五个问题告诉你,个人信息泄露的战争有多残酷

无论你是否愿意相信,我们的信息被贩卖,已经到了丧心病狂的地步。

你会接到诈骗信息,说你的孩子嫖娼需要用钱赎;

你会收到推销电话,对你做极为精准的房产、保健品促销。

你会接到诈骗电话,在“诈骗剧本”里,你的个人信息精确无比。

前不久,央视的调查新闻报道,只需要一个手机号,就可以查任何人的身份证号码、名下的房产、购车情况、开房记录,通话记录、支付宝账号、电商收货地址详单、外卖收货地址明细、精确到地点和分秒的打车记录,甚至是实时位置都可以被精准定位。

最近,警方更是破获了一起倒卖50亿条个人信息的大案,这些实事已经把每一个旁观者变成了当事人。

说来都是泪:身份证、学历、开房记录、银行流水信息哪个更贵?

贩卖个人信息的黑产需要社交群组作为阵地,最大最悠久的社交平台 QQ 自然成为很多坏人的首选。所以在打击网络黑产方面,腾讯可以算是老兵。

腾讯公司打击网络黑产专家何欣对网络黑产有深入的研究,她对雷锋网《宅客频道》介绍:

一个人的身份证信息,在黑市里可以卖到20块。

一个博士的学历信息,在黑市里可以卖到50-60块。

在所有的信息中,最值钱的要算是“银行流水信息”。

五个问题告诉你,个人信息泄露的战争有多残酷

没错,“银行流水信息”力压“开房信息”,成为了所有信息里面价值最高的。原因很简单,很多银行流水记录可以作为调查线索,可以作为敲诈材料。(和谁开房固然重要,把钱花给谁更重要。。。)甚至很多企业的流水可以直接用来开企业账户、开POS机,甚至用来洗钱。

个人信息泄露途径一般有两个:

一是黑客的非法入侵,通过盗号、木马盗取大量信息。

二是能够接触到个人信息内幕的一些工作人员,做出盗取信息的行为。

二者殊途同归,无辜群众信息被贩卖,坏人获取暴利。

很多黑产选择在腾讯的产品,例如 QQ 上完成非法交易。但对于腾讯来说,不能侵犯用户隐私是产品的底线,他们必须在不查看用户聊天记录的基础上判断哪些 QQ 群在进行非法交易。这个时候就需要结合关键字、关键词、群主的资料、头像等等公开的资料,结合群的行为信息通过人工智能算法来判断一个群是否违法。

然而,这种隔山打牛的方法,终归并不直接。事实也是如此,犯罪分子也在通过各种手段来不断对抗腾讯的算法。

何欣吐槽说:

我们做安全的同事几乎每天都工作12个小时,但是黑产分子好像也特别勤奋。而且不断变化方法来对抗我们的打击模型。

例如,这些贩卖个人信息的 QQ 群,名字里都不带有“个人信息”等关键字,有些“追债群”实际上就在进行着个人信息交易的行为。

实际上,QQ 更多时候是被坏人在信息交易传播环节利用,而仅仅通过腾讯来对整个中国的信息泄露进行遏制,显然不太现实。

我们不妨看看职业黑客怎么说。

五个问题告诉你,个人信息泄露的战争有多残酷

顶级黑客有什么建议?

作为中国第一代黑客,老鹰(万涛)在多个领域中,对黑产的打击都做过贡献。他的微博叫做“黑客老鹰”,也许正是因为这个名字,他可以经常收到人们相关的私信,他说,自己收到最多类型的私信有两种:

一种是不法分子让自己帮忙一起做黑产;

另一种是人们被骗了,报警无效来求助黑客帮忙。

老鹰告诉雷锋网宅客频道:

首先,对于黑产的打击法律会相对滞后。

其次,受到伤害的人报案或线索汇聚太困难。

在报案上,案件发生损失的地点很重要,涉及到案件的归属地和管辖权,而互联网是没有边界的,很多案件都在管辖权这一关被卡掉了。

另外,很多黑产分子利用泄露的个人信息进行诈骗,都会严格“自律”诈骗的金额,不超过法律严惩的界限。例如谎称用户购买的订单有问题,进行小额诈骗。这种诈骗每单的金额都只有几百块或一千块,所以很难被重视。

老鹰相信数据汇集的力量,他说:

如果我不是腾讯的,我有可能发现了一些线索,但是犯罪分子可能是用QQ号,或者是以什么方式进行沟通联络,也有可能通过邮箱什么的,现在的线索还不足,但是这些线索需要汇聚。

因为我们是没有执法权的,安全团队之间如果要分享线索信息,就要合法。明明看到很多有用的信息,但是安全的协同由于缺乏法律的一些解释,或者缺乏配套机制。如果我们私下交易,也有风险性,大家都是各扫门前雪。

理论上数据的汇聚应该政府去牵头,这样就可以做,就可以向前迈一步。

五个问题告诉你,个人信息泄露的战争有多残酷

【万涛】

信息总在泄露,能不能少采集一些?

