近期,微博發生使用者資料洩露事件,引發監管層問詢約談。新京報記者調查發現,實際上,被洩露的不止微博使用者資料,在黑灰產交易平臺上還可以查詢到QQ、貼吧甚至LOL遊戲賬號的使用者資料資訊。“人肉搜尋”已經成為了一門灰色生意,花250元甚至可以根據名字查到你的戶口簿資訊。
“社工庫是長期存在於黑市裡的資料,來源很廣泛,有各種資訊洩露事件中積累的個人資訊,也有從爬蟲網路上找得到的一些其他資訊。社工庫及人肉搜尋行為觸犯了《網路安全法》及其他有關法律、行政法規關於個人資訊保護的規定。但對其的打擊難點在於,這些庫很多都是歷史資訊,已經流轉多次,很難追尋源頭並封堵。”3月27日,梆梆安全高階諮詢專家貝松濤對新京報記者表示。
資料從何處洩露?
3月19日,微博被曝發生資料洩露。默安科技CTO魏興國發布一條微博(目前已刪除)稱,通過技術查詢發現不少人手機號已經洩露。3月20日,新京報記者調查發現,在多個網路平臺上確實出現了相關的資料買賣,只要繳費即可通過微博賬號查詢到使用者的手機號碼及其他更詳細個人私密資訊。
對於這次使用者資料洩露,微博方面對新京報記者表示,外部流傳的“微博使用者資料庫”中的手機號碼並不來源於微博,而是黑客從其他渠道非法獲取,再通過微博相關介面批量上傳手機通訊錄匹配賬號暱稱。黑客同時利用非法獲取的手機號在其他渠道獲取資訊,組成所謂的“微博使用者資料庫”對外出售。
3月24日,工信部在官網釋出訊息稱,針對媒體報道的新浪微博因使用者查詢介面被惡意呼叫導致App資料洩露問題,工業和資訊化部網路安全管理局對新浪微博相關負責人進行了問詢約談,要求其按照《網路安全法》《電信和網際網路使用者個人資訊保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人資訊行為認定方法》,進一步採取有效措施,消除資料安全隱患。並要求微博儘快完善隱私政策,規範使用者個人資訊收集使用行為,強化使用者查詢介面風險控制等安全保護策略等。
貝松濤表示,App的使用者查詢介面指的是一個應用系統可能開放了某個API(應用程式介面),來做個人資訊的查詢,這種API很關鍵,需要加強安全保護。對發起的請求方做身份驗證,IP地址鑑別、證書校驗都是可選的安全方式。
熟悉黑產運作方式的人士李環(化名)告訴記者,使用App賬號反查使用者身份的一個關鍵環節是,取得賬號與註冊手機號的對應關係,此後再通過手機號與身份證的對應關係確定使用者身份,其中,手機號與身份的對應關係並非App洩露,但賬號與手機號的對應關係極有可能是通過App開放的介面獲得。
李環舉例稱,此前微博與脈脈就曾因介面問題“鬧崩”:脈脈在和微博合作期間,脈脈使用者可以在該App的“一度人脈”功能中直接看到非脈脈使用者的微博頭像和名稱,這正是微博向脈脈開放了其API介面。後來微博提起訴訟,認為脈脈存在非法抓取、使用微博使用者資訊,非法獲取並使用脈脈註冊使用者手機通訊錄聯絡人與微博使用者的對應關係等行為,雙方對簿公堂,最終微博方面勝訴。
此外,新京報記者發現包括微博在內,不少App都會要求使用者開啟通訊錄許可權。對此,貝松濤表示,開啟通訊錄許可權只是獲取使用者的聯絡人資訊,和賬號與手機號對應本身沒有必然關係。但是通過獲取聯絡人資訊,得到了手機號和姓名的對應,黑客再根據姓名-賬號庫就可以把這些資訊關聯起來。“所以獲取通訊錄許可權可能會助漲這樣的洩露事件發生。”
有安全人士稱,此次微博資料洩露事件與使用者通訊錄許可權的關係不大,使用者手機號與使用者真實身份的聯絡並非從微博洩露,而是來源於已有的“社工庫”,真正需要微博負責的可能就是其對介面的安全保護策略。
在被工信部約談後,微博表示,公司高度重視資料安全和個人資訊保護,針對此次事件已採取了升級介面安全策略等措施,後續將按照工信部要求,落實企業資料安全主體責任,切實做好使用者個人資訊保護工作。
貝松濤表示,賬號和手機號的對應關係,可以由任何一次資訊洩露事件引發,例如過去發生過的華住洩露事件。而一個人通常都是用同樣的賬號和手機號來註冊多個資訊系統。
源頭“社工庫”?
100元買4G郵箱資料,70億條資料叫價2萬
那麼,包括微博在內的各個平臺,其洩露的資料是如何與使用者真實身份聯絡起來的呢?
