澎湃新聞見習記者 袁璐編輯 彭瑋
實習生 賈芳
曾敏用力掐了一下自己大腿,有痛感,一切都是真的。這天是她被網絡詐騙的第三天,但她一直像停留在一個可怕的夢裡,走不出來。
2月14日凌晨,有人申請添加曾敏的QQ好友,她沒多想,以為是可能認識的人,就通過了對方的申請。對方隨即發給她幾個文件夾,她打開一看,裡面全是她的個人信息,有通訊錄、私密照片、手機里的工作文件等重要內容。
「就像衣服被扒光了一樣。」曾敏說,她想不明白哪個環節出了錯,自己的信息會被這樣泄露。在對方的威脅之下,她在半小時內給對方轉了十幾萬塊錢。
在曾敏被詐騙的兩天前,2月12日晚上,45億條個人信息泄露的消息在網絡上流傳。這些數據主要為網購用戶的個人快遞信息,包括真實姓名、電話與住址等信息,並且出現公開查詢渠道。
劉前偉是數據安全專家,從事信息安全二十多年,每個月,他要幫公司的客戶處理五六件重大數據泄露事件,查找泄露的原因以及給出保障系統安全的建議。在他看來,國內數據安全仍然面臨著合規落地滯後、重要數據針對性防護缺失、缺乏全方位風險感知等嚴重問題。
一次淘寶消費記錄、一張快遞外賣訂單、一次招聘網站登記,一場校園招聘公司信息統計……在每一個動向的終端,也許都有一張看不見的網在圍獵個人隱私。這些個人信息流向網絡世界的每個角落,最後可能變成一把刺向自己的利劍。
「為什麼是我」
「為什麼是我?」
這是曾敏幾天來不斷問自己的問題,她睡不著吃不下,「難受得噁心想吐」,每天渾渾噩噩,滿腦子都是騙子和被騙的錢。23歲的曾敏在政府單位工作,這被騙走的十幾萬元里,有一部分是她三年來省吃儉用存下來的錢,「就這樣突然沒了」。
那天凌晨,還沒來得及反應,對方直接通過QQ打語音電話給她,她接了。對面是一個男人的聲音,說著一口不標準的普通話。男人直接表明來意,自己只想要錢。如果給他轉錢,他就把這些東西刪乾淨;如果不轉,他就把曾敏的信息全部泄露出去。
曾敏大腦一片空白,心裡很害怕。她的第一反應是報警求助,但是對方能實時監控她的手機,並威脅她說如果報警,他就馬上給她的家人和領導打電話。「他真的馬上撥通了我領導的電話。」
在QQ語音通話里,曾敏記得男人說出了這個領導的名字,並聽出是領導的聲音。她當時就慌了,很害怕他把手機裡面的信息泄露出去。
對面的人開始引導她轉帳過去,等她把自己的幾萬積蓄轉過去後,又讓她找家人朋友借錢和貸款。「我就真的全按照他說的做了。像是有什麼魔力一直牽引著我的恐懼。」
轉完這些錢後,對方還讓她想辦法再給他轉五千,「我實在拿不出來了就把電話掛了,但是又害怕他再給我打過來,就把他QQ刪了。」 曾敏回憶。
曾敏留下了轉帳記錄和借款記錄,有收款人的姓名,她報了警,以為憑藉這些信息就能找到人。但警察告訴她,身份證和銀行卡很可能是騙子買來的,就算找到用戶本人也沒用,「而且看他們那麼專業,估計人不在國內」。
絕望之下,曾敏把被騙的事情告訴了父母,「他們這個年紀的人對網絡詐騙的高級騙術根本沒有概念,也不理解為什麼我會被騙,更不能接受這個錢找不回來了。」一個人的時候,曾敏躲在房間裡哭。她每天刷著各種和她有相似經歷的網絡文章,從裡面獲得「一絲絲安慰和找尋一點點希望。」
信息安全專家高雪峰的客戶中也有曾敏這樣的情況。違法者發過來的文件或者連結,一般帶有木馬病毒,只要點開就會中毒,電腦或者手機便被遠程控制。對方通過這種方式,盜走手機和電腦里的私密信息,再騙取財物。
高雪峰在個人信息安全領域做了11年,他現在是一家網絡安全科技公司的創始人,主要負責政企方面的信息安全。在他看來,移動網際網路時代,人們基本上支付、購物、溝通聊天都是通過行動裝置,個人信息的泄露風險和應對的挑戰越來越大。雖然相關的法律陸續出台,「但是使用網絡的很多人安全意識不強」。
