凤凰网《风暴眼》出品
文|文骅 洄野
爆料邮箱|all_cj@ifeng.com
编者按:
社工库,在大众眼里是一个陌生的词汇。它隐匿在黑市中,堂而皇之地窥伺我们每个人的生活,有人把它比作互联网的“天眼”。它,是一个数据库,但如果有必要,它能触及每个人的一切信息。
说来荒诞,想试验社工库有多强大时,我们在查询的对象上有点犯难。编辑部的选题会上,有人建议查自己,有人说查领导,还有人提出查查前男友。这是一个有意思的话题,也从背后折射出隐私裸奔的今天:尽管我们总是强调保护自己的隐私,却对别人的隐私充满好奇。
核心提示:
1 在社工库里,几乎每个人的所有信息,都被明码标价肆意售卖。只需要知道一个手机号,就能查到身份证、地址、开房信息、银行流水等。这样的数据库五花八门,数据量有的高达数百亿条。在这条黑产中,骗子横行,金钱是掌控一切的唯一法则。
2 个人信息贩卖黑产中,来自各行各业的内鬼能够轻易泄露你的信息。黑产宣称内鬼合作日薪10万起,快递、电商平台、银行、社保机构、公安等行业,到处都有为了金钱诱惑铤而走险之徒,再强的风控管理,都显得无比脆弱。
3 个人信息贩卖黑产,借助抖音、快手、知乎等平台引流。应用场景不断扩展,甚至情人节查开房、起诉抓人、报复都成为信息变现的手段。产业链上下游各司其职,有些人依靠社工库,可以轻松地年入百万。
4 尽管《网络安全法》早已明令禁止个人信息贩卖,但网络安全攻防和警方查办案件都面临重重困难,溯源黑客、追查上线,需要大量技术和成本,常常无功而返。在处处危险的数据世界,平台、公司和个人需要更加重视隐私安全。
——————————————————
01 每个人都在裸奔
初听“社工库”时,由大脑神经中枢发出的颤栗信号传遍了全身——它几乎能透视个人所有的信息,还明码标价售卖给有需要的人。
一位从未谋面的网友,在5月的一天发来一条信息:社工库,你听过吗?只要一个手机号,就能把你所有收货地址全查出来(所有包括淘宝、京东等一切网购平台),是不是很猎奇,很劲爆?
数据隐私的话题并不陌生,但是像他说的那样俱全,还是让人大吃一惊。林清做了数十年的药品跨境电商,自认对各种隐秘的门路颇为熟识。后来我们约定第二天电话详谈,不过他最终爽约了,原因是他觉得这个话题太敏感,担心报道后,我会遭人报复,被人扒个底朝天。
当然,这是后话。在社工库那个无所不包的隐秘世界里,我们每个人都被一串串字符赋予精准的画像:名字、地址、年龄、学籍、社交账户,乃至许多法律禁止交易的信息——身份证号码、某地某时和人居于某家酒店的记录、网购商品、社保信息乃至所有的社会关系和实时定位轨迹,只要有人愿意花钱,谁都可以随心所欲地窥伺我们的一举一动,甚至知晓我们多晚没有回家,何时点了一份外卖,有没有加辣。
这些翔实的数据,大多来自公开报道中的黑客攻击造成的泄漏。雅虎曾在2013年遭到黑客攻击,泄漏的账户超过30亿;淘宝网于2019年11月也遭到黑客爬虫,涉及11亿条用户数据;职业网络巨头领英曾有7亿条数据被散播在暗网论坛上;新浪微博在2020年也被曝出,5.38亿微博用户及其个人信息被黑客获取;网易邮箱于2015年10月,也疑似有过亿用户信息,在暗网售卖(尽管网易辟谣,但是网上相关泄漏说法不绝于耳)。
网站数据泄漏的案例不胜枚举。最近的一次史诗级泄漏是Resecurity公司今年2月发布的报告,报告称黑客组织入侵了亚洲最大的两家数据中心,悄悄潜伏2年之久,影响范围包括阿里巴巴、腾讯、华为、苹果、微软、亚马逊、沃尔玛、高盛、宝马等国际巨头在内的2000多家企业。
