近期,微博發生用戶數據洩露事件,引發監管層問詢約談。新京報記者調查發現,實際上,被洩露的不止微博用戶數據,在黑灰產交易平台上還可以查詢到QQ、貼吧甚至LOL遊戲账號的用戶數據信息。“人肉搜索”已經成為了一門灰色生意,花250元甚至可以根據名字查到你的戶口簿信息。
新京報記者發現,根據平台、賣家不同,“人肉搜索”的種類、價格也從數百元到數千元不等,而這些信息均來自於黑灰產人士用於儲備個人信息的“社工庫”。
“社工庫是長期存在於黑市裡的數據,來源很廣泛,有各種信息洩露事件中積累的個人信息,也有從爬蟲網絡上找得到的一些其他信息。社工庫及人肉搜索行為觸犯了《網絡安全法》及其他有關法律、行政法規關於個人信息保護的規定。但對其的打擊難點在於,這些庫很多都是歷史信息,已經流轉多次,很難追尋源頭並封堵。”3月27日,梆梆安全高級谘詢專家貝松濤對新京報記者表示。
數據從何處洩露?
微博:手機號碼不來源於微博 專家:洩露來自社工庫
3月19日,微博被曝發生數據洩露。默安科技CTO魏興國發布一條微博(目前已刪除)稱,通過技術查詢發現不少人手機號已經洩露。3月20日,新京報記者調查發現,在多個網絡平台上確實出現了相關的數據買賣,只要繳費即可通過微博账號查詢到用戶的手機號碼及其他更詳細個人私密信息。
對於這次用戶數據洩露,微博方面對新京報記者表示,外部流傳的“微博用戶資料庫”中的手機號碼並不來源於微博,而是黑客從其他渠道非法獲取,再通過微博相關接口批量上傳手機通訊錄匹配账號昵稱。黑客同時利用非法獲取的手機號在其他渠道獲取信息,組成所謂的“微博用戶資料庫”對外出售。
3月24日,工信部在官網發布消息稱,針對媒體報導的新浪微博因用戶查詢接口被惡意調用導致App數據洩露問題,工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談,要求其按照《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人信息行為認定方法》,進一步采取有效措施,消除數據安全隱患。並要求微博盡快完善隱私政策,規範用戶個人信息收集使用行為,強化用戶查詢接口風險控制等安全保護策略等。
新京報記者注意到,工信部與微博都提到了“接口”。那麽,什麽是“接口”?其在此次信息洩露中起到了什麽作用呢?
貝松濤表示,App的用戶查詢接口指的是一個應用系統可能開放了某個API(應用程序接口),來做個人信息的查詢,這種API很關鍵,需要加強安全保護。對發起的請求方做身份驗證,IP地址鑒別、證書校驗都是可選的安全方式。
熟悉黑產運作方式的人士李環(化名)告訴記者,使用App账號反查用戶身份的一個關鍵環節是,取得账號與注冊手機號的對應關係,此後再通過手機號與身份證的對應關係確定用戶身份,其中,手機號與身份的對應關係並非App洩露,但账號與手機號的對應關係極有可能是通過App開放的接口獲得。
李環舉例稱,此前微博與脈脈就曾因接口問題“鬧崩”:脈脈在和微博合作期間,脈脈用戶可以在該App的“一度人脈”功能中直接看到非脈脈用戶的微博頭像和名稱,這正是微博向脈脈開放了其API接口。後來微博提起訴訟,認為脈脈存在非法抓取、使用微博用戶信息,非法獲取並使用脈脈注冊用戶手機通訊錄聯繫人與微博用戶的對應關係等行為,雙方對簿公堂,最終微博方面勝訴。
此外,新京報記者發現包括微博在內,不少App都會要求用戶開啟通訊錄權限。對此,貝松濤表示,開啟通信錄權限只是獲取用戶的聯繫人信息,和账號與手機號對應本身沒有必然關係。但是通過獲取聯繫人信息,得到了手機號和姓名的對應,黑客再根據姓名-账號庫就可以把這些信息關聯起來。“所以獲取通訊錄權限可能會助漲這樣的洩露事件發生。”
有安全人士稱,此次微博數據洩露事件與用戶通訊錄權限的關係不大,用戶手機號與用戶真實身份的聯繫並非從微博洩露,而是來源於已有的“社工庫”,真正需要微博負責的可能就是其對接口的安全保護策略。
在被工信部約談後,微博表示,公司高度重視數據安全和個人信息保護,針對此次事件已采取了升級接口安全策略等措施,後續將按照工信部要求,落實企業數據安全主體責任,切實做好用戶個人信息保護工作。
貝松濤表示,账號和手機號的對應關係,可以由任何一次信息洩露事件引發,例如過去發生過的華住洩露事件。而一個人通常都是用同樣的账號和手機號來注冊多個信息系統。
源頭“社工庫”?
100元買4G郵箱數據,70億條數據叫價2萬
那麽,包括微博在內的各個平台,其洩露的數據是如何與用戶真實身份聯繫起來的呢?
