个人信息贩卖已形成一条完整的产业链,且已由国内转向国外的网络空间。在这个空间里,一个人重要的隐私信息几乎暴露无遗,身份证号、家庭住址、车牌号、手机号、住宿记录,全部“上架”待售。
3月19日,陆续有微博用户发消息称,出现了疑似用户个人信息泄露的情况,表现为不少人的手机号已经泄露,根据微博账号可以查询到手机号。
对此,微博方面公开回应称,此次数据泄露应该追溯到2018年底。当时,有用户利用微博相关接口通过手机批量上传通讯录,匹配出几百万个账号昵称,再加上其他渠道获取的信息一起对外出售。
但是,《财经》记者深入调查后发现,微博用户信息泄露只是个人信息贩卖这一网络黑灰产的冰山一角。个人信息贩卖已形成一条完整的产业链,且已由国内转向国外的网络空间。
在这个网络空间里,一个人重要的隐私信息几乎全部暴露。卖家个个“神通广大”,身份证号、家庭住址、车牌号、手机号,甚至宾馆住宿记录,全部“上架”待售。
而且这条黑色产业链的交易体系也已升级,从使用传统网络平台及工具转向使用比特币等新型数字货币为代表的新型网络技术。
外网平台和虚拟货币支付,使得整个交易更加隐蔽和难以溯源。
根据调查情况来看,每个人的隐私信息都可能成为待价而沽的商品,这并不是危言耸听。
有关业内专家在接受《财经》记者采访时表示,个人信息泄露一般源于黑客攻击等技术手段、内部人员利用职务便利窃取并流出。存储数据的机构采取各种防范手段,但依然不能保证完全没有漏洞。
黑灰产业链转移
对于这次的微博用户信息泄露事件,微博方面表示,微博一直提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。但是,微博并不提供查询用户性别和身份证号等信息,也不提供根据用户昵称查询手机号的服务。3月的这起数据泄露事件,对微博服务没有影响。
同时微博方面强调,此次非法调用微博接口匹配出的信息仅为微博账号昵称,并不涉及身份证、密码等其他隐私数据。目前微博已经及时加强了安全策略,并将不断强化。
3月24日,工业和信息化部发布消息称,工信部网络安全管理局在3月21日对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。
主管部门和企业分别采取措施,使得这起泄露事件暂告段落。
但是《财经》记者循着此次泄露的线索深入调查后发现,这次泄露事件实际只是庞大的个人信息买卖黑灰产市场的冰山一角。
原来出没于国内网络平台的黑灰产人士,纷纷转入以Telegram为代表的国外网络平台,形成了更加隐蔽、更难溯源的新型产业链。
多名知情人士告诉《财经》记者,早先,个人信息贩子一般使用QQ、微信、贴吧等国内网络平台,主要使用微信支付、支付宝等支付工具。但随着腾讯、阿里巴巴等平台企业对黑灰产的打击力度持续加大,黑灰产业在国内的传统平台已难以立足。
而且,在原来的国内平台上,既有真正出售个人信息的贩子,也有以此为幌子的骗子。“有人做广告说有海量且准确的各类个人信息,购买者付了费后却直接被拉黑,这种事情多如牛毛。”有知情人士说。于是,这个产业链开始向外转移,以Telegram为代表的国外软件使用方便,而且引入了虚拟货币等“安全”支付方式,使得个人信息贩卖产业逐渐转至外网平台,并逐渐扩大规模且稳定下来。
从国内转向国外,支付方式更为安全,提供信息和服务越来越可靠,是产业链转移后的新形态。
“这次微博用户信息泄露事件,确实是由来已久,在群组出售查询这些信息,已经不是新鲜事。”前述知情人士告诉《财经》记者。
个人信息应有尽有
从3月27日起,《财经》记者登录Telegram账号,找到了用于出售个人信息的机器人。通过机器人界面,可以加入一个群组。3月28日,这个群组的人数显示为4万人左右,此后,人数一直在持续增长。
在群组里,不断有各类卖家发布消息出售各类个人信息,涵盖了个人户口、家庭户口、手机号查机主、名下银行卡、淘宝收货地址、微博反查、微信反查、快递单号查询收货地址、住宿记录、出行记录等等各类个人信息,几乎无所不包。
形象地说,Telegram平台上的机器人实际就是众多卖家将手中的个人信息建成一个可自动检索的数据库。如果有人想购买或查询信息,一般使用BTC(比特币)或ETH数字货币向机器人提供赞助,相当于充值。最低赞助320元人民币,可折合为260积分。群内提示的积分与数字货币换算率大致为0.358ETH=260积分。
按照规则,10积分可做一次普通查询,大约等于10元人民币可查询一次。如果没有比特币,群组里还有专门的代充值服务。
《财经》记者还在Telegram找到了5个其他类似群组,群组所出售和提供查询的信息与前述群组几乎没有区别,里面打包出售的个人信息价格从几十元到上万元不等,涉及数据动辄大小有几个G。
Telegram平台上出售个人信息的群组截图
那么,这些只要付费就可以随意查询的个人信息都是从哪里来的呢?
