徐玉玉案最终宣判,个人信息灰产还没消亡

首页 > 资讯 >正文

【摘要】法律今天终于还了本应步入大学校园,却因电信诈骗心跳骤停的徐玉玉一个公道。主犯陈文辉因诈骗罪、非法获取公民个人信息罪被判无期徒刑,其余6名被告人被判15年到3年不等的有期徒刑并处罚金。但是究竟还有多少个人隐私数据,不被保护,暴露在外呢?

  消费金融行业资讯  ·  2017-07-21 10:30
徐玉玉案最终宣判,个人信息灰产还没消亡 - 金评媒
   

金评媒(https://www.jpm.cn)编者按:个人信息泄露而引起悲剧仍然在发生,只有政府重视,建立完善的信息安全制度,个人注意信息安全,我们才会迎来不在互联网上“裸奔”的未来。

作者 | 亦萱


法律今天终于还了本应步入大学校园,却因电信诈骗心跳骤停的徐玉玉一个公道。主犯陈文辉因诈骗罪、非法获取公民个人信息罪被判无期徒刑,其余6名被告人被判15年到3年不等的有期徒刑并处罚金。


但是究竟还有多少个人隐私数据,不被保护,暴露在外呢?

2016年8月份,18岁的徐玉玉以568分的成绩被南京邮电大学英语专业录取。全家人欢天喜地。父亲省吃俭用大半年,凑齐了一万元学费。徐玉玉家生活并不富裕。母亲李自云腿部残疾,全家开销只靠父亲徐连彬在村子附近的建筑工地打零工。

徐玉玉母亲接到了骗子电话,声称有2600元助学金,但是需要将9900元汇入指定账号来激活银行卡。徐玉玉照做了,骗子随即关机。和父亲去派出所报案后,她在路上晕厥,因心脏骤停次日离世。

徐玉玉的死亡只是诈骗案的冰山一角。主犯陈文辉供述,在徐玉玉之外,犯罪团伙以发放贫困生助学金为名还骗取了山东、福建等地多名高考生的钱款,拨打诈骗电话累计2.3万余次,骗取他人钱款共计人民币56万余元。 

临沂市检察院有关负责人表示,个人信息遭到泄露是造成徐玉玉诈骗致死重要原因。信息泄露并非个案。 

早在去年,南都记者只用了700元就买到了同事的所有开房记录、名下资产、乘坐航班、上网记录,银行存款记录,手机实时定位,手机通话记录。 

你在现实生活中西装革履、光鲜亮丽,都不知道你的个人信息早已在网上明码实价标好,变成了待宰的躺在砧板上的肥羊。

1.png

据说可以查询到开房记录的网站

个人隐私信息在网上裸奔,早已是业内公认的事实。“大数据”主义盛行的另一面,是如果拥有海量数据的机构没有保护数据安全的技术能力,个人信息安全岌岌可危。数据买卖已经在中国形成了一条灰色的产业链。

明码标价的数据买卖

在徐玉玉案中,犯罪嫌疑人郑金峰接受央视法制采访的时候,坦言之所以选择学生为目标,是因为学生的个人信息最便宜,在网上购买个人信息几乎没有难度,几毛钱就能够买到包括学生姓名、学校、家庭住址和联系电话的全套信息。 

搜索“数据买卖”,“一手数据”,会出现数百个QQ群。银行、信用卡、老年保健、网购、电购数据应有尽有。也有网友贩卖打包信息,银行数据,个人数据,100块打包一万条。而包括身份证复印件、家庭成员、户口本复印件、到网络账户名的个人全套信息,仅售3元。 

这些数据究竟是怎么来的?要先从社工库谈起。

“社工库”的传说

现在但凡有些科技含量的公司,言必谈“大数据”。但是数据量真要做到“大”,从何而来?