持续不断的数据泄漏让我们裸奔在网络世界里。这为社工库提供了天然的便利。它可以无限地集纳信息,如滚雪球一般不断扩容壮大。4月24日,某社工库发布通知:“目前总入库数据1.5亿,还有七亿数据正在披星赶月上传中。”也有社工库自称综合数据量有150亿条以上,另一社工库则自曝总数据450G,人口数据有8亿条以上,包含2011-2022年知名公司泄漏的大数据。
社工库机器人打出收数据广告
“数据量存储达到亿级别都是小菜一碟。”汪德嘉在《身份危机》中写到。社工库的信息杂糅多样。在一些社工频道里,散播的信息十分细致,包括中国台湾省人民户籍信息(300MB的txt版本和118MB的csv格式本),户籍登记信息十分详细,包括名字、身份证号、年龄和住址,还有某市19万人口的详细信息、2020某保险10w信息、2018年农村低保名单、某银行金卡带身份证、某银行数据金卡用户、某省监狱数据信息,甚至声称新增2.2G在逃人员数据……
数据库积累到一定级别,查询功能会非常强大。通常情况下,只需要知道一个手机号,就能在社工库里查询到所有的社交平台注册账户、家庭住址等;甚至有社工库声称,只需要知道一个QQ号,就能反查出所有的信息,譬如身份证、户籍、手机号、微信号、定位轨迹,名下的汽车和驾驶证,最后一次快递信息和最后一次外卖信息。技术的升级迭代,还可以通过一张照片,借助人脸识别技术,追踪到照片中人的名字、身份信息等。
某社工库机器人项目介绍
当然,如果只能提供模糊信息也不是不能查。“猎魔技术”照样可以帮助你精确找到具体的人。“给我一条信息就能关联出一切。”一位贩卖数据的人写到,目前常规的猎魔思路为提供名字和籍贯上的模糊信息,获取该人的身份证,然后结合精准查询的身份证反查获得其他信息,从而找到要找的人。
即使不知道名字,只有一个人的抖音号,社工库的社工们也并非束手无策。他们还可以通过翻阅抖音里面的电话或者微博链接,关联出精确查询。而猎魔技术也在庞大的弱关联信息里,不断探索,寻求强关联。
社工库里的结构化数据,是每个人在网上遗留痕迹的萃取和提纯。但黑客当初非法闯入时,利用的最大漏洞,不是技术,而是“人性”。这在《欺骗的艺术》里描述得尤为精彩,被称为“信息安全领域的比尔·盖茨”的凯文·米特尼克写到,如果黑客找到某个可信任用户透漏一些信息,或者设法欺骗一个轻信的用户为自己提供访问许可。再安全的网络技术,也无法保护这家机构。
欺骗的艺术,包括而不限于,黑客如何说服职员,让他们提供计算机用户名和密码,从而获得机构系统的入口,攻击者如何诱骗一位女士下载一款软件,从而借助软件监控女士的所有网络行动。
02 被骗、群嘲和暴力
上当受骗几乎是所有初次接触社工库的人的必经之路。梁文第一次使用社工库就被骗了。他因为在某二手平台购买一件价值数千的物品,付完钱后,对方不理他了。他很不甘心,于是想借助社工库,查到对方的地址。
他在社交平台随意输入“社工库”,首先映入眼帘的就是一个有几百人的社工库群组。他翻了翻历史聊天记录,发现里面密密麻麻的都是一个个名字、一串串数字组成的手机号或者身份证号码。在群里,任何人随便丢进一个手机号,机器人会自动拉出一堆信息,譬如姓名、身份证号码、银行卡号码,有的甚至还有额外记录,如“德阳 极速贷——全国,月光族:1000.0”。如果丢进的手机号查不出来想要的信息,那么人工付费查询会给你答案。