3月20日至3月27日,新京報記者在多個黑灰產平臺調查發現,提供姓名查詢身份證,或提供App賬號查詢對應手機號碼的業務已經形成了產業鏈,而根據平臺、賣家的不同,這類“人肉搜尋”的價格也不盡相同。
如有黑灰產賣家提供“全自動”的人肉搜尋服務,買家只要支付320元成為VIP就可以享受該人肉搜尋服務,服務內容包括查詢微博、QQ、貼吧、LOL遊戲賬號的對應手機號等資訊。
3月20日,新京報記者為調查向黑產人士購買了價值約12元人民幣的積分,獲得了201條微博使用者資訊,其中不少資訊包括使用者身份證號、手機號、密碼、生日等私密資訊。對於其提供的微博定向查詢手機號服務,記者測試查詢了3個已繫結手機的微博賬號,結果有2個微博賬號顯示為正確的關聯手機號碼,其中1個還給出了微博繫結的QQ等更詳細的資訊,另一個微博賬號的查詢結果顯示“無資訊”。
李環告訴記者,能夠查詢到的資訊均來自於該群組的“社工庫”,而無法查詢到的資訊即該“社工庫”尚未收集到的資訊。令人驚訝的是,該社工庫資料量極其龐大,記者隨機查詢了10條身份資訊,均指向了正確的結果。
“黑灰產人士在這方面‘深耕’越久,資料量就越大,若有足夠耐心的黑灰產人士將歷史上各個時期洩露的資料都予以收集,其‘社工庫’的資料量會達到驚人的地步。‘社工庫’的擁有者往往是人肉搜尋產業鏈的上游,不少資料掮客、私家偵探等查使用者賬號密碼或查開房記錄時,其實都是從這些‘社工庫’中購買資訊,再加價對客戶進行‘二倒手’售賣。”李環表示。
3月25日,新京報記者從多個網路平臺上搜索到不少直接售賣社工庫資料的黑灰產專案,價格從50元到2萬元不等。其中,一個售價100元的“老密郵箱資料庫”資訊,足足有4個G,裡面全部都是曾經洩露過的使用者郵箱地址及密碼。對於這些資料的來源,賣家表示是“網上收集”的。
記者瀏覽到的資料量最大的是一個號稱包括70億有效資料的“已知全部洩露資料庫”。賣家聲稱該資料庫內含28.93億條郵箱資訊,4.26億條身份證資訊,8.27億條手機資訊,售價2萬元人民幣。
號稱有70億條資料的社工庫售價2萬元。
貝松濤表示,社工庫是長期存在於黑市裡的資料,來源很廣泛,有各種資訊洩露事件中積累的個人資訊,也有從爬蟲網路上找得到的一些其他資訊。“這些庫很多都是歷史資訊,已經流轉多次,很難追尋源頭並封堵。”
在“社工庫”下游的,就是依託社工庫查詢各類私人資訊的人肉搜尋黑產。
如在某黑產相關的QQ群中,有人諮詢已知身份證號查詢開房記錄,有賣家報價2000元,而同等的“業務”在某平臺上一般報價700至1000元。對已知姓名查詢戶口簿頁面的“查全戶”業務,網上報價則在250元至400元不等。面對不同的買家,同一個賣家也經常抬價。
黑產人士表示250元可以提供戶口資訊。
3月26日,記者使用某平臺發現,可通過姓名直接查詢到身份證號,花費固定為123元。而若使用社交平臺賬號查手機號服務,其會根據該賬號關聯到精確資訊進行報價,例如查詢微博資料,若只能關聯到手機號碼資訊,其收費37元,若還能關聯到QQ號等其他資訊,則收費98元。
北京盈科(杭州)律師事務所律師方超強對新京報記者表示,非法獲取,買賣或者向他人提供公民個人資訊情節嚴重的,構成侵犯公民個人資訊罪。達到情節嚴重的,可處以三年以下有期徒刑;達到情節特別嚴重的,可以處三年以上七年以下有期徒刑。“當然,並非所有與個人有關的資訊都屬於構成該罪的資訊,必須是能夠結合識別特定個人的資訊,如果是處理過的,無法識別特定個人且不能復原的資訊則不屬於。”
貝松濤則表示,社工庫主要觸犯了《網路安全法》,例如第二十二條:網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設定惡意程式等規定;涉及使用者個人資訊的,還應當遵守本法和有關法律、行政法規關於個人資訊保護的規定。
根據國家計算機網路應急技術處理協調中心提供的資料,近年來,攻擊篡改、植入後門、資料竊取等危害網際網路網站安全的行為呈現快速增長趨勢。國家計算機網路應急技術處理協調中心抽樣監測發現,2019年前4個月中國境內被植入後門的網站10010個,同比增長22.5%,由於運營者安全配置不當,很多資料庫直接暴露在網際網路上,導致大量使用者個人資訊洩露。
新京報記者注意到,對違法違規買賣個人資訊的網路黑產,政府一直採取嚴厲打擊的態度。如中央網信辦、工業和資訊化部、公安部、市場監管總局四部門於2019年5月至2019年12月聯合開展全國範圍的網際網路網站安全專項整治工作,專項治理期間,各地通訊管理局、公安機關將根據《網路安全法》,對落實網路安全義務不到位,發生網頁篡改、被植入後門木馬、大量公民個人資訊被竊取等網路安全事件,以及存在非法獲取、出售或提供個人資訊等行為的網站,依據情節嚴重程度,採取約談主要負責人、停業整頓、關閉網站、登出備案等措施並公開曝光,涉企行政處罰資訊將依法納入市場監管總局國家企業信用資訊公示系統予以公示。
新京報經濟調查組 編輯 李薇佳 校對 柳寶慶