很多网友表示,自己的QQ号被盗后,向好友和群聊发送了一些不雅信息和黄图,一度造成自己在人际圈子人设的崩塌和社死。
因为受害者众多,影响也很恶劣,次日腾讯QQ对此事给予了回应,称主要原因系用户扫描过不法分子伪造的游戏登录二维码并授权登录造成。
但不少被盗号的号主反映,自己并没有扫描过什么二维码,也无浏览过不良网站,更没有向他人泄露过密码,账号被盗得莫名其妙。
不过,经过多名网友反映和记者调查发现,这次被盗号的号主,多为在校或者刚毕业的大学生,因此大家怀疑这次的QQ盗号事件,与此前曝光的学习通学生信息泄露一事有关。
前几天,大学生学习软件学习通刚发生了信息泄露事件。
6月20日,一个叫“M78安全团队”的公众号发文称,学习通的数据库信息正被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息共计1亿7273万条。
消息一出,在互联网上尤其是大学生群体中引发了巨大热议和恐慌。
学习通是大学普及率非常高的一款APP,尤其是疫情期间,高校的线下课程都改为线上,很多学生和老师都是通过学习通来打卡、上网课和考试监考。
事发后,有不少同学登录了自己的学习通账户,发现即便不经常使用这个软件,数据显示的使用记录竟然也高达数万次甚至数十万次。
那么,学习通信息泄露和这次QQ用户被盗号到底有无关系呢?
6月27日,有记者在网上检索时发现,在外网上某个隐蔽的平台,输入关键词“学习通”后,可获取一个QQ邮箱以及一组被加密后的密码。
业内人士表示,这类密码为乱码密码,可以通过密钥转换为对应的数字及字母,若不法分子获取了相关密钥,则可直接获取真实的密码。
目前,也已有学校发布提醒称,由于学习通的数据库泄露,现在已经疑似出现利用学习通数据库撞库的情况,呼吁大家如果QQ的密码与超星平台一致,请立即修改密码以保护账号安全。
什么是“撞库”?
大家在登录不同网站的时候,为了方便记忆,很多人都喜欢用同一个用户名和密码。
而很多不法分子便是利用大家的这个习惯,通过已经泄露的用户和密码信息,使用自动化工具去其他网站接口批量提交账号密码组合,如果成功登录,那么撞库攻击就成功了。
但面对大家的种种联系和猜想,学习通方面表示:“到目前为止确实没有发现我们有泄露的证据。关于网传的信息泄露事件,鉴于事情重大,我们已经向公安机关报案,目前正在跟警方配合深入调查。”
一边是咬定用户密码不会被泄露的企业,另一边,是遭遇各种盗号和对信息安全感到惶惶不安的用户。
大量QQ被盗和学习通信息泄露这两件事,无论有无直接联系,其实都敲响了警钟——个人信息泄露,已经严重到不得不重视的地步了。
1
目前的个人信息泄露情况有多严重呢?
这么说吧,大多数人在互联网面前无隐私。
其实早在几年前,各种专门贩卖个人信息的QQ群就非常普遍和猖獗了。
公民个人信息在各种QQ群里被公开叫卖,基本上你能想象到的各种个人信息,都是可以查询和买卖的。
无论你是想查对方的通讯录、滴滴打车记录、开房记录,还是通话记录、淘宝购物记录、购物收货地址,只需提供一个手机号,给够钱,都可以查出来。
早在几年前,就有记者曾卧底到专门贩卖个人信息的QQ群里,仅提供了一个手机号,信息贩子就可以在几个小时之内迅速查到对方的照片、身份证号码、户籍所在住址、民族、所属派出所,且与事实上的信息完全一致。
提供一个手机号,还可查对方名下的车辆信息,包括车辆的型号、车牌号、车架号、发动机号这些也是应有尽有;以及淘宝购物的所有收货地址,无论是曾经的还是现在的收货地址,无论是买给别人的还是自己的收货地址,通通在列,且经本人确认信息完全一致。
而信息贩子掌握的还远远不止这些,还是仅凭一个手机号,能查到你历年来的详细打车记录,其中每次打车的时间、从哪里上车、从哪里下车、叫的哪种类型的车、以及车费历历在目。
更能查到你成千上万条的通话记录,每次通话的来电与去电号码,通话时间、通话时长以及每次通话的话费更是显示得清清楚楚。
更可怕的是,还是只需提供一个手机号,信息贩子就能精准定位你所在的地址,不光有实时位置图,还有平面地图,卫星地图,其中还能清晰标记经纬度,实际误差不超过50米。
看到这里,你是否觉得细思极恐。
敌暗我明,只需一个手机号,对方就可以将你摸得透透的:你是谁,你在哪里,你干过什么,你开什么样的车,住什么样的地方,消费习惯是什么,平时都和谁联系交往......