价格根据实际查询内容而定。通过身份证号码查询姓名和户籍地址、照片最便宜,收费100元,如果想要查询全家户籍信息,要700元,借助手机号查询相关信息和外卖地址,则要600-800不等,最贵的是通过微信号提取所有的好友,要价5600元。如果想查机主一个月的活动轨迹,要价5000元。
查询的价格并不便宜,当梁文犹豫不决时,“要查档吗?”一个名为“清风 社工查档”的人发来一条信息,还贴出一张查询项目表,足有20来项,看起来很专业。
梁文表达诉求后,他回复,可以查,220元。
这个价格要便宜得多,但梁文并不太放心,问了很多问题,清风也很热情地一一解答。他们双方谈得最多的还是清风的社工库——自己独立运作,有14亿人的信息,每月固定差不多有上万收入。他看起来很真诚,此外还习惯说一些颇能唬人的行话,如“猎魔技术”、“TG技术”,还说如果缴纳660元,可以做代理,不仅会学到很多东西,还可以任意查询。
这套说辞实在太诱人了,根本招架不住。更关键的是为了打消梁文的疑虑,清风跟他聊了快2个小时关于社工库的知识,这会很容易取信于人。他还告诉梁文,收费账户是银行卡,点对点,实名制,有什么不放心呢?
但是当梁文支付220元的查档费用后,清风消失了,还删除了群里的所有聊天信息。所谓的银行卡实名收费,也是采用第三方代收,根本不是他本人。我也曾暗访清风,套路说辞和梁文的经历大致相似,都是在建立信任后,诱导你去充值消费。
梁文揭露自己被骗的当天,先后还有两个人自曝分别被清风骗了300元和200元。
类似的骗局在社工库俯拾即是。不时有人在群里分享自己被骗的经历。为了防止被骗,一个有4万人的社工群干脆禁言,近期还在群里做了次小调查,征求意见——是否继续群禁言——结果88%的人表示:我怕被骗,继续禁言。
随着不断深入社工库,你会发现,找寻可靠的方式查档,有很多的技巧需要学习。那些所谓拥有数万人的群组也不靠谱。有人甚至组建了专门的诈骗群,名为“开房记录|手机定位|同住信息”,但群里的6万人,大部分是已经注销的账户。
即使是贩卖数据的人也会被骗,行业俗称“黑吃黑”。黎城组建了一个有3000多人的群,专门对接诈骗机构或者社工库的运营者,他每天会在群里发布许多数据样刊,所有人只需要缴纳3万元,可以固定享有一定的数据资源。
他的客户多是代理商,但是遇到有人“白嫖”或者“盗取”信息,他都会在群里张贴大字报,控诉并语言侮辱和谩骂。“白嫖”在社工库里是个常见的词汇。专做信息安全的蓝桥信安技术人员李菁,也会深入社工库,白嫖。
“这太正常了!”李菁告诉凤凰网《风暴眼》。他有时候为了工作需求查询一个人的信息,会来到社工库,假装是一个有固定需求的客户,然后要求卖家给予测试。当对方发过来他想查的那个人手机号定位信息后,他会假装不满意,删号走人。
贩卖数据的“料商”也会趁机大宰一笔。做了多年安全工程师的王皓对这种事早已见怪不怪。 他举了个例子,比如我有15万高考考生的数据,再通过机器生成15万条数据,这样就可以按30万条信息贩卖了。“没有人会一条条去核对真实性的。”买家只能自认倒霉。
这也导致社工库的群组里,常常充满戾气。人人都窝着一团火,普遍缺乏耐心。语言暴力和口舌之快,似乎是唯一泄愤的方法。因为技术隐匿性带来的便利,让人可以撤销删除所有的信息,任意注销账户后重新再开一个即可,犯罪成本几乎是零。而且因为完全匿身,上网使用的IP地址也是虚拟地址,根本很难追踪到本人。
在社工库的暗网江湖里,没有秩序,不尊重规则,也不推崇任何价值观念,只有新的“丛林法则”——金钱掌控一切。所以,借助一定的方法骗到人,似乎成了值得称颂的事。而受骗的人,在他们看来,又“蠢”又“麻瓜”,根本不值得同情。
03 “内鬼”日薪10万起?
