5月9日,最高人民法院通報了《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》。
這是兩高首次就打擊侵犯公民個人資訊犯罪出臺司法解釋。根據此次司法解釋,非法獲取、出售公民個人資訊,情節嚴重者可獲刑。
“近年來,侵犯公民個人資訊犯罪仍處於高發態勢,而且與電信網路詐騙、敲詐勒索、綁架等犯罪呈合流態勢,社會危害更加嚴重。”最高法相關人士稱。
我們幾乎每個人,都曾被推銷電話、詐騙短信騷擾過。去年發生的“徐玉玉案”,即是個人資訊遭侵犯導致的“惡果”。
在此節點,新京報推出關於“個人資訊洩露”的系列調查報道。我們將通過對航空、徵信、銀行卡等領域的調查,以期找到個人資訊洩露的源頭。
5月10日,家住天津的馬曉迪(化名)告訴新京報記者,她接到了號稱是1號店客服打來的詐騙電話。對方稱,因“後臺失誤”將賬號調整為批發用戶,要求她提供賬號等資訊。“我馬上就挂機了,但又打來好幾個,説不改別後悔,後來我就不接了。”
馬曉迪之所以能接到這類詐騙電話,是因為她的網購資訊已經遭到洩露,資訊販子從各種渠道獲得網購資訊後,會進行轉賣,而電話詐騙團夥就是買家之一。
有業內人士向新京報記者透露,用戶網購數據的獲得渠道有很多種,但大部分資訊販子是通過“掃號”取得的網購數據。一名在QQ上出售各種網購資訊的販子也稱,他們的數據是“掃號”得來。
“通過‘掃號撞庫’的方式,駭客可以拿到用戶在網購平臺上的數據,”遊俠安全網創始人張百川表示,一些平臺的用戶資訊之所以遭到洩露,就是因為缺少對這種“撞庫攻擊”的防範。
駭客盜取某些網站的數據庫售賣給資訊販子,這些資訊流到騙子手中後,一般會以冒充客服退款等方式進行詐騙。
網購資訊2元一條,販子稱“掃號”得來
來自西安的小嚴不久前因小紅書網購資訊洩露遭遇詐騙。
小嚴告訴新京報記者,她3月份在小紅書平臺購買過商品,之後接到了自稱是小紅書工作人員的電話,“説我所購買的商品存在品質問題,要收回並銷毀,因為他們掌握我所有的購物資訊以及地址,我就相信了他們。”
小嚴説,對方讓她登錄支付寶查看退款。小嚴回答“沒有收到退款”後,對方便詢問了小嚴的芝麻信用,並要她在招聯好期貸、來分期等平臺嘗試貸款,並説這是小紅書與他們的合作,小嚴可以馬上從中提現,得到賠償,但需要將多餘款項打回給對方。小嚴在招聯好期貸上提取了1100元,將其中1000元打了過去。
打完款,小嚴才覺得自己被騙了,隨即報警,截至目前還沒有結果。她之後聯繫了小紅書平臺,小紅書平臺稱他們只負責追繳,不負責賠償。
在網上搜索公開報道和網友反映,可以發現,近年來有不少網購平臺用戶都有因網購資訊洩露被詐騙或賬戶被盜的案例。例如2012年5月底,1號店被曝員工內外勾結洩露客戶資訊,90萬個用戶資訊竟被以500元的價格叫賣,部分消費者不久後就遇到了賬戶餘額被盜、電話詐騙等問題。而2015年至2016年,陸陸續續有100多人被能準確説出購物資訊的假冒“京東客服”詐騙,涉及金額達200多萬元,北京的一名受騙者韓先生甚至創辦了一個名為“京東盜刷維權群”的QQ群。
中國電子商務研究中心分析師姚建芳告訴新京報記者,僅在今年4月份,中國電子商務投訴與維權公共服務平臺就接到了包括小紅書、達令、噹噹網在內的多家網購平臺用戶反映個人資訊洩露的舉報。
這些電商平臺的資訊都是如何洩露的?有業內人士向新京報記者透露,網購數據的來源有很多種,例如電商內部員工倒賣、物流資訊洩露、木馬病毒等,但大部分資訊販子是通過“掃號”取得的網購數據。