我记得西方媒体曾经做过调查,76%的人会因为个人信息泄露而减少网络上的活动。而在中国,同样的调查,认为个人信息泄露需要担心的却只有20-30%。

周汉华如是说,他是中国社科院法学研究所研究员、国家信息化专家咨询委员会委员。

在他看来,从斯诺登事件到最近 CIA 的入侵工具被黑客拖出来,这件事本身就说明了:再厉害的防火墙和防卫设施,都不能绝对保证数据的安全。既然如此,那么一个很好的办法就是——尽量少地保存数据。

周汉华认为,大数据越来越火,但对于数据最好的防护,是“不该要的别要”。

他对雷锋网宅客频道说:

现在的大数据经济价值越来越大,大家都觉得这是财富,不要白不要。很多时候我们注册一项服务,如果你不给就根本没有办法往下进行。

其实,最小采集理念在发达国家已经普遍采纳了。这里涉及一个问题:我的数据到底是谁来控制?你要保存我的密码,控制我的数据,但我的数据最终应该是我自己控制。这是所谓数据自决权的问题,是欧洲比较领先的观念。作为公司也好,作为公权力主体也好,都应该反思这个问题。

五个问题告诉你,个人信息泄露的战争有多残酷

实名制让世界更好还是更坏?

很多时候,我去营业厅办一张电话卡,必须本人拿身份证拍一张照片。我觉得很多时候这是一种屈辱。一是因为他采集了我的很多信息,另外事实证明数据存储在这里并不安全。

不仅如此,去开一个网上的小店,也需要实名注册。

在这种情况下,如果以前泄露身份信息的渠道还在,这些信息都会被合并到那个渠道里面。

上海金融与法律研究院研究员傅蔚冈说。

过去火车是实名的,前一阶段乘坐长途汽车也要实名了。今后是不是你开小汽车出去,在高速公路都会有登记?

对于越来越扩大的实名制运动,他持警惕态度。

他认为,为了防止恶意行为而进行的实名制注册,出发点是好的。但是同时这也意味着我们所有的真实信息都暴露在了相应的平台之上。

正如事实所证明的那样,由于很多商业平台,甚至是国家机构的网络安全防护力量并不足够强大,所以最好的方法就是,不在所有不必要的情况下提供真实的个人信息。

“既然留不住,不如断舍离。”这未尝不是在千疮百孔的网络世界中一个权宜之计。

为什么非法交易都集中到QQ群去?这可能是因为 QQ 在设立之初就是着眼于陌生人的交流,而微信等一开始就是熟人社交。“兔子不吃窝边草”,陌生人之间的交流便于干坏事。

但反过来如果我们每个人日常向外提供的信息都是非实名的,估计也就没有那么多的信息泄露了。

虽然实名和匿名是一个悖论,不同的倾向会引发不同的问题,但是我认为如果真的都搞成实名了,对于个人的危害就更大了。

他说。

五个问题告诉你,个人信息泄露的战争有多残酷

如果我们的基因数据泄露,会发生什么?

著名的央视导演石强曾经耗时三年,完成纪录片《互联网时代》。

为了真正理解互联网,他和团队曾经采访了凯文·凯利、扎克伯格、马斯克、马云、马化腾等诸多互联网大咖。在石强看来,隐私和服务是天平的两端。

你要享受更好的更便利的服务,就必须出让更多的隐私,就这么简单。

但是,犯罪正是由此而产生。

在互联网时代,利用个人信息犯罪也许只需要一根网线。中国的电信诈骗破案率不超过 3%,美国的破案率稍高于中国,但并不多。究其原因,石强认为是“破案成本太高”,因为每一个线索都要一点点去研究,最后把很对多线索调查的结果结合起来才能摸清案情,这对于国家资源的消耗很大。

石强举了一个个人信息泄露历史上重大的案例:

2012年“3·15”我们做了信息安全的一个大案。罗维邓白氏是一家全球化公司,以精准营销见长。但是它进入中国之后,中国业务迅速成为它全球业务一半的支撑。他做的就是买卖个人信息。你的信用卡、车辆、家庭住址,2亿多中国人的“全信息”,被公开买卖。这样的公司化、正规营运的个人信息买卖公司敢在上海警方眼皮底下明目张胆地开展业务。

但是在他看来,有关个人隐私信息泄露,还有可能向着更恐怖的方向发展。

如今的智能家居,它可以知道我的什么信息?它几乎可以实时掌握我的所有的状况。这比传统意义的个人信息更加可怕。

未来,一定有人想要得到你的基因信息。今后体检公司一定不是靠体检赚钱,而是靠健康数据和基因数据来挣钱。但是,如果我的基因信息泄露,被人用于别的目的,会发生什么?如果将来仿生人技术出现,它拥有和我一样的基因信息,那么我怎么证明我还是我呢?

正如石强所说,中国 2004 年就已经完成了《个人信息保护法》草案,并且提交立法建议。至今 12 年过去了,《个人信息保护法》并没有更多的进展。这其中显然遇到了很大的难度和阻碍。

保护个人信息,实际上是保护我们每个人的安全和尊严。在这件事上,没有一个局外人。


2017年3月,腾讯公司举办了《对个人信息贩说 NO》腾云下午茶沙龙活动,几位专家对抵御个人信息泄露这个艰巨的任务提出了自己的建议。雷锋网(公众号:雷锋网)宅客频道将专家的讨论记录成文,希望能够对普通人、持有个人信息的公司组织以及政策制定者提供参考。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

五个问题告诉你,个人信息泄露的战争有多残酷

(完)