“一系列的信息泄露助长了骚扰电话有针对性地对特定公民的骚扰。”
为解决电话骚扰难题,推进社会共治,奥一实测研究院在2021年网络安全周期间推出《骚扰电话整治》系列报道:
骚扰电话越来越精准,整治难点痛点何在?专家指个人信息泄露
商业营销类电话凶猛!房产中介、教育培训、贷款理财排前三
套餐越贵越易被骚扰?号码使用越长骚扰电话越多?调查揭秘啦
孩子高考结束后,家长3个月收到几十个招生电话,怎么回事?
今年7月1日-9月15日,奥一实测研究院对近50名志愿者进行两个多月的跟踪记录,并结合1000多份“关于骚扰电话的用户感知度调查”情况,采访多位业内专家,发现骚扰、诈骗电话产生的背后,或是个人信息的泄露。
而个人信息又是如何泄露的呢?有哪些泄露渠道?奥一新闻记者调查发现,有不少人通过技术手段获取网络用户的个人信息后,在QQ群、网站上出售牟利,而值得注意的是,在利益的驱动下,个人信息泄露甚至形成了完整的黑灰产业链。
个人信息被明码标价、大量出售
近日,奥一新闻记者在一个名为“网络数据采集”的QQ群中发现,不仅有人售卖数据采集软件,甚至有人在群里公开出售个人信息,包括姓名、电话、省份、地区等。
在记者加入该QQ群的几个小时后,群里便有“卖家”主动添加记者QQ并询问“需要哪些数据”。当记者表示需要金融理财类用户信息时,该“卖家”向记者表示,可支持采集超200个金融理财类网站或app的用户信息,信息包括姓名、电话、邮箱、持股数量,甚至身份证号等。
“卖家”提供给记者的截图
“卖家”提供给记者的截图
而如此精准、隐秘的数据,价格却十分低廉。“1块一条,1000条起拿。”该“卖家”向记者报出价格。也就是说,1000元即可获得1000条涉及大量个人隐私的数据信息。
除此以外,还有不少“买家”在群里求购个人信息,包括房产行业、金融行业、保险行业等用户信息,并称目的是“拓客引流”。
爬虫技术被误用,信息泄露渠道多样
个人信息是怎样被获取的?“爬虫、内鬼、黑客脱库、服务商泄漏……”一位业内人士告诉记者,信息泄露的途径有很多,每一种方式都有可能。
闪捷信息安全战略研究中心发布的《2020年度数据泄漏态势分析报告》显示,个人信息泄露占所有数据泄露事件的60%。在泄漏的个人信息中,姓名出现在45%的个人信息泄露事件中,其次是电话号码,占比为32%。
在记者的调查中,发现许多“卖家”擅用“爬虫”等技术抓取数据,而后在网上出售牟利。只要“买家”明确自己需要的是哪些信息,他们就能根据要求爬取相关信息。
“卖家”与“买家”聊天截图,受访者提供。
一位做金融产品推销的受访者陈小姐(化名)向记者提供了一张咨询“如何获取用户信息”的聊天截图。据陈小姐称,她们公司每个月有推介新客户的任务指标,为了完成业绩,有时不得已只能去网上购买一些用户信息。陈小姐通过QQ找到了一名“卖家”,对方称可以“短信劫持”抓取到用户的注册信息,价格是“8块钱一条,因为金融的话比较敏感,所以这个价格要比其他行业的价格高一点。”
除了金融类网站,购物网站也是个人信息被窃取的途径之一。近日,朝阳网警侦破了一个“爬虫”直播间偷数据的团伙。经调查发现,某购物网站“直播间”时常出现瞬时的流量激增现象,系因有人在直播期间通过“爬虫”软件窃取相关数据而产生。被“爬虫”窃取来的直播数据经过一定处理后,都会在一网站上对外出售。
永安在线数据泄露监测平台统计,从2020年1月1日至今,共监测到数据泄露事件21620起,涉及的行业涵括金融、互联网、电商、教育等行业,这些事件大部分来自API爬取。
此外,第三方平台也是常见的泄露渠道。近年来,App违规收集用户信息或强制、频繁、过度索取个人权限,引发了许多用户的质疑。“注册一个账号还要求填写生日、居住地、从事行业等无关平台的个人信息,还要开放定位、相册访问等权限,涉及太多个人隐私,感觉很不安全。”有用户吐槽道。
违规收集用户信息再往前一步,就很有可能发展成违法使用或信息泄露,而平台数据泄露事件并不少见。
2018年6月,知名视频网站A站遭黑客攻击,近千万用户数据泄露。
2019年5月,优衣库母公司日本迅销发布了一项声明称,优衣库、GU销售网站受到黑客攻击,超过46万名用户信息遭到未授权访问,这意味着顾客的信息遭到了泄露。
2020年8月,淘宝(中国)软件有限公司报警称,有黑产通过mtop订单评价接口绕过平台风控批量爬取加密数据,爬取内容包括买家用户昵称、用户评价内容、昵称等敏感字段。
……
利益驱使下,信息泄露诱发“精准”犯罪
信息泄露为何如此猖獗?
闪捷信息安全战略研究中心发布的《2020年度数据泄漏态势分析报告》显示,以获利为目的的数据泄露事件占所有泄漏事件特征的80%以上,说明数据泄露事件仍然是利益驱动。
无论是爬取信息出售牟利,还是以泄漏的数据作为筹码,向企业索取高额赎金,都不外乎“利益”二字,而在利益的驱使下,信息倒卖现象屡禁不止,信息泄露问题生生不息。
对于用户而言,过度泄露个人信息,不仅容易招致“精准”营销的骚扰电话,还有可能遭遇诈骗,造成财产损失。获取更多的用户信息,意味着诈骗能够编造出准确性更高的诈骗场景,以迷惑用户,提升诈骗的成功概率。至此,信息泄露与信息买卖也就成了“精准”犯罪的助推器。
此外,企业的数据泄露也是常见的网络安全事件之一。企业在发展运营过程中涉及的敏感数据,是不法分子眼中的“香饽饽”,通过技术手段索取数据或投放勒索病毒,以此要挟、勒索企业,获取暴利。
巨大的经济利益促使不法分子趋之若鹜,肆意探寻个人隐私、企业隐私,让信息泄露无孔不入,甚至悄然形成了一条完整的黑灰产业链。从各种信息被非法获取,到加工转卖,再到信息被用以“精准”营销、诈骗、勒索,每个环节都“拴”着利益,严重威胁着个人、企业甚至国家的信息安全,信息保护压力日趋增大。
随着消费者对隐私保护的呼声越来越高,政府也在不断加强对个人信息保护的力度,如何在精准电话营销与消费者隐私保护中求得平衡成了商家与电信运营商平台需要思考和研究的重要问题。
监制:谢艳霞
策划:谢江涛 高春明
统筹:管玉慧
执行:林思思 张洁莹