新京報記者以購買網購資料為名聯繫了一位QQ名為“AA收購數據”的資訊販子,其稱擁有包括蘇寧易購、亞馬遜在內的多家平臺網購資訊,並向記者以2元一人的價位“低價出售”了一份“已經用過的”包含100人網購資訊的“數據”。上述資訊販子也稱,他們的數據是“掃號”得來的。
5月10日,當接到新京報記者電話,被告知自己的真實姓名、住址以及購買過什麼東西時,家住北京的孫喆麗(化名)第一反應是,遇到騙子了。
孫喆麗的網購資訊就是記者花2元錢在上述資訊販子手上買到的,包括孫喆麗的詳細購物資訊以及她的住址、電話,網購的賬號密碼。
孫喆麗説,之前確實接到過騙子的電話。“有人打電話自稱是客服,跟我説我的商品有問題會退款給我,讓我登錄支付寶看有沒有收到退款,我説沒有,他們就問我的芝麻信用,我當時覺得不對勁就把電話挂掉了。”
在孫喆麗和小嚴遭遇詐騙電話的案例中,對方都準確説出了二人的購物資訊以及個人資訊。
新京報記者發現,在“AA收購數據”提供的網購資訊名單上,大部分用戶的賬號仍然可以按照其提供的密碼登錄。新京報記者隨機聯繫了5名用戶進行核實,發現名單上提供的個人資訊全部屬實,而大部分用戶完全不知道自己的賬號已經被盜取。
被稱為“中國駭客教父”的現任益雲(公益網際網路)社會創新中心創始人萬濤告訴新京報記者,網購用戶品質高低與否決定了出售數據價格的高低。“品質指的網購商品的客單價,比如衣服等普通物品客單價較低,數據可能就便宜,但如果購買電視、手機等相對貴重的物品,客單價比較高,用戶數據的價值也就更高一些。”
據業內人士介紹,根據客單價的不同,網購數據的價位也不同,被倒賣過多次的資訊並不值錢,一些歷史數據甚至是駭客圈中公開的秘密,價值為零。而沒有被用過的“一手”資訊則可以賣到幾塊錢一條。
5月16日,“AA收購數據”還向記者提供了30條蘇寧易購的網購數據“樣品”。記者發現,這些網購數據從4月27日到5月3日不等,均有賬戶和密碼。記者登錄了其中3條網購資訊的賬戶,發現可以登錄成功。新京報記者隨即撥打了3名用戶的電話,3名用戶都表示,其電話和姓名均正確,並很疑惑地反問記者,“你是怎麼知道我電話的。”
掃號産業鏈:駭客偷、販子倒、騙子買
“通過‘掃號撞庫’的方式,駭客可以拿到用戶在網購平臺上的數據,”遊俠安全網創始人張百川向新京報記者表示,“而一些平臺的用戶資訊之所以遭到洩露,就是因為缺少對這種‘撞庫攻擊’的防範。”
根據目前受騙者的案例,這些資訊流向騙子的手中,當騙子掌握用戶的具體購物資訊時,一般會以冒充客服退款等方式進行詐騙。
“所謂‘掃號撞庫’,簡單來説,就是駭客用技術手段入侵一些安全防範不是很高的網站,取得大量的用戶註冊名和密碼數據,有些網站的登錄名包括用戶的手機號、郵箱甚至身份證號,這些登錄名可以與其他網站關聯上,是資訊洩露的載體,資訊販子掌握這些資訊後,可以用‘撞庫’方式嘗試登錄其他網站。”張百川説。
據他介紹,在實際操作中,資訊販子往往是通過專門的“掃號”軟體,來批量驗證賬號密碼是否是有價值的。
5月2日,當新京報記者詢問“AA收購數據”有沒有淘寶的平臺賬號密碼時,“AA收購數據”回答稱做不了,因為“沒有軟體”。
5月2日,新京報記者以出售數據為名聯繫到了一個網名為“四哥”的資訊販子。“四哥”稱他們“大量收購所有網購歷史訂單,月內為優”。並稱,“拿貨價2元一個,囤貨多了再出手,隨便一天出3萬個左右,保證最新數據”。
至於數據來源,“四哥”稱“都是掃號得來的”,並詢問記者是不是“技術源頭”。
