luda 2020年北京重点中学家长学生数据10万个。
民间银行理财百万,千万级净值富豪10万万亿;
飞机乘客个人信息80万个;
保姆精密数据16万个;
网络贷款数据120000万亿;
.
通过业界人士,Telegram、黑暗网、《经济参考报》记者,数亿种不同的个人精密信息脱颖而出,公开销售。包括个人行踪追踪信息、征信信息、财产信息、住宿信息、通信记录,甚至脸部生物信息,点击一下就能轻松获得,买卖猖獗,信息量和成交量引人注目。
《经济参考报》记者的深入调查显示,随处可见的身份绑定、过家家权增加了App等渠道的个人信息泄露风险。更值得注意的是,随着虚拟货币的加入,无法控制的黑暗互联网论坛、Telegram等社交平台正在成为信息销售的主要渠道。
1“暗网不暗”
数十亿个个人信息明码标价。
销售猖獗
最近,Telegram的名为“社工、机器人、闲鱼、担保交易、数据、某认证群”的社交界公开了用户信息,包括户籍、手机号码、位置、调查人调查、财产调查、开馆记录、水等,大放异彩。
“现在泄露的信息量很大,所以一些黑客制作了大数据集,将各种数据称为社工机器人。只要输入适当的需求,系统就会自动检索相关信息。”一位业内人士说。
不仅是Telegram,《经济参考报》记者发现暗网的数据成交量更大。哈工大(深圳)-治安新数据安全研究院执行院长刘天仪对记者说,每年在暗网平台上销售的各种泄露资料多达数万件,每年流出的数据总量达数十亿个,成交额超过10亿元人民币。政府机关公民信息、银行、证券等金融机构的客户信息、主要通信运营商的机主、互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户、用户信息等公开销售的信息被泄露。
,这么多详细的实际数据,定价很便宜。"查一个信息平均只有几毛钱."一位业内人士对记者说。
记者从暗网看到,刚刚出库的某辅导机构全国高校93万学生身份数据销售,包装价格为30美元。发布者表示,数据是网站上记录的2016年至2018年的注册数据,包含姓名、手机号码、学校、地址等信息。目前,这一数据包显示已经达成了18次交易。
某快消品牌官方旗舰店销售信息资料提出16美元。据发布者称,数据包由该品牌2020年中的15623个销售数据信息组成,包括购买者、购买信息、价格、购买时间、购买者的电话和地址等。
此外,身份证正反照片、手持半神照片也打包销售。根据发行人提供的附件截图,相关照片不仅可以看到当事人身份证前后,还可以看到当事人一人照片和4张手持身份证照片。这种照片一共是1500套,包价格是20美元。
个人信息销售价格低廉,包括赌博类会员在内的信息价格暴涨。有人评论说,一个体育足球类App邮箱泄露了VPN账号密码,不仅更新了2020年4月1日至2020年8月8日的注册信息,还更新了红单推荐会员资料,增加了190万个。值得注意的是,这个数据包达到了2000美元,已经完成了2笔交易。
此外,还有3月份首次提取的18万个国际象棋数据包,包括电话、运营商、地区、访问次数、地址捕获、平台捕获、时间等具体信息以及交易单价300美元。
腾讯守护者计划安全专家张文。
涛表示,目前网络黑产已呈现国际化、公司化、智能化、匿名化的特点趋势。“黑灰产团伙开始通过利用暗网、Telegram等境内外多种工具平台,实施数据的窃取、流转、整合和交易。同时根据一些典型案例可以看到,部分黑灰产利用公司化的外衣,从事数据交易的不法行为,并且存在黑产人员将多渠道获取的数据进行数据清洗整合,自动化对外提供服务。”2 “黑客最青睐”
金融行业成信息泄露“重灾区”
据刘川意介绍,泄露在“暗网”的个人信息60%以上来自金融行业,金融业已经成为黑客最青睐的攻击目标。
《经济参考报》记者获得某证券机构资金50万以上优质股民信息页面截图。页面显示,25969条数据,标价168美元,拥有姓名、开户证件号、性别、年龄、籍贯、手机号、浮动盈亏等9个数据维度。发帖者表示:“姓名、身份证号码、手机号码等信息可自行验证,数据不多,贵在真实。”该数据自2021年1月17日发布,显示已成交3单。