只需提供一个手机号,任何人都可以买到你的这些隐私,可想而知这背后的隐患让人何等毛骨悚然。
这也是近年来个人信息泄露相关话题的热度居高不下的重要原因。
但好消息是,国家和各大平台显然也早就注意到了这个问题,近几年对这类黑灰产的打击力度持续加大,目前这些黑灰产业在国内的传统平台很难立足。
随之而来的坏消息是,这个黑色产业链并没有消失,而是开始向国外转移了 ,渐渐转入了以暗网、Telegram为代表的国外网络平台。
支付方式也由原来的微信支付宝转为了虚拟货币等更“安全”的支付方式。这就形成了更加隐蔽、更难溯源的新型产业链。
如今在Telegram上各种贩卖信息的社交群上可以看到,大量的包括户籍、手机号、定位、查人查档、财产调查、开房记录、流水等在内的用户信息被公开售卖,十分猖獗。
而暗网中的数据交易量更为庞大。
每年在暗网平台出售的各类泄露数据多达上万起,每年泄露的数据总量高达数十亿条,交易金额超10亿元人民币。
这些泄露出来公开出售的信息,包括政府机构公民信息,银行、证券等金融机构的客户信息,各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户、用户信息。
而这样大量详细的真实数据,标价却非常廉价。据业内人士说,查一条信息平均也就几毛钱。
在暗网上可以看到,一份标称刚出库的某辅导机构全国高校93万学生身份数据售卖,打包价格为30美元,里面包括姓名、手机号、学校、住址等信息,数据包显示已有18次成交。
某快消品牌官方旗舰店销售信息数据则报价16美元,数据包共有15623条该品牌2020年中销售数据信息,包括购买人、购买信息、价格、购买时间,同时还有购买者的电话和地址。
此外,身份证正反照、手持半身照也被打包售卖。从发帖者给出的附件截图,可以看到相关照片不仅有当事人身份证正反面,同时还有当事人单人照以及手持身份证照四张照片。而这样的照片共有1500套,数据包售价为20美元。
以及其他各类信息,明码标价,应有尽有。
当然,被售卖的泄露数据不仅只有国内的,还有很多国外各大平台用户的数据。
比如Linkedin早期泄露的数据,在暗网上最早被明码标价5个比特币。
还有美国大选所有50个州的投票数据,被标价0.12个比特币。
有些被泄露的用户数据甚至在某些平台可以免费获取。
去年据外媒报道,在一家黑客论坛上,有人免费发布了5.33亿脸书(Facebook)用户的个人隐私信息,包括用户的电话号码、脸书登录ID、姓名全称、家庭住址、出生日期、个人简历,以及电子邮件地址等。
被泄露的这些个人隐私信息数据涉及来自106个国家的5.33亿脸书用户,其中包括3200万美国用户、1100万英国用户和600万印度用户。
足见全球的用户数据泄露情况已经到了何等触目惊心的地步。
随之而来的问题是,我们的信息又是如何被泄露的?泄露后又会被如何使用?
