來源丨鏡相工作室(shangyejingxiang)
作者丨周近嶼
編輯丨盧枕
圖源丨攝圖網
在網路安全領域從業13年,面對個人資訊洩露,盧聖龍多次提到“無力感”。
他是一家網路安全公司安全實驗室的負責人,工作之一是作為授權駭客,測試一些單位或公司的網路安全,他們經常輕易拿到很多企業的內部資料;他的個人資訊遭遇過洩露;我們習慣將個人資訊交付給各個APP和小程式,但“大家對於資料的流向沒有知情權”。
對此,他有一種深深的無力感:我很注重隱私安全,想保護隱私,但我的資訊在很多企業的伺服器裡,你還得寄期望於存放資料的這些公司能保護好它們。
聊天過程中,盧聖龍在五秒鐘之內查到了我的身份證資訊,以及一個十年前的、詳細到門牌號碼的住址。“剛才我沒有花精力調查你,沒有花錢查詢,我就做了一個檢索。因為有人將之前所有洩露過的資訊進行收集,免費或付費提供查詢服務,甚至氾濫到包括很基礎的資訊。”
我們是如何在不經意間成為一個透明人的?是誰偷走了我們的隱私?個人資訊如何成為地下論壇的商品?背後是怎樣一個龐大又隱秘的市場?
以下為盧聖龍的講述:
“黑產團隊對深度偽造的利用,可能是會爆發的一點”
從業經歷中,我印象最深的資訊洩露事件是發生在2011年的CSDN資料洩露。
有兩個原因。首先,這件事和我的生活和工作強相關,它是一個技術論壇,使用者都是像我一樣的IT人。當時,我的資訊也被洩露了,對我的生活有很大影響,那段時間,我瘋狂改密碼、改賬戶暱稱、更換郵箱。
第二個原因是,黑產團隊發現,原來資料有這麼大價值,後續引起了一連串資料洩露事件。
我個人認為,資料洩露開始氾濫就是從“CSDN事件”開始,至今過了14年,我可以從影響層面對資料洩露的現狀做一個概括。
第一,規模越來越大。CSDN洩露的資料有數百萬,後來天涯論壇資訊洩露時,有數千萬的資料,國外一些機構甚至涉及上億資料洩露。
2016年,京東資料洩露,有12G左右的一個壓縮包流通售賣,包括使用者的名稱、電話號碼、註冊郵箱、密碼,有些有身份證資訊,還有購買商品的收件人資訊。這是一件影響非常惡劣的事情,直到今天,你在很多所謂的“開盒”工具裡能查到個人資訊,可能很多就來自於當初的京東資料洩露事件。(注:開盒是指公開曝光他人隱私的行為,是一種網路暴力。)
第二,頻率在增加,幾乎每年都有多起資料洩露的事件被曝光。
第三,洩露的方式越來越多樣化了。剛開始,主要是駭客攻擊,後來擴充套件到內部人員作案,現在還發展出一些新的攻擊手法,比如透過公鏈攻擊獲取資料。
第四,危害程度和影響範圍也越來越大。比如京東的資料洩露更多受影響的是個人,後來擴充套件到企業層面,比如針對企業的勒索攻擊;現在很多機構甚至政府單位,也會面臨資料洩露的問題。大量的資訊洩露,危害和影響範圍就會上升到社會層面,增加社會治理成本,削弱公眾對社會機構的信心。
現在,隨著AI的發展,黑產團隊也在應用相關技術。
有些黑產團隊已經在使用AI做資料的關聯和分析。比如透過AI打標籤、出詐騙劇本。另外的一種可能,是透過AI發現安全漏洞,但我感覺在短期內還不太可能發生,可能未來有這個趨勢。
對於黑產團隊來說,AI目前主要是提高效率,技術手段還沒有特別多的創新。但黑產團隊對深度偽造的利用,可能是會爆發的一點,如果黑產團隊有你的人臉資訊,和其他足夠多的資料,可以生成足夠逼真的影片或音訊詐騙。
當然,技術的發展也會驅動網路安全的AI化建設,可以相應提高安全防護水平。在我們領域,相信魔高一尺道高一丈。有一句話叫沒有絕對安全的系統,網路攻防的對抗,本質是成本的對抗,我們建設網路安全體系,目的不是保證系統100%安全,是阻止那些低水平的攻擊者,繼續投入,就能阻止中水平的攻擊者。我們投入防守,是去提高攻擊者的攻擊成本。
最容易被盯上的四類人群
洩露的個人資訊大概可以分為五類。