“這些資訊販子的‘技術源頭’就是駭客平臺”。張百川告訴新京報記者,“這些在駭客圈子裏都可以找到,駭客盜取某些網站的數據庫後就可以售賣給資訊販子,根據數據價值的不同,售價也不同,但一般都是第一次出售價格最高,比如最開始這個數據庫可以賣一萬,‘二倒手’之後就只能賣6千,再倒手之後價格更低,直至最後沒有價值,向公眾公開。”
一條駭客盜竊數據庫資訊,資訊販子通過掃號軟體“撞庫”取得網購平臺賬戶密碼,騙子再以幾元一條的價格購買資訊並進行電話詐騙的“掃號”黑色産業鏈浮出水面。“這個産業鏈存在至少有七八年了。”張百川表示。
新京報記者發現,一些QQ群是這些資訊倒賣者的“大本營”。例如在某個以“網路安全”為名的QQ群裏,不少人公開發廣告稱“求能拿指定站的大牛,價格以萬為基數,長期合作,另誠意收購金融網站數據庫”、“收帶名字、電話、身份證號、地址的一手個人數據,價格包你滿意”。
獵網在2015年11月曾發佈《現代網路詐騙産業鏈分析報告》,報告顯示:基於對網民舉報的近9萬起網路詐騙案件的追蹤研究,該平臺發現網路詐騙已形成一條完整且分工明確、多達15個工種的地下黑色産業鏈;初步統計,網路詐騙從業者至少有160萬人,“年産值”超過1100億元,而涉嫌洩露用戶資訊量已超過千萬級。
獵網平臺反網路詐騙專家裴智勇介紹,即便是手法最簡單的網路詐騙,也至少需要10人的犯罪團夥:從開發製作、批發零售到詐騙實施、分贓銷贓,網路詐騙可劃分出多達盜庫駭客、電話詐騙經理、短信群發商等多個不同工種,其分工明確,協同作案,形成了完整的網路詐騙地下産業鏈,其中盜庫駭客是這條産業鏈的源頭。
有“漏洞”平臺更易被“撞庫”
“説白了,撞庫攻擊就是不斷地嘗試錯誤的密碼。”張百川表示,“對於大型平臺來説,往往可以利用技術手段限制這一‘撞庫攻擊’。比如登錄錯誤幾次後直接封掉登錄者的IP地址,一個賬戶一天之內只允許輸入三次,一個IP地址如果輸入了兩個賬戶或者輸錯了5次以上,24小時內就不允許再登錄等。”
5月10日,新京報記者在某網際網路平臺多次以錯誤密碼登錄同一賬號後,登錄界面出現了“您今日只能再輸入三次”的提示。
新京報記者同日在1號店網站上多次試驗登錄同一賬號,多次輸錯賬號密碼後,1號店要求輸入驗證碼,但除此之外並無其他防範手段。
5月16日,新京報記者嘗試以錯誤密碼登錄蘇寧易購,發現輸錯3次密碼後,蘇寧易購開啟了移動滑塊的防護措施,並在輸錯10次後鎖死了賬戶資訊,顯示只有1小時之後才可以再次嘗試。而在以錯誤密碼登錄小紅書的試驗時,小紅書方面表示需要以接收手機驗證碼的方式登錄。
“1號店的驗證碼模式並不算是防禦撞庫攻擊的有效方式,現在在網上搜索驗證碼識別、驗證碼繞過,可以得到相應的破解軟體。移動滑塊相應高端一些,但目前市場上也出現了破解移動滑塊的軟體。”張百川表示。而對於手機驗證碼,萬濤表示,現在有專門的打碼平臺可以幫忙快速破解驗證碼。
有業內人士稱,當盜號者取得了一家網站的數據並通過撞庫攻擊“撞出”其他網站的用戶名和密碼後,被“撞出”的用戶名和密碼也會成為新的“數據庫”再用以“撞”其他的網站。
5月10日,新京報記者致電一位資訊已遭洩露的電商用戶時,該用戶告訴新京報記者,她接到了冒充1號店客服打來的詐騙電話。這名用戶在兩家電商平臺上的登錄名為同一個手機號。
“事實上,對撞庫攻擊進行防禦的成本並不高,但除支付寶等大型平臺外,小平臺對這一攻擊手段進行防範的驅動力不太大。”張百川直言。
對於因資訊洩露遭受詐騙而形成的損失,電商平臺應承擔怎樣的責任至今仍不明確。大部分電商平臺對於此類事件的回應一般為“配合警方調查”。1號店昨日向新京報記者回復稱,需要對資訊洩露一事再核實。1號店的後臺安全系統會24小時不間斷監測顧客登錄和購物行為,一旦發現頻繁異常登錄等高風險情況,將採取鎖定賬戶等緊急手段,顧客需要修改密碼或通過身份驗證再次使用。如果顧客遭遇資訊洩露後的財産損失情況,將全力配合警方提供所需要的資訊。