《财经》记者询问一些卖家,对方称,信息是从互联网各处“收集”而来。前述知情人士则认为,这些信息有不少是从历次泄露事件中整合而来,也有黑客会继续窃取,使得数据库的规模不断扩大。
《财经》记者经过亲身体验发现,具体交易流程并不复杂,找到机器人,买家充值获得积分后,可以直接用积分进行自动查询。
《财经》记者购买一些比特币,向机器人支付获取了积分。为了测试信息的准确性,《财经》记者向机器人发送了10个近亲属及朋友的手机号码,并支付10个或20个积分进行“绑定查询”,仅3秒左右时间,机器人提供出查询结果。在这10个号码中,有9个手机机主的名字准确无误。其中还有一个号码查询到准确的微信账号名和微博账号名,另有一个号码则准确查询到一位朋友使用过的邮箱密码和家庭住址。
在Telegram的此类群组中,手机机主信息只是一个入门级别的查询。《财经》记者使用机器人提供的“猎魔查询”(模糊搜索)功能,向其发送一个亲友的名字,随即机器人提示选择男女和省份。在支付100积分后,得到近30条与这名亲友同名的身份证号码信息,记者的亲友也位列其中,且身份证号码准确。
前述知情人士称,“猎魔查询”可以被用于“人肉搜索”,只需要提供被“人肉”的人的名字,就可以通过不同的信息,一步步精准锁定搜索对象。
除了查询和出售业务,《财经》记者还联络了群组中一些出售信息的卖家。记者向一名卖家提供身份证号,表示想查询这个身份证号的住宿信息。卖家表示,此类信息是以一个数据包的形式出售,数据包中包括少则数万条,多则几百万条信息,价格也从几百到几千元不等。
这位卖家称,数据包越大,就能查到越多的准确信息。在买到的一个数据包中,《财经》记者通过身份证号码查询,果真得到几条准确的住宿信息。但住宿时间并不是最新的,基本为2018年以前的信息。
因为机器人充当了第三方的角色,透过机器人查询购买,得到信息的准确性强、可靠性高,不存在传统平台上付款后被卖家拉黑的情况。这对于诸多买家来说,无疑是一种“高品质”而又可靠的服务。
前述知情人士对《财经》记者表示,新的销售方式方便了黑灰产的从业者“开展业务”,这些信息贩子隐匿于平台背后,追踪溯源的难度增大。同时,个人信息贩子预先购置了大量黑灰产“四件套”——身份证、银行卡、手机号、U盾,用以提现。
为了保证安全,“四件套”均非使用者本人信息,而是从另一批专业黑灰产人士那里购得。由此可见,个人信息贩子已非单链条发展,已经发展成为产业网络。
同时,信息贩子利用数字货币交易的特性,可以为每个卖家单独生成地址,以便于交易“安全”和隐匿交易痕迹。
经过多日调查,以及一些知情人士提供的信息,《财经》记者初步掌握这一黑灰产业链条,上游为一些黑客为代表的技术人员,他们通过各类手段获取海量数据。中游即为各类信息贩子,他们从上游购买获取数据,在群组内出售。
购买者根据自身需求购买数据和信息。据知情人士透露,这些购买者主要为三类群体:网贷从业者,购买个人信息用于向借款者追讨借款;私家侦探,购买查询信息用于调查业务;还有一部分散户并无具体目的,把购买、查询自己想要的某个个人的信息当作一种心理需求。
Telegram为何成黑灰产“温床”?
令人觉得讽刺的是,在有众多个人隐私信息被交易的网络平台——Telegram,原本是为保护用户隐私而生的。
2006年,帕维尔·杜罗夫和哥哥一起创办了俄罗斯最大的社交网站VKontakte,自此淘到了第一桶金。此后,有不少反政府人员把VKontakte当做宣传平台,这引起了俄罗斯政府的不满,要求网站加强审查。
2013年,不甘被政府干预的兄弟俩退出VKontakte,前往美国,并创立了Telegram。
简单来说,Telegram是一个加密的社交网络平台,提供秘密聊天、阅后即焚、账户定期删除等功能。
起初,Telegram曾提供了一项功能,即允许用户通过上传电话号码来搜索其他用户,以便让新用户快速了解手机通讯录中的人是否已经在使用这款软件。这项功能会自动将电话号码与群组中的用户名匹配起来,若执法部门向当地电信服务部门询问电话号码的持有者,就可以知道用户的真实身份。
后来,Telegram发布更新,允许用户禁用电话号码匹配。这样就增大了锁定使用者身份的难度,以此增强了私密性。在这样的平台规则下,Telegram的群组可自由进入,但用户信息全部很好地得到隐藏。
与之相对,Telegram强调,它的隐私理念中最重要的两点分别是保护私人谈话不被第三方窥探,以及保护个人数据不受第三方侵害。
符合用户期待的隐私理念,安全快速的产品体验,让Telegram迅速得到发展。截至2019年8月,Telegram的用户数量已超过3亿。
然而,也正是基于这样的私密特性,以及可提供虚拟货币交易的功能,致使大量非法交易纷纷在Telegram里出现,包括一些枪支弹药交易、色情产业交易,甚至被恐怖主义组织利用。也就能够理解,Telegram为什么会成为个人信息贩子们的乐土。
据隐私护卫队公号报道,在近期轰动韩国的“N号房”事件中,同样涉及Telegram。运营者在Telegram上开设直播间和聊天室,胁迫受害者拍摄强奸、性虐待的照片和视频,并有偿提供给会员。双方用虚拟货币进行交易,聊天内容会被定期销毁,难以取证和追踪。
事件发生后,Telegram在韩国警方的要求下,删除非法视频。不过,最终没有满足警方提供非法视频上传者个人信息的要求。
出于绝对保护用户隐私理念,Telegram拒绝接受政府监管,于2018年在俄罗斯境内被屏蔽。此外,伊朗、印尼、巴基斯坦等多个国家也已经禁用Telegram。
被“人肉”的调查者