高雪峰說的相關法律是,近年來國家相繼出台的《網絡安全法》、《數據安全法》、《關鍵信息基礎設施安全保護條例》、《個人信息保護法》等。
但是對於曾敏來說,這些法律是陌生的。她聽說過有保護個人信息相關的法律,但總覺得離自己很遙遠,更沒有想過自己會被個人信息反噬。
明碼標價的買賣
和曾敏一樣,很多人不知道,在一些網絡平台上,原本是隱私的個人信息成了明碼標價的商品。
在一些社交軟體群里,包括戶籍、手機號、定位、查人查檔、財產調查、開房記錄、流水等在內的用戶信息被公開售賣。
澎湃新聞潛入的一個售賣群中,如果只查詢個人基本信息,包括身份證,姓名和地址,價格700元/次,並稱這個價格是最低的代理價。如果想要成為他的代理,需要轉給他5000元的代理費。
一位信息售賣者說,他們在微信或者QQ等國內平台上沒有個人信息交易的業務,業務目前全部都在海外的社交軟體上進行,但是轉帳主要通過支付寶帳戶。
「由於目前泄露信息的量比較多,不法分子將各種數據做了大數據集合。在其中輸入相應的需求,系統會自動將相關信息搜索出來。」從事信息安全工作的王澤說。
不僅僅是一些海外的社交軟體,暗網中的個人數據交易量更是不計其數。暗網又被稱為隱藏網(Hidden Web),普通用戶無法通過常規網際網路手段搜索和訪問,它的設計讓用戶身份高度隱密,暗網社群之間也不能互通。這些泄露出來公開出售的信息,包括政府機構公民信息;銀行、證券等金融機構的客戶信息;各大電信運營商的機主以及網際網路、快遞、酒店、房地產、航空、醫院、學校等各行各業的客戶信息。
暗網上的信息交易
2月18日,當記者追蹤暗網相關討論帖,進入以某海外社交軟體為主的信息查詢和交易群組時,發現此類群組每個群里都有上萬人參與,24小時內持續活躍人數在一千左右。
信息售賣群組人工付費查詢價格主頁
在這些信息交易的群里,平均每十秒就有一個新用戶進群,其中不僅有查詢信息者,還有意欲批量提供隱私信息,尋求長期合作的從業者。一些群組提供地址找人、關聯人物、身份戶籍、手機機主、開房記錄、快遞地址、貸款記錄、車牌車主、個人常用密碼、手遊及社交網絡帳號密碼,同名聯繫方式等服務,凡是實名制登記過的個人隱私,只要付費,都能在一定時限內,把需要的信息查找出來。甚至有售賣者表示可以通過手機號定位機主行蹤,而此類條目在群組中被標記為「娛樂用」。
某信息交易群
除了此類人工收費服務,在暗網中隱私查詢網站四處遍布,無數個人信息滾雪球般被人消費,偷窺,竊取。
對於這種在外網上進行個人信息交易的行為,雲南凌雲律師事務所主任孫文杰認為,「任何個人或單位,如違反國家有關規定,不論通過何種形式出售或提供公民個人信息,均構成侵犯公民個人信息罪。」
按照《刑法》第二百五十三條之一「侵犯公民個人信息罪」的規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
社交平台上的信息交易
另外,信息販賣商通過境外社交軟體和暗網等方式交易往往會隱藏IP位址,無法準確歸屬於哪個省份或城市進行監管,存在調查、取證困難等問題,倒賣的個人信息又用於其他類型的違法犯罪行為,如電信詐騙。
根據奇安信情報中心的監測發現,僅僅是2022年1月到10月,就有超過950億條的中國境內機構數據在海外被非法交易,其中60%是公民個人信息,約有570多億條,這就相當於14億中國人,在2022年的頭十個月里,平均每人泄露了41條個人信息。