另一个在售的数据包为某证券公司多达16万的客户信息,标价368美元。发帖者表示,该数据为2021年最新一手客户数据,内部渠道流出,暗网首发。“数据一共16.5万条,已去重,实号率95%以上,数据保真。”
此外,某商业银行的银行卡、理财信息等多项泄露出来的数据被售卖。交易编号为41884的帖子表示,该数据包拥有2021年某商业银行客户数据48566条,内含详细个人信息、银行卡号、银行卡种类多项信息。
交易编号为41847的帖子显示,其拥有前述商业银行理财客户数据48800条。“该数据为内鬼带出,首次在暗网发布,每份售价168美元。”发帖者称。
记者查看该发帖者提供的可自行验证数据看到,该数据内容详实,包括理财认购人姓名、身份证号、手机号、产品名称、认购金额、预期收益率、期限以及该认购人具体住址信息。记者登录上述银行官方网站,可以看到多个目前在售理财产品与被泄露信息一致。
除了黑客等技术人员盗取批量信息之外,也有一些“内鬼”直接参与其中。交易编号为40046的帖子显示:“只要提供身份证和姓名信息,便可代查名下所有银行卡具体信息,不带余额1100美元,结果带余额需2200美元,1-5个工作日即可出结果。”值得注意的是,该贴自2020年8月24日发布以来,目前已交易多达360单。
中国司法大数据研究院社会治理研究中心主任李俊慧表示,2016年至2020年,全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件中,从所涉个人信息数据来源行业来看,金融行业占比为39.10%,位列第一。
“金融、中介、招聘等服务行业由于严重依赖电话、短信等途径进行营销,为了提升营销的针对性、有效性,买卖公民个人信息已成了行业‘潜规则’。”北京市朝阳区人民检察院检察官助理陈莹璐说。
记者了解到,金融行业信息泄露不仅发生在中国。在境外,金融行业数据也是暗网“常客”。2020年4月9日,价值近200万美元的韩国和美国支付卡信息在暗网出售。位于新加坡的网络安全公司Group-IB检测到一个数据库,其中包含韩国、美国的银行和金融组织将近40万张支付卡记录的详细信息,并且这些信息已于2020年4月9日上载到暗网。
3 信息贩卖成“潜规则”
泄露规模呈“指数级”增长
几乎我们每个人都有如下类似的经历:刚买了房子,就有装修公司打来电话;生完小孩没多久,就有早教中心来联系;买完车刚一年,就有保险公司来推销车险……推销人员借助“隐私信息”无孔不入。个人信息泄露规模到底有多大?
业务情报安全企业永安在线产品经理邹洪志对《经济参考报》记者表示,永安在线数据泄露监测平台从2018年正式开始运营至今,已发现数据泄露事件超70000起,影响人数超过2亿。
事实上,数据泄露在全球都处于高发态势。近日,据外媒报道,WizCase安全团队在扫描国际在线外汇交易平台FBS服务器时发现了严重的数据泄露事件。此次数据泄漏多达20TB,包括超过160亿条记录。泄漏信息包括姓名、电话、邮件、护照号、个人照片、驾驶执照等个人基础信息。同时,存款金额、货币、交易ID、交易日期、余额、股本等用户财务数据也在其内。
根据ForgeRock《消费者身份信息违规报告》最近公布的数据,网络犯罪分子在2019年暴露了超过50亿条数据记录。尽管2020年第一季度数据泄露事故数量下降了57%,但从泄露量来看,只增未减,泄露了多达16亿条记录,比2019年同期增加了9%。
“被侵犯的公民个人信息数量从‘倍数级’进阶至‘指数级’爆炸式增长。”北京市第三中级人民法院副院长辛尚民此前在介绍涉公民个人信息犯罪案件审理情况时指出,随着信息技术的发展,可利用的信息数量日益庞大,从过去的姓名、身份证号、手机号、住址等传统静态信息,增加了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面多维度信息。同时,储存信息的载体从传统的U盘、硬盘等变为储存量更大的云盘,也让存储成本和难度大幅度降低。
栏目主编:顾万全 文字编辑:杨蓉 题图来源:视觉中国 图片编辑:项建英
来源:作者:经济参考报