蘇寧方面表示,蘇寧基於用戶資訊安全防範成立的安全團隊,以網路安全攻擊、Web安全攻擊的安全風險發現識別為基礎,可以通過可視化網路與Web攻擊事件,發現內部網路高級持續性威脅,挖掘與檢測針對蘇寧消費者與商家的釣魚網站,並予以及時處理。對於涉及消費者資訊安全問題,將第一時間核實處理,確保用戶購物支付環境的安全與穩定。
根據今年3月補天平臺發佈的《2016年網站洩露個人資訊形勢分析報告》,2016年有超過一半的網站漏洞會導致洩露實名資訊和行為資訊,分別佔58.5%和62.4%(某些漏洞可能同時洩露2類資訊),可能洩露的數量多達42.3億條和40.1億條。
電商平臺是否擔責?律師稱難判斷
“電商平臺在獲取個人資訊的同時,就有保護個人資訊的義務。”北京盈科律師事務所方超強律師向新京報記者表示,“資訊洩露存在不同的情況,如果電商平臺提供了符合其規模的保護措施,但在這種情況之下還是被駭客入侵了系統,這種情況屬於不可抗力,電商不用承擔責任,但如果最終發現因平臺存在漏洞而導致資訊洩露,那麼平臺就要負責。”
他進一步解釋稱,若盜號者是利用技術手段從電商平臺上盜取數據,獲得相關賬號密碼,則需要進一步考慮電商平臺在數據保密層面上技術保護水準是否足夠高,有無明顯漏洞;若一些初學者駭客也可以攻破平臺的安全保護措施,可以認為平臺沒有給予與其規模相匹配的保護,這樣的情況下可以認為平臺存在漏洞,需要承擔責任。
根據《網路交易管理辦法》第25條第二款規定:第三方交易平臺經營者應當採取必要的技術手段和管理措施保證平臺的正常運作,提供必要、可靠的交易環境和交易服務,維護網路交易秩序。
但方超強直言,在現實中很難有一個標準去判斷什麼叫做“平臺存在漏洞導致資訊洩露”,若消費者向法院投訴平臺,平臺只要舉證證明其盡到了安全責任保護義務,就很難對平臺進行追責。同時,對於消費者因為在不同電商平臺使用相同的賬號密碼,以致遭到“撞庫”盜號,所有賬號密碼一同被盜,造成自身重大損失,此類情形,應當由誰承擔責任要視賬號泄密的不同情況分而論之。
萬濤表示,實際上判斷電商安全等級的相關標準有很多,包括國家資訊安全等級保護制度和ISO27001資訊管理認證,這要看電商能拿到哪些安全標準認定。比如在國家資訊安全保護等級上,網約車必須拿到三級等級保護。但現在用戶的資訊洩露渠道實在太多,有大量的用戶隱私數據已經處於洩露狀態,以此判斷電商責任並不全面。
萬濤認為,核心問題是發生資訊洩露之後,往往很難判斷是哪一個環節出了問題,對責任的界定和處罰不明確,導致資訊洩露從取證到用戶的維權成本都過高。“電商有物流、第三方等多個環節,有很多訂單洩露與其內部數據的管理和安全手段能不能覆蓋到業務是有關聯的。”
5月16日,“AA收購數據”還以2.6元一條的價格向新京報記者提供了一份淘寶網購用戶數據,這份用戶數據並沒有賬號密碼。“這份數據的來源並非掃號,是我向開淘寶店的朋友直接拿到的。”
“一般而言,賣家在電商平臺上出售商品,是要與平臺簽訂協議的,在註冊條款裏平臺需要盡到告知義務,即賣家不能買賣買家的個人資訊獲利,這種行為本身構成侵權,買賣達到一定數量也構成犯罪。但若平臺盡到了告知義務,是沒有責任的。”上海市百良律師事務所主任王冰告訴新京報記者。
[責任編輯:郭曉康]
京ICP證130248號京公網安備110102003391