第一种是自有庞大的数据源,如BATJ、通讯商、快递公司、互联网金融公司的征信数据、甚至是快消公司等手上握有大量的用户行为数据等公司,本就占了上风。

自有数据共享、买卖、合作,本来就在合法的范畴内。但是互联网金融的业内人士曾表示,不太敢直接使用同行提供的征信数据,因为无法保证数据的真实性,怕“埋雷”。

第二种来自于征信数据公司。但是为了打价格战,目前大量的数据公司往往采取收购黑市数据,经过清洗和挖掘,出售给其他公司的做法。

根据一本财经,目前已经有15家数据公司被列入调查名单,几家估值都超几十亿。涉及到数据黑市买卖的公司已经撞上了监管的枪口。

坊间传闻的“社工库”是数据黑市买卖的主力军。社工库是社会工程学数据库(Social Engineering Data)的简称。社会工程学,指在计算机科学中,通过利用人性弱点来收集信息、行骗和入侵计算机系统的行为。这个名词最早由传奇黑客米特尼克提出, 演变到了黑客们的行为准则。而社工库则是黑客运用社会工程学攻击时,积累的各方面数据的结构化数据库。 

数据黑市已经发展成了成熟的产业链。数据来源部分来自于极偶然的泄露事件,大部分的流程都是脱库、洗库、撞库三个阶段。

在黑市术语里面,脱库又被称为“脱裤”,指黑客攻击特定网站,获得大量用户数据的行为。

目前黑客产业链已经细分,在定制化模式模式中,下游客户会聘请黑客给佣金。而数据属于客户,或者在一定窗口期内不得再次出售。在交易化模式中,黑客会反复出售数据,但这种数据库的新鲜度无法保证。

在获得大量数据后,黑客们会“洗库”,清洗数据中可以直接变现有价值的部分,如游戏账号、电商账号等有预存额的数据。而大部分数据,黑客会用来批量“撞库”,用工具和数据库匹配来尝试在其他网站上登录。而不可计数隐匿在地下的数据库整合起来,就是传说中的“社工库”。这一份庞大、全面、隐秘的数据库,不仅成为网络诈骗个人信息的来源,也成为大数据服务商流量获取的来源。

2.png

黑客论坛中社工库的交流版块

社工库的下游已经发展成明确的产业链。在某个黑客联盟论坛里打出了开班帖子:“教学费用:1200元/人,入门一般需要半个月时间。学员有无SEO基础均可。全部课程教学完后月入上万。相关课程有建站经验、建站教学、站群教学、劫持教学、寄生教学、代码教学…”

3.png

一个供研究用的社工库

数据立法之路:道阻且长

政府和社会机构作为数据拥有者,是数据泄露的重灾区。

美国著名通信公司威瑞森电信发布的《2017年的数据泄露调查报告》表示,在调查的几万个安全事件中,内部威胁占25%,75%是外部攻击导致。而上海社会科学院互联网研究中心发布《大数据安全风险与对策研究报告》称,相当部分数据安全事件发生在企业或社会组织,泄漏量动辄过亿条。 

而中国目前已经在网络安全方面开始收紧,加强监管。个人隐私数据的安全,正在变得有法可依。2017年6月1号,《网络安全法》正式施行。国家互联网信息办公室网络安全协调局负责人表示,,该负责人解释说,“安全可信”指,保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权。

但是另一方面,由于社工库的隐秘性和比较成熟的技术手段,导致社工库从泄露到被使用其实很难被察觉。举个例子,在BATJ互联网巨头中,拥有最顶尖的互联网技术人才,但是还是面临着核心成员数据泄露的问题。网上就流传着一份腾讯创始团队信息的图片。

因此,在互联网上从“脱库”裸奔到穿上“裤子”,道阻且长。 

把“裤子”穿好的一些建议 

业内网络安全专家建议,为了防范社会工程学攻击,网络安全的常识性基础培训十分重要。毕竟社会工程学,攻击的其实是个人。 

另外,访问信息源需要严格的身份认证和身份授权。比如,程序员如果只能访问自己写的代码,泄露的风险就会小很多。另外,组织机构中最好建立信息分类的制度,越重要的用户、企业数据,甚至是源代码,定出若干级别,知道的人越少,泄露的风险越小。 

然而,一位地方警官向澎湃表示,个人信息泄漏引发的案件调查复杂,涉及金额不大,但调查范围广,而且案件零碎导致警力不足。

徐玉玉过世后不久,大学生宋振宁因为电信诈骗后,心脏骤停去世。 

个人信息泄露而引起悲剧仍然在发生,只有政府重视,建立完善的信息安全制度,个人注意信息安全,我们才会迎来不在互联网上“裸奔”的未来。

(编辑:郑惠敏)

上一篇文章                  下一篇文章

消费金融行业资讯

评论:
    . 点击排行
    . 随机阅读
    . 相关内容