轻松获取你的手机号,这个盒子正在销往全国各地

如果有一个盒子,只要你在它百米之内,就能直接获取你的手机号,你害不害怕?

最近一则新闻“一个盒子就能获取任意的手机号”被媒体报道出来,新闻提到,长沙一家公司正在售卖一个智能盒子,只要手机打开WIFI,在这个盒子周围100米范围内,任意手机号都可以被轻松获取。

今天,妮美就带大家一起来了解下这个黑科技(产)盒子。

本以为已被新闻报道,再加上涉及贩卖公民隐私,查询时应该会费番周折,甚至怀疑这公司可能已经被警方端掉了。可没想到的是,输入这家公司名字后,第一个出来的就是它的官网,还做了百度推广。

官网的装修也颇为用心,还在发展全国代理商,这高调作派不像一般搞黑产的。

官网页面下方模糊地展示着各种商标注册证书,一副正经生意的模样。

要是没有看到数据收集栏的“线下真实场景,采集Mac地址,无感采集技术”内容,我都快要怀疑自己进错了网站。

总之,浏览完官网后,我对这家公司的兴趣进一步增加了。

 

1、智能盒子的真面目

从官网看,这家公司经营的主要产品是“70度大数据营销平台”,具体如下:

介绍中的数据挖掘、app定向等词让产品非常高端、耀眼,可跟智能盒子的关系却一点看不出来。为了解更多内容,我以业务需求为由,联系了该公司业务员。

业务员告诉我,该公司的主要产品就是智能盒子,官网上面的宣传内容都是基于盒子的营销服务。之后给我介绍了智能盒子的相关信息。

—–智能盒子是什么

智能盒子鼠标大小,可随身携带,连接Wi-Fi和移动电源就能使用,主要用来搜集mac地址。

在运行中的智能盒子

—–智能盒子的使用

该业务员对我讲到,只要手机使用者打开WIFI功能或者数据流量,都能够通过“智能盒子”采集到该手机的mac地址,之后通过后期技术手段进而分析出该mac地址所对应的手机号码。

—–智能盒子的市场需求

有了客户手机号码,可以运作的内容就很多了,比如给客户发信息,打推广电话,发送广告推送,开展各种营销活动。

正在装箱打包的盒子

介绍完之后,他力邀我到他们的公司实地考察,测试,并希望发展我成为区域代理,不难看出,他对自己公司的产品和未来还是相当自信。

2、背后技术原理

仅仅只是带手机在外面逛了一圈,还来不及施展任何操作,信息就已经暴露了。相信大家心里免不了有一丝慌张,也一定好奇,这个小小的“智能盒子”究竟是怎么实现他的这些功能的?我们一起来看看。

第一步:用盒子获取mac地址

mac地址:手机mac地址就是手机网卡地址,是唯一的,换句话说,就是手机的身份证号。

只要你打开Wi-Fi,你的设备自己就在广播mac地址,这是Wi-Fi协议802.11规定,而智能盒子就是一个WIFI探针,实现这个成本极低。

至于通过数据流量获取mac地址,因为伪基站涉嫌违法,所以他们的业务员一再否认没有伪基站,但打开流量就能获取mac地址,除了基站还舍谁呢。伪基站我们已介绍过,此处不再过多解释。

第二步:Mac地址匹配手机号码

拿到mac地址后,又如何获得使用者的手机号码,官网的一句话解释是自建数据库资源匹配。那问题来了,自建的数据库是从哪里得来数据呢?可能性最大的数据来源有两种:

一是运营商的信息泄漏。运营商会记录每个用户的mac地址,在有需要的时候查询,他们当然也知道你的手机号,因此他们是最完备的数据来源。

二是app信息泄漏。现在app基本都是用手机号注册,下载之后,很多app都会默认获得你的mac地址。这些资源,除了我们已知的在暗网上面售卖的各种明码实价的信息,还有众多的内部信息泄漏渠道。

第三步:利用手机号作用户画像

有了用户的手机号码,就可以拿着这些号码去尝试注册各种网站,只要提示已注册,那么你就是这个网站的受众,再给你打上母婴、英语这些特征标签,完成人物画像。这也是“REG007”(查找你注册过什么)这些网站的原理。

REG007网站

在REG007搜索任意手机号

经过这么一分析,我们就不难发现在用智能盒子搜集mac地址的背后就是集合拖库、洗库、撞库三部曲的一条信息贩卖链。只是这个案例中,通过线下采集,精准收集了人物的位置信息。

 

3、“正规”生意?

“智能盒子”与一般黑产手段最大的不同点就在于,用户手机号码是加密给到客户的。

“我们不会给你完整的手机号码,你只是有一个加密的联系方式”,业务员小哥对我着重强调到,“给你完整的号码涉嫌侵犯用户隐私是违法的。”

只要加密就不涉及违法,这便是他们如今企业化、规模化的底气所在。

若真如他所说,这个设置实在是妙。从市场角度看,没有给出客户信息就可以保证商家持续的依赖企业,另一方面又能钻法律的空子,一举两得。

公民信息被如此大规模侵犯,真的不涉及违法吗?

侵害隐私权的定义:以非法方式公开,知悉,收集和刺探,利用他的个人隐私,信息或者活动的空间范围。

为此我咨询了相关法律人士,有两种不同观点:

一方认为确实不算侵犯隐私权。侵害隐私权是只针对特定人。售卖加密的联系方式,行为实施时受害人并不具体化,不能以侵害具体隐私权论。

另一方认为应该界定为侵犯个人的隐私。加密的联系方式既然能直接联系到个人,那么它也就具备了一些个人信息的意味。同一个加密信息,只对应一个人,有特定性。

长期服务于网络安全领域的王律师告诉我:此案例处在灰色地带,国内个人数据保护立法还尚需完善,很难判别是否违法。

但欧盟GDPR《通用数据保护条例》可以参考。该条例明确表示个人信息数据(包括个人隐私数据)在内的搜集与处理都要获得用户授权,且在授权的目的范围内,应尽可能少地搜集用户数据。此案中,盒子搜集的信息,是否界定为隐私数据并不影响其就是个人信息数据的事实,是必然违反GDPR的规定。

听完王律的解释后,我感到十分无力,现在这个盒子还只是被用在市场营销上,但若是不能将其尽快遏制,被一些不法之徒用在其它途径,比如给周围人发送藏有监控木马的短信,基于地理位置精准的电信诈骗,又将会造成多大的安全威胁。况且,加密的手机号是可以被破解的。

———————————————————————–

售卖加密手机号是否违法,目前还尚有争议。且单就mac地址泄漏而言,是用户为了连接网络主动开启数据流量/Wi-Fi的,因此泄漏的风险是无法规避的。

从网络诞生以来,用户一直都在隐私和服务之间权衡。得到有价值的服务,注定要承担受到骚扰和其它损失的可能威胁,网络世界是无法保证个人信息绝对安全。

而面对这些灰色、黑色的擦边球区域,法律界定必须越来越细致。所幸的是,除了现行的隐私权保护条例,国内专门针对保护个人信息的法律《个人信息保护法》,已在制订中,将进一步为我们捍卫隐私信息权提供武器。

最后,提醒下各位,以后若是在周围看到白色的小盒子,还请注意关机。

更多网络黑产内容揭秘,情关注公众号“极验”。

(完)