生活中,大家应该经常会收到一些推销电话,电话内容涉及楼房买卖、网络报考、保险公司、银行办理信用卡、儿童教育等等。
电话那头的人,大多知道我们的姓氏,有的可以直接喊出我们的全名,甚至还知道我们的身份证号和住址等各种信息。
乌鸦基本每周都能接上一两个这样的电话,简直是不胜其烦,但又拿对方毫无办法。
问题是,我们的这些个人信息到底是何时、从何处泄露的?以至于泛滥到了中介卖保险等各色人等人手一份的程度。
各大APP越权过度收集用户信息,是个人信息泄露非常重要的导火索之一。
一个不可忽视的现象是,我们的手机在承担越来越多生活服务功能的同时,也汇集了包括个人身份、衣食住行和社交关系等大量的个人隐私信息。
如今我们注册各种软件APP,甚至是小程序,基本上都要实名制,注册的时候一般都要填写手机号来接收验证码,有些还会要求你填写真实姓名甚至家庭住址、身份证号等等个人私密信息。
光让你填个人信息还不够,还要你各种授权,甚至很多都是不必要的授权。
比如说一个修图软件,会向你索要麦克风或者通讯录权限;又或是一个购物APP或者新闻APP,会向你索要位置权限或者通讯录权限,APP本身的功能和请求的权限明显不匹配,纯属过度索要授权。
不过这些还是可控的,通常这些APP索要授权都会有弹窗提示,如果觉得没有必要大家可以选择不允许授权。
但有些APP就很闷骚了,会偷偷地夹带私货,一般下载好以后会让你签那种巨长的协议,稍不注意你就会被默认同意各种授权。
比如之前央视3·15晚会提到的“社保掌上通”的协议条款里面,就有如下条款:“在遵循本协议的条件下,对您的信息进行采集、分析、处理和模拟您登录人行征信、学信网、社保、公积金、运营商网站等获取您的个人信息”。
而且尤其是金融借贷类APP,因为需要用户提供更多个人信息作为征信和还款的保证,一直以来都是隐私泄露的高风险重灾区。
APP泄露个人信息确实不是什么新鲜事儿了,但问题是这到底是谁泄露的呢?
近几年的个人信息泄露,一般有三个来源。
首先是APP企业和各种小程序等平台本身。目前市面上的APP和小程序很多,本身质量就参差不齐,有些APP企业甚至本身就是靠倒卖注册人信息来牟利的。
有些企业专门发布一些跟正版应用软件长得很像的免费应用,或者以领取福利等为幌子吸引用户下载,但实际上软件里夹带病毒木马、后门遥控、隐私窃取等恶意代码,来窃取用户信息。
这种应用程序的开发门槛很低,几个人几天就可以开发完成投入市场,但是却可以通过倒卖用户信息大赚一笔。
二是“黑客”等外部力量攻击数据库,用技术手段盗走用户信息,导致用户信息泄露。
这种情况也很常见。不久前通用汽车还刚发通告说检测到了黑客攻击,黑客通过在线移动应用程序访问了大量客户的详细信息,包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏等等。
国内外各大企业被黑客攻击和窃取数据的事情时有发生。
三是存储有海量数据的各大企业和机构,有“内鬼”为了获利贩卖大量用户信息。
这种情况近年来也有很多。
比如曾轰动一时的顺丰内部员工泄露个人信息案。
湖北省荆州中级法院2018年5月的一份判决书显示,顺丰速运员工杜立明、冯丹等11人分别就职于河北顺丰速运有限公司和荆州顺丰速运有限公司,职位涵盖安保部主管、市场部专员、仓管、快递员等。
2015年以来,杜、冯等人为谋取非法利益,利用微信、QQ等软件平台,出售、提供、非法获取包含顺丰快递单号、面单(即包含顺丰快递单号、地址、电话号码的图片)中公民的个人信息。
案件涉及被泄露的公民个人信息超过千万条,涉案金额200余万元。如果折合成单条信息,每条价格仅有约0.2元。
除了快递业,其他一些掌握有海量数据的相关部门的工作人员,也常常是个人信息泄露的“内鬼”,甚至是我们的公务人员。
比如湖南省衡阳市公安局刑侦支队五大队原民警肖某,曾利用职务便利盗用同事的数字证书,通过登录公安机关相关信息平台,将查询到的公民户籍信息、公民个人行踪轨迹信息、车辆轨迹信息、住宿信息出售。
根据肖某定价,公民个人行踪轨迹信息每条300元,车辆轨迹信息每条100元,住宿信息每条100元。
自2017年3月至2018年12月,肖某盗取公民个人信息出售给他人,违法所得总计180余万元。最终获刑四年半。
以上我们所说的这些,个人信息泄露的源头,都算是窃取倒卖个人信息这条“黑灰”产业链的上游。
在这条产业链上,上游负责收集、窃取、整理个人信息,而下游则进行精准犯罪获利或实现其他灰色收益。
在个人信息买卖市场,里面的门道也很多。
根据被窃取的时间的不同,这些信息被圈里人分为三大类:“实时料”、“隔夜料”和“历史料”。
“实时料”指的是最新获得的一手数据,即刚被窃取的个人信息,这种料最好卖,因此价格最高,通常能达到一块钱左右一条。
但再放几天,“实时料”就成了“隔夜料”,只能卖5分到0.15元。
“历史料”则是已经在圈子里倒过几道手的,价格最便宜,一般打包卖,一万条才20块钱。
而根据这些“料”用途和来源不同,又可以分为“快递料”、“学生料”、“化妆品料”、“楼盘料”等,包含姓名、电话、地址、学校、专业、快递公司等信息,方便进行有针对性的交易。
这也就涉及到了另一个很重要的问题:用户个人信息被泄露之后,都会被如何使用?