最常見的是基礎資訊,姓名、地址、身份證等;其次是應用資料,有很多企業會對使用者做分析打標籤,比如喜歡吃什麼食物、消費水平怎麼樣、有怎樣的資產,這些標籤資料就屬於應用資料。還有裝置資訊,比如手機裝置的資料;還有網路資訊,包括IP資訊;還有就是關聯出來的家庭、好友圈資訊等。
個人資訊在買賣環節是明碼標價的,價格高低在於它的價值、資料完整程度,以及新鮮度等。
帶有行業屬性的資訊比較值錢。金融資料有很高價值;投資網站洩露的資訊,價格也會高一些,比較新的資料一條可能賣到幾塊錢。你肯定有錢才想去投資,對於詐騙的人來說,是比較好的目標。
另外就是外賣或者快遞資料,因為含有地址資訊。大多數的資訊註冊需要姓名、身份證、手機號,但不需要住址,所以這個資訊相對來說比較稀缺。
地址有很多應用場景。比如說催收需要你的地址資訊,網路暴力需要地址資訊,詐騙也需要地址資訊。之前有一種詐騙,中秋節給你寄一張蟹卡,需要掃碼繫結一些資訊,然後把你的錢轉走。
如果單純是姓名、身份證等基礎資訊,就不太值錢,黑產團隊需要對這些資料進行深度挖掘才能拿來所用,這樣的資料幾萬條可能就幾塊錢。
我曾經見到過一份來自貸款網站的資料,它包含了姓名、身份證正反面,手持照片人臉識別的認證影片,包括念數字認證的聲音。這種資料賣得貴一些,一條可能要十幾二十塊。每個人的聲紋和人臉是具有唯一性的生物資料,他們可能會利用AI技術做人臉替換。
個人資訊洩露之後,大多會用在這些場景:
一個是營銷,比如我們買房後收到裝修電話。
還有詐騙,冒充你的領導讓你轉錢。詐騙的很多場景是基於洩露的資料做的畫像構造,然後設定劇本,這樣的話成功率要高很多。
第三是競爭對手;第四是個人,比如“人肉開盒”,對應的是網路暴力。
從資訊洩露的主體來看,企業資料洩露是最多的,包含了我們常用的網際網路工具的公司;醫療機構、教育機構資訊洩露相對來說也比較多;還有第三方的服務提供商。之前,有一份大概上億條的外賣訂單地址的資料洩露,洩露的源頭就是第三方的配送商。
企業、醫療、教育和供應鏈,有一個共同點,他們不像金融機構、大型網際網路公司在安全投入方面這麼高,甚至有些第三方的服務提供商,幾乎沒有網路安全建設。
從工作經驗來看,有四類人群的個人資訊最容易被盯上。
第一類是高淨值人群,對於詐騙團伙或者推銷人員來說,都意味著很高價值。
第二類是在校學生,個人防護意識和能力比較弱,對於詐騙團隊來說是比較好下手的物件。
第三類是老年人,對應保健品推銷和詐騙。老人對於網際網路技術瞭解的不多,容易受騙;也有相當的經濟能力。
最後是患者資訊,這也是比較高危的資訊,因為大家都很在乎身體健康,對於黑產團隊來說,價值就比較高。
個人資訊買賣產業鏈的上中下游
個人資訊洩露背後是一門生意,這個產業鏈條可以分為上游、中游和下游。
上游是駭客和“內鬼”。他們以批發或零售的形式快速獲利。
駭客群體也分三六九等,初級和中級駭客廣撒網,可能一次性攻擊1000家或者1萬家公司,高階駭客就選3到5家有價值的定向攻擊。
還有被業內稱為“指令碼小子”的駭客,這些人不懂攻擊原理,也不懂漏洞挖掘,只會用開源工具對一些幾乎沒有防護的網站進行傻瓜式攻擊。“指令碼小子”的組成非常混亂,有社會不良分子,甚至有初中生、高中生,他們對駭客技術沒興趣,只想掙錢。
現在很尷尬的一點是,有很多以往的安全防護人員,因為一些原因,在做攻擊型別的黑產。我之前團隊的一個兄弟離職之後,去了國外,我從其他渠道獲知,他就在做黑產相關工作。我當時很吃驚,曾經身邊很鮮活的一個人,讓我有些捉摸不透。
其實做技術,多多少少會對技術有敬畏,你知道什麼事做了之後就很難回頭了。
隨著個人、社會等各個層面對資料安全的重視,我覺得“內鬼”是現在資料洩露源頭在增長的重要原因。
我們常見的很多資訊都是內部人員洩露的。比如酒店相關的業務人員,有查詢開房記錄的許可權,有可能一次查詢收費大幾百塊、一兩千塊,包括一些可以查資產資訊、婚姻資訊的人員。
