信息公开被称为“出道”。在佟林看来,自己个人信息的完全泄露,已经意味着任何一个个人都可能已经失去了应有的隐私空间。

佟林对《财经》记者表示,自己既然已经“出道”,就愿意用自己的经历将这些侵犯个人信息的情况更大范围地让公众知晓。但有一点最让他始终难以理解,那就是自己的身份证原件照片也被泄露出来了,“这种应该是管理最为严格的信息,怎么也就这么泄露出来?”

《财经》记者在上述群组中注意到,群内成员对于各类揭露类似个人信息贩卖的报道反应速度极快,报道刊发后不久就会被转到群内,群内成员对这些报道不以为然,发表各类嘲讽,甚至声称会去“人肉”记者。

信息泄露的源头能堵住吗?

个人信息泄露事件近年来屡有发生,已对普通公众产生滋扰,最常见的是很多人经常会接到各类精准营销。而一些由于电信诈骗案件引发的恶性事件更是让公众感到不安。

很多人都存在疑问:个人信息究竟是如何泄露的?究竟有没有办法防止泄露?

中国电子技术标准化研究院信安中心审查部总监何延哲告诉《财经》记者,近几年的个人信息泄露,一般有三个来源。一是“黑客”等外部力量攻击数据库,用技术手段把内部信息盗走;二是存储有海量数据的机构,有内部人员利用系统管理权限将数据获取后流出;三是在使用第三方网络平台时,用户将个人信息提交给平台,但这些平台的防护措施不到位或没有按照约定存储使用数据,导致泄露。

针对这三种情况,想防止数据泄露,掌握海量数据的机构应该加强技术防护,制定严格管理制度,同时严防“内鬼”。出于对数据安全的考虑,各机构也都在加强防护措施,但在现实中并不可能做到完全没有漏洞。

何延哲向《财经》记者举例,从2019年开始,中央网信办、工信部、公安部、市场监管总局四部门联合展开App个人信息保护治理,对不断提升App个人信息保护水平起到了积极推动作用。但是只要出现一个“内鬼”,大规模泄露立刻出现,防不胜防。

以酒店住宿信息为例,近两年已有多起大规模泄露事件。

2018年8月,华住酒店集团发生泄露事件,涉及的个人信息数量超过5亿条。华住旗下的酒店品牌包括汉庭、美爵、桔子、全季、宜必思等,门店数量数千家。

2018年12月,国际酒店巨头万豪对外披露,其旗下品牌酒店的客人入住信息系统遭黑客入侵,数亿条个人入住信息和身份信息被泄露。

就在2020年3月末,万豪再次公告称,约520万名客户的资料可能被泄露。这次泄露的原因则为可能有人使用集团旗下一家特许经营酒店的两个员工的登录凭据,访问了数量众多的客户信息。万豪方面发现后,已禁用相关登录凭据,并通知有关部门展开调查。

检索中国裁判文书网可知,顺丰速运曾发生的一起内部员工泄露个人信息的案件。这是近年来快递行业涉及泄露个人信息的一起重大案件。

湖北省荆州中级法院2018年5月的一份判决书显示,顺丰速运员工杜立明、冯丹等11人分别就职于河北顺丰速运有限公司和荆州顺丰速运有限公司,职位涵盖安保部主管、市场部专员、仓管、快递员等。

2015年以来,杜、冯等人为谋取非法利益,利用微信、QQ等软件平台,出售、提供、非法获取包含顺丰快递单号、面单(即包含顺丰快递单号、地址、电话号码的图片)中公民的个人信息。案件涉及被泄露的公民个人信息超过千万条,涉案金额200余万元。如果折合成单条信息,每条价格仅有约0.2元。

除了酒店业、快递业,同样掌握有海量数据的一些行政机关工作人员也成为个人信息泄露的“内鬼”。

2020年4月初,湖南省衡阳市公安局刑侦支队五大队原民警肖某二审获刑四年半。衡阳中院判决认定,2017年3月,肖某发现出售公民个人信息可以赚钱,便开始利用职务便利,出售个人信息牟利。

由于肖某自己的数字证书无高级查询权限,他盗用同事的数字证书,通过登录公安机关相关信息平台,将查询到的公民户籍信息或行踪轨迹信息出售。肖某先后出售过的个人信息包括公民户籍信息、公民个人行踪轨迹信息、车辆轨迹信息、住宿信息。他设定的价格为公民个人行踪轨迹信息每条300元,车辆轨迹信息每条100元,住宿信息每条100元。

在交易过程中,肖某曾使用国内软件进行交易。出于安全考虑,他也改用一些国外软件进行联络和交易。法院审理认定,自2017年3月至2018年12月,肖某盗取公民个人信息出售给他人,违法所得总计180余万元。

正是由于国内对于信息泄露和贩卖等非法行为的治理,这些黑灰产从业者转移到Telegram这样的国外平台,以逃避打击。

截至发稿时,前述Telegram群组的参与人数仍处于不断增长中,而各种个人信息交易依然活跃。

王勇/文