隐身在这场金钱支配暗网源头的不只是黑客,还延伸到现实世界的各行各业。你很难想象,我们每个人的具体而私密的信息,在一些地下交易市场,会如此值钱。它甚至成为许多机构内部人的“摇钱树”。这些机构,包括但不限于快递行业、电商平台,甚至银行、社保机构、公安等。
我抱持着半信半疑的态度,试图测试金融机构的信息安全。说来荒诞,在决定使用社工库查谁时,我有点犯难。编辑部的选题会上,有人建议查自己,有人建议查领导,还有人建议查查前男友。但最终,我决定查询自己的银行账户信息。(做出这个决定时,我们并不知道,在社工库上查询任何人的信息都是违法的。)
我在一家社工库潜伏两天,在确认该社工库运作正常后,最终点开了官方人工客服。
当抛出要查询银行流水的问题时,“你要查询哪家银行?”对方很快回复。
这对他们而言,显然是一个大单。通常查询银行流水的费用,最低都要2500元。对方给出的价格单很详细,每家银行因为建立的渠道成本不一样,所以收费标准也不同。农业银行查询一个月流水需要2500元,三个月流水要3800元。这都是老关系,定价才会相对便宜;四大行外的银行,价格更高,上述两种流水价格分别要贵800元和1700元,开卡至今费用更是高达17000元。
我有些担心再次被骗,这可不是一笔小数字。不过客服再三保证,四大行四小行流水均可查询,都是内部人员从系统导出的表格,绝对真实可靠。他给出的证据是“我们有几个出流水的固定客户从没反馈过有任何问题。”
社工库客服承诺银行渠道查询信息保真
我最终选择了一个最低的收费项目——查询一个月流水。在对方给出支付方式u币支付和支付宝时,我选择了后者,不过需要额外支付10%的手续费,一共支付了2750元。不到四个小时,我收到了一份详细的Excel表格,里面列出了我的银行卡里某月每笔交易记录,包括交易时间、交易款、余额、交易对方等信息。
为了验证信息真伪,我在手机银行里调取自己的消费记录,一一核对后,信息完全吻合。
尽管提前做了各种预设,但结果还是让人大吃一惊!貌似稳固如磐的金融系统,显得如此脆弱不堪。实际上,为了加强流程上信息泄漏的管控,银行已经设置严格的查询流程。
“银行内部工作人员,查询个人流水明细,除了司法查询和继承需要外,是不允许未经个人授权私自查的。而且即使查询,也需要个人上传资料,后台通过集中授权系统授权柜员查询,才能查。查询的结果,也通常是以加密文件的形式发到客户指定邮箱或者当面交给查询人。”在建行工作多年的柜员王付敏也感到诧异。为了搞明白,她还特意跑到主管那里咨询,最后她认真地告诉我,他们也一头雾水。
不只农行,实际上各大行因为未经授权泄漏出来的个人信息,在网上比比皆是。
“内鬼”身份隐秘,很难发现。即使是身边同事,也不易发觉。李菁为企业做过许多漏洞排查。在他的实际工作中,最难发现的不是黑客攻击的技术漏洞,而是自己人在技术上做的“手脚”。有些技术开发人员会在系统里故意留个“后门”——相当于一个管理员超级账号——这个后门设置有多种方式,比如在内存里留一个托管账户,在成千上万条的程序代码里故意设置一个接口,不深入排查的话,根本不易发现。