我覺得這些人都不是很高職位,大多來自業務一線。我之前看到過新聞,有輔警查個人資訊,有車管所的人往外傳遞新車的註冊資訊。甚至房產售樓處的人也有可能成為“內鬼”,大家買房後經常接到各種電話,深受其害。
從行業上來分,掌握個人資訊的行業裡都有可能有內部人員做這樣的事情,酒店、外賣、快遞、行政機關的工作人員等等。根據經驗,酒店行業“內鬼”相對多一些,可能查詢的需求會比較強烈,還有就是有辦法接觸到戶籍資訊的行業。
暗網裡面售賣源頭資訊的這些人,會提供快查和慢查服務。慢查基本就是“內鬼”去查,他們絲毫不會掩飾“內鬼”這件事情,會把“內鬼”作為宣傳的手段和獲客能力。
中游分為資訊加工者和資料分銷者,兩者也可能是一體的,主要賺取資訊差。他們將買到的資料清洗和整合,提高資料的價值,也可能針對下游需求向上遊定製資料。打個比方,如果上游是菜市場,下游是消費者,中游就是飯館,起到一個烹飪的角色。
上游隱匿性很強,很難溯源。中游相對來說更好定位,但中游現在基本都是透過數字貨幣進行分銷,如果反偵察意識足夠高的話,也很難定位到他的資訊了。
下游就是資訊購買者和使用者,比如常見的詐騙團伙,發垃圾簡訊的營銷公司,獲取商業情報做不正當競爭的對手。還有就是個人,主要的目的可能是想追蹤某個人、報復某個人,或者網路暴力。
“大家都在賭,賭我不會被攻擊”
有一種觀點認為,資訊洩露和個人或社會層面對隱私的漠視有關,我是不認同的。以我個人為例,我很注重隱私安全,但是我的資訊洩露的也很多,我想去保護隱私,但是我做不到。
我的資訊託管在很多公司的伺服器中,自己肯定是自己資料的第一責任人,但是你保護好的同時,還得寄期望於存放資料的這些單位或公司。所以說,我有一種無力感。
我在點外賣、寄快遞的時候起一個不是真名的名字,比如京東收件人叫盧京東,淘寶叫盧淘寶,如果有人打電話問是不是盧淘寶,我知道是在淘寶洩露的。有些軟體我也會用小號登入,其實背後就是一種無奈和無力。
現在APP收集個人資訊,我認為是過度收集違規收集的。我們使用的這些APP,有一個隱私收集協議,標明瞭會獲取哪些資料,那個很長,好多頁,很多人可能不太會去關注。
個人隱私保護很大的一個痛點,就是大家對於資料的流向沒有知情權,不清楚你的資料做什麼用了,比如輸入法資料,或者一些聊天資料可能會被用來做大資料的推廣。
關於資訊洩露的治理,其實我們國家一直在出臺一些法律,比如《網路安全法》、《個人資訊保護法》,還有《資料安全法》,包括近兩年資料安全的需求也越來越大,總體來看肯定是向好的。
但是屢禁不止的原因主要有這麼幾個:
資料洩露很難監控。比如企業不會主動上報,不會通知使用者,你不知道他的資料洩露了。比如有些資料可能在暗網流通,但也有可能沒有到外部渠道,他們內部就有流轉需求,等資料流通出來,可能是兩年或者三、四年之後了。
從企業安全治理來說,國內很多公司對於資料安全的投入還不大,很多企業甚至剛開始做基礎安全,它都沒有安全部門,甚至對於安全漠不關心。安全是一個成本部門,不是盈利部門,大家都在賭,賭我不會被攻擊,賭我今年不花這錢也沒什麼影響。他們的意識也不高,甚至很多企業會把我們的資料當做一種商品,拿來售賣或者加工。
這裡還要提一下暗網,它是導致資訊洩露更氾濫、治理難度加劇的一個重要原因。
伴隨著加密貨幣的興起,交易環節開始遷移到暗網。它是匿名化的,想要追蹤交易者的身份,成本很高;它有一定的技術壁壘;另外,交易很複雜,可能涉及很多國家,法律監管和執法協作相對來說也比較困難。
在我十幾年的從業經歷中,個人資訊洩露之後,我從沒有見過維權的案例。我知道資料洩露不好,但也知道沒有辦法,維權成本太高,就是剛才提到的那種無力感。
現在的生活很智慧化,我們的資料不停地在各種APP流轉。有人提過一個觀點,隱私就是一種幻想,我現在是認可這句話的。大家一定要有意識,不必要的許可權不開,儘量避免太多的資訊被收集。我電腦裡很多軟體,如果我認為它沒必要聯網,會用防火牆軟體禁止聯網;我基本不會把通訊錄授權給他們。作為個人,只能儘量減少暴露的可能性。