3月20日至3月27日,新京報記者在多個黑灰產平台調查發現,提供姓名查詢身份證,或提供App账號查詢對應手機號碼的業務已經形成了產業鏈,而根據平台、賣家的不同,這類“人肉搜索”的價格也不盡相同。
如有黑灰產賣家提供“全自動”的人肉搜索服務,買家只要支付320元成為VIP就可以享受該人肉搜索服務,服務內容包括查詢微博、QQ、貼吧、LOL遊戲账號的對應手機號等信息。
3月20日,新京報記者為調查向黑產人士購買了價值約12元人民幣的積分,獲得了201條微博用戶信息,其中不少信息包括用戶身份證號、手機號、密碼、生日等私密信息。對於其提供的微博定向查詢手機號服務,記者測試查詢了3個已綁定手機的微博账號,結果有2個微博账號顯示為正確的關聯手機號碼,其中1個還給出了微博綁定的QQ等更詳細的信息,另一個微博账號的查詢結果顯示“無信息”。
李環告訴記者,能夠查詢到的信息均來自於該群組的“社工庫”,而無法查詢到的信息即該“社工庫”尚未收集到的信息。令人驚訝的是,該社工庫數據量極其龐大,記者隨機查詢了10條身份信息,均指向了正確的結果。
“黑灰產人士在這方面‘深耕’越久,數據量就越大,若有足夠耐心的黑灰產人士將歷史上各個時期洩露的數據都予以收集,其‘社工庫’的數據量會達到驚人的地步。‘社工庫’的擁有者往往是人肉搜索產業鏈的上遊,不少數據掮客、私家偵探等查用戶账號密碼或查開房記錄時,其實都是從這些‘社工庫’中購買信息,再加價對客戶進行‘二倒手’售賣。”李環表示。
3月25日,新京報記者從多個網絡平台上搜索到不少直接售賣社工庫數據的黑灰產項目,價格從50元到2萬元不等。其中,一個售價100元的“老密郵箱數據庫”信息,足足有4個G,裡面全部都是曾經洩露過的用戶郵箱地址及密碼。對於這些數據的來源,賣家表示是“網上收集”的。
記者瀏覽到的數據量最大的是一個號稱包括70億有效數據的“已知全部洩露數據庫”。賣家聲稱該數據庫內含28.93億條郵箱信息,4.26億條身份證信息,8.27億條手機信息,售價2萬元人民幣。
號稱有70億條數據的社工庫售價2萬元。
貝松濤表示,社工庫是長期存在於黑市裡的數據,來源很廣泛,有各種信息洩露事件中積累的個人信息,也有從爬蟲網絡上找得到的一些其他信息。“這些庫很多都是歷史信息,已經流轉多次,很難追尋源頭並封堵。”
在“社工庫”下遊的,就是依托社工庫查詢各類私人信息的人肉搜索黑產。
在各類黑灰產平台中,記者發現由於直接購買社工庫的海量數據價格昂貴,最為活躍的交易是人肉搜索。
如在某黑產相關的QQ群中,有人谘詢已知身份證號查詢開房記錄,有賣家報價2000元,而同等的“業務”在某平台上一般報價700至1000元。對已知姓名查詢戶口簿頁面的“查全戶”業務,網上報價則在250元至400元不等。面對不同的買家,同一個賣家也經常抬價。
黑產人士表示250元可以提供戶口信息。
3月26日,記者使用某平台發現,可通過姓名直接查詢到身份證號,花費固定為123元。而若使用社交平台账號查手機號服務,其會根據該账號關聯到精確信息進行報價,例如查詢微博數據,若只能關聯到手機號碼信息,其收費37元,若還能關聯到QQ號等其他信息,則收費98元。
北京盈科(杭州)律師事務所律師方超強對新京報記者表示,非法獲取,買賣或者向他人提供公民個人信息情節嚴重的,構成侵犯公民個人信息罪。達到情節嚴重的,可處以三年以下有期徒刑;達到情節特別嚴重的,可以處三年以上七年以下有期徒刑。“當然,並非所有與個人有關的信息都屬於構成該罪的信息,必須是能夠結合識別特定個人的信息,如果是處理過的,無法識別特定個人且不能複原的信息則不屬於。”
貝松濤則表示,社工庫主要觸犯了《網絡安全法》,例如第二十二條:網絡產品、服務應當符合相關國家標準的強製性要求。網絡產品、服務的提供者不得設置惡意程序等規定;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。
根據國家計算機網絡應急技術處理協調中心提供的數據,近年來,攻擊篡改、植入後門、數據竊取等危害互聯網網站安全的行為呈現快速增長趨勢。國家計算機網絡應急技術處理協調中心抽樣監測發現,2019年前4個月我國境內被植入後門的網站10010個,同比增長22.5%,由於運營者安全配置不當,很多數據庫直接暴露在互聯網上,導致大量用戶個人信息洩露。
新京報記者注意到,對違法違規買賣個人信息的網絡黑產,政府一直采取嚴厲打擊的態度。如中央網信辦、工業和信息化部、警察部、市場監管總局四部門於2019年5月至2019年12月聯合開展全國範圍的互聯網網站安全專項整治工作,專項治理期間,各地通信管理局、警察機關將根據《網絡安全法》,對落實網絡安全義務不到位,發生網頁篡改、被植入後門木馬、大量公民個人信息被竊取等網絡安全事件,以及存在非法獲取、出售或提供個人信息等行為的網站,依據情節嚴重程度,采取約談主要負責人、停業整頓、關閉網站、注銷備案等措施並公開曝光,涉企行政處罰信息將依法納入市場監管總局國家企業信用信息公示系統予以公示。
新京報經濟調查組 編輯 李薇佳 校對 柳寶慶
香港九龍灣馬來街興發大廈15樓D室