李菁也服务过银行客户,但不是银行内部人信息泄漏的案例。在他看来,根据最小接触原则,柜员肯定是拥有最小权限的人。什么样的人才能做“内鬼”?拥有权限级别越高的人越可能。级别高的领导,还有技术开发人员。他举例说,技术开发人员在金融系统上做手脚,还是有很多种方式。譬如,任何一个系统,包括银行,通常上线前都有一个预生产环境,用来测试系统是否正常运行。上线前,系统内部的部分真实数据也会同步到预生产环境里,相关的开发人员和测试人员都拥有接触这些数据的权限。而大部分系统经常要迭代升级,所以预生产环境的使用也很频繁。
信息保护最为严苛的银行都难以避免内鬼泄漏,更何况其他行业。每个社工库里都能看到客服丢出的查询图片样例,有户籍查询带着明显的标识“PLC·公安部全国人口信息库”,还有“美团配送烽火台”“蜂鸟即配”平台内部查询图片等。饿了么、美团外卖、淘宝、京东、圆通都是内部人泄露的重灾区。
社工库中晒出的公安系统数据信息
社工库中晒出美团后台查询截图
“世界上根本没有绝对安全的系统。”多位做技术安全的人都告诉过我类似的话,尤其是考虑到人的因素后。因为人会被利诱,进而让坚固的系统,裂变出多道缝隙来。
有社工库在寻人时,会隐晦地表示,“在警察局、银行旅馆、酒店只要是在职人员可查信息都可来找,一天可以赚到一个月的钱。”也有人干脆直接贴出诱人的收入:诚寻公安渠道,优质刑侦、网侦权限,业内5年资源积累,保量保安全。日薪10万人民币起。
即使是普通的租房中介,似乎也能日入上万。我曾伪装成某租房中介公司内部人,联系了某社工库人员。
“如果你能够从租房中介公司随时查全部数据,那赚钱就会非常简单”。对方回复,毕竟冒险越高,收益越高嘛!他似乎急于开拓渠道,还给出查询价格,查一单给我提成20元,一天稳定有上百单。如果能够达到500单,就能日入万元了。
对方开出的“诱惑”,外人无法辨别真伪,但是在贩卖个人隐私的以身试法中,许多内部人身败名裂。比如原中国建设银行余姚城建支行行长沈静冲,从2017年起就利用职务之便,将办理过房贷的银行客户信息提供给某装饰公司。案发后,沈静冲不仅被罚款6000元,判处有期徒刑三年,缓刑三年,而且被禁业5年。
这样的案例不胜枚举,据公开信息,2016年6月,江苏徐州公安机关摧毁了一条以黑客和快递公司内部员工为泄露源头的倒卖快递信息的黑色产业链,查扣各类快递信息500余万条,犯罪嫌疑人非法获利30余万元。同一时间,内蒙古赤峰一起案例中,犯罪团伙利用“快递单号生成器”等软件筛选快递单号,通过快递公司内部人员查询对应的公民个人信息7万余条,非法获利3万余元。
04 跳蚤、找鱼和抓奸套餐
个人的隐私,成为商品,从在社工库里明码标价的那天起,黑色产业链渐臻成熟。
在这个刚刚过去的白色情人节当天,各大社工库主推的是“5·20为爱出击,安心查询”活动——查询开房记录。甚至有社工库贴心地打出一条颇为熟悉的广告语:xx社工库,520伴你同行。
社工库利用情人节打广告引流
还有人在微信朋友圈发出明显的暗示邀约,“过两天找我报开房的应该很多。老大们,节日快乐。”
为了引流,社工库的人使尽了浑身解数。他们如跳蚤般潜伏在抖音、快手、知乎、QQ等各种社交平台。他们把一切有关社工库的信息,都据为己用。做网络信息安全科普长达七年之久的潇潇,对此甚是烦恼。他越来越发现,自己科普社工库危害的视频,却成了社工库人员天然的引流渠道。
淘宝上的个人信息查询服务商