對於如何管控上述違法犯罪行為,孫文杰建議,一方面,通過技術手段監管瀏覽登錄境外隱私交易網站的路徑和行為,加強此類案件的日常監管;另一方面,應設立國家級的監管和處置平台,加強國際合作,織密全球監管網絡。
「數據資產在網上裸奔」
一個隱私查詢網站上寫著一句「隱私已死,看開些。」王澤不同意這個說法,他說,人們需要隱私,也需要安全。
前幾天,高雪峰看到有45億條個人信息泄露的消息後,他在暗網上用自己的電話號碼一查,發現自己購買過的快遞情況,家庭住址都暴露無遺。「這種網絡傳輸都是加密的,很難找到是誰幹的,可能人在國外,即便能定位到,也不一定能抓到。」高雪峰認為很難追查到泄露者。
在數據售賣者那裡,各種信息都可以被交易,即便只是一個名字。王澤說,另一個例子是機票,不法者拿到機票截圖,就可以追蹤到哪個人,坐哪架飛機等詳細信息,「危害就很大」。
在高雪峰看來,個人信息最後都是落在企業的數據防護上面。一個企業提供的不管是c端的數據,還是c端的服務,最後都可能產生大量的個人信息數據,可能會被黑客攻擊或偷走。還有一種泄露的可能是,企業內部人員偷竊數據,售賣獲利的「也很多」。
在現實生活中,不少APP在未經授權或者越權的情況下採集用戶信息作公司客群畫像的分析,或者轉賣給其他公司獲利。
一些應用會「偷聽」你的聊天或者「偷看」用戶的搜索偏好。「這其實也是一種個人信息的泄露。一些APP可能授權讓你開啟了麥克風的權限,語音識別捕捉到關鍵字後做後台的運算。」高雪峰說。
「很多企業沒有體系規劃,沒有能力覆蓋到需要保護的數據資產上。」劉前偉說。客戶找到他,說數據泄露了。劉前偉就成立「專案組」,「要向醫生一樣去診斷」,是網絡問題還是帳號問題,有哪些暴露面,別人通過什麼途徑可以獲取這些信息。
在他的客戶里,很多數據已經泄露出去很長時間,或者有人已經在暗網上兜售這些數據,「這些機構才發現」, 「數據資產像在網際網路上裸奔」。
在高雪峰的客戶里,曾經有人被遠程操控手機,把手機銀行里的錢都轉走。「他的密碼是怎麼泄露出去的呢?」高雪峰提醒,很多人習慣使用同一密碼,如果登錄過不安全的網站,違法者就能藉此獲取信息。
不完美的系統
為了防止個人信息在網上泄露,高雪峰通常會在不同情況使用多個密碼,尤其是跟支付相關的,設置較為複雜的密碼。
王澤的日常工作是保障一個網絡系統的數據安全,如果有非法請求使用個人數據,他需要出一些策略攔截非正規途徑的請求。
多年來,他處理過一些惡意軟體、為法庭案件收集過取證信息、在計算機系統中追捕過黑客、研究了海量的日誌數據、使用和維護了各種安全工具。
在他看來,這個信息紛繁的龐大系統是很難盡善盡美的, 「不要完全指望企業能完全保護好你的數據,個人的信息安全意識是最重要的。」
具體來說,他從來不在網購平台上留下真實名字和詳細地址,快遞送來時,他直接選擇放在快遞櫃。如果一些平台需要授權電話號碼,他通常會拒絕使用。他註冊了一個專門接收各種驗證碼的郵箱,同時用虛擬電話號碼註冊各種網絡信息。「就個人信息來說,能不授權就不授權,因為它會共享給第三方,很多人不會去看隱私協議里寫了什麼。」
北京藍秦律師事務所主任李文謙建議,不要在網絡上隨意填寫調查問卷,不在來源不明網站註冊,不點擊不明簡訊連結,不掃來源不明的二維碼,不在各類社交軟體上暴露過多信息,慎連來源不明的WiFi,不貪小便宜而下載不明app。
經歷這次詐騙後,曾敏卸載了聊天軟體。在她被詐騙的第五天,她的貼文下面成了一個樹洞,和她有相同經歷的人述說著自己被騙的事。她反過去安慰和她一樣的受害者,「都是騙子的錯,以後保護好自己的個人隱私」。
曾敏的帖文下面,有跟她一樣遭遇的人留言
(為保護受訪者隱私,曾敏、王澤為化名。)
本期編輯 鄒姍