最轻也最常见的一种,是个人信息流转到广告推销方手中,用户会不定时收到各种无用的推广信息轰炸。
最严重的情况,包括产生不明债务、受到网络诈骗被封等等。
之前曾有警方查获一批信息盗卖案件后,随机抽取了一百多个电话号码放到系统里查询,其中就有十余人曾因为遭遇电信诈骗到公安机关报案。
个人信息泄露,对群众产生的恶劣影响已经无法忽视,亟待解决。
数据泄露现如今司空见惯又如此泛滥,难道就真的没法儿治吗?
3
近年来,我国有关部门确实在不断加大对信息安全的防控力度,相关的政策快速落地,各种法规相继出炉。
我国涉及到个人信息的法律有50多部,行政法规40多部,司法解释或者文件40多部,部门规章更是多达700多部。
尤其是2021年8月20日正式通过的《中华人民共和国个人信息保护法》,已经于当年11月1日正式施行。
此法加大了对侵犯个人信息的惩处力度,提高了泄露信息行为的成本,同时也对各类条款进行了明确而具体的规定。无论是大数据杀熟,还是过度人脸识别,或者个人信息处理的问题,都进行了一一规定。
但是,再严厉的打击,面对庞大的市场巨额的利润,照样会有人铤而走险,买卖个人信息的案件,很难彻底消失。
虽然乌鸦更希望看到从制度和管理上根除这样的黑灰地带,而不是靠群众的自我保护,但以现实而言,作为不想成为受害者的个人,我们能做点什么呢?
这里乌鸦简单整理了十条小建议,希望可以尽量帮大家避雷。
1、注册不同平台时,最好使用不同的邮箱和密码,以防出现我们前面所提到的撞库行为,这样的话,就算某一个平台账号密码泄露,其他平台更可能幸免于难。
2、谨慎使用手机作为登录账号,可以注册专门的邮箱。一个手机号可以查到多少个人信息,看完前面的内容大家心里应该有数了。
3、尽量不连接不明来源的WiFi,在公共场合连接WiFi时,尽量跟WiFi提供方确认后再连接,避免不法分子通过WiFi窃取信息。
4、养成良好的上网习惯,绿色上网,不去浏览不认识不知情的网站,更不要去下载里面的东西,里面很有可能内置有木马病毒进而盗取你的个人信息。
5、在相关平台填写信息时,如非必须提供的信息,尽量不要填写,避免平台掌握大量的具体个人信息并出现信息泄露。
6、授权信息查询类平台时,仔细阅读用户协议,小心各种默认授权。
7、不要给APP过多权限以及不符合需求的权限,谁知道它收集这么多信息会用在何处。
8、下载应用时,尽量从正规的应用商店下载可靠厂商的应用,避免点击各类群组,或者不明来源二维码传播的下载链接,谨防通过倒卖个人信息来牟利的软件商。
9、小心保护隐私资料,比如快递单、火车票、登机牌、各种水电费账单、业务小票等等,只要有个人信息的单据,都要好好保管。在不法分子眼里,这些都有“可取之处”。
10、老年人是隐私信息泄露的重灾区,要时常跟家中老人做安全方面的科普,尽量多保持沟通,以及检查老人手机是否被下载各种乱七八糟的APP。
个人信息泄露途径众多,几近防不胜防,但如果大家在日常生活中养成一些好习惯,还是可以大大降低个人信息泄露的风险。
当然,公民个人隐私数据保护终归需要法治的加持。
对于无视法律尊严、随心所欲售卖个人隐私数据的不法分子来说,依靠法律来进行治理无疑是最有效的,也是最具震慑性的。
构建一个“天下无贼”的世界固然不易,但一个服务人民的政府,总要把能将不法分子们绳之以法、还群众一个朗朗乾坤作为自己的目标才对。