就在那期社工库危害的科普视频下面,有149条评论,其中多人在暗示自身的社工库身份,可以帮人查档。他们甚至一个人可能注册多个账号,在该视频下,举荐名为CAI情报员、社工渗透员、渗透情报员丧彪、Cia数据对接查档、Hack 情报员等账户。但当我循着账户公布的QQ群号潜入群里时,我发现举荐人和被举荐的人,都同属一个组织,他们是至少4个不同QQ群里的管理员。无奈之下,潇潇在评论处多次留言,不要相信这里的其他人。他还强调,保护信息尤为重要,请认真对待!但收效甚微。“这些名字中带有‘黑客’、‘情报’等字眼的人,很大程度上是骗子。”
知乎上设置“社工库”的话题,显示浏览量有2626万,讨论量有1.7万。位居头条的就是一篇关于《社工库杂谈》的转载,文章非常翔实地记载了社工库如何进行数据撞库,并给予演示案例。这篇文章获得723条点赞,近百人评论。
谷歌搜索浏览器输入关键词“社工库”,会产生250万条结果。无人能精确统计,网络世界里隐藏着多少家社工库,多少人以业余或者全职的方式投身其中。因为许多社工库还隐藏在“暗网”里,普通用户根本搜不到。
社工库的信息链条往上溯源,也异常复杂。在社工库里,信息的价格以它自身的价值而定。
而价值,通常由供需两端的大商户协商。流向社工库的数据,已经是在市场上被多方榨取后的数据,价格已经非常便宜。
在地下黑市,黑客攻击获得的数据,为一手数据,经过清洗后,会打有模糊的标签:譬如女性、母婴、金融、中产阶级、华侨群体等,这样的数据通常最值钱,买主大多是诈骗集团或者商业竞争对手。后者会对数据的真实性做测试,比如,黑客会给500个人的联系方式,买方会挨个打电话,如果有50%的转化率,这个数据都会非常值钱。
数据如甘蔗,经过“商业组织”的咀嚼后,原本颜色鲜亮的甘蔗已经干涩了,当被人拿到黑市二次或者多次流通后,就只剩下干燥的浆状纤维,这时才会流通到社工库。
“数据经过的交易次数越多,价格越便宜。”潇潇告诉我,有些一手数据可能每条5元,上万条的数据就高达数万元。等到社工库购买时,价格可能会低到0.1元/条。他记得很清楚,当时有家社工库,购买12亿条快递公司的数据,只花了5000元。
但是,当这些被多次利用的数据流入社工库,面向普通零散用户后,那些无差别的信息,突然因为被人“点名搜索”而变得立体起来。这个人圆脸还是方脸,住在何处,与何人交往, 资产在哪,点外卖是否加辣,喜欢住酒店还是家里,咖啡里是否加糖。因为它满足了个人无法熨帖的现实,价格便陡然蹿升了。
譬如,因为对情人的不满,想要查询相关信息,以泄私愤;因为生意被骗,主谋逃之夭夭;譬如金融大佬卷款逃跑,徒留一批追债无门的投资人;因为情感纠纷,分割家产,想要雇佣侦探查询对方不利的证据。
这完全成了私欲里揣摩挖掘人性的流量生意。社工库里除了细碎的查询服务外,推出了与之相应的套餐,出轨抓奸调查套餐5000元,起诉套餐7000元,抓人套餐(票务监控、实时定位)6000元,报复套餐(封禁账号、手机轰炸)3500元。
社工库的运营者从中赚得盆满钵满。教授黑客攻击技术的一位网络技术人员,委婉地告诉我,有些人依靠社工库,可以轻松地年入百万。
收入真假无法核实。不过,在许多裁判文书里,确实可以发现它的利诱有多大。2014年,山西人牛强通过网上搜索等途径获取公民个人信息,购买了一台服务器,将服务器架设在吕梁市兴县的老家,在服务器上用MYSQL写入数据,搭建了QQ华景机器人自动查询社工库。此后一直到2018年,他为充值的会员提供了84亿多条个人信息,发展了6000多个有效会员,赚了25万多元。
2017年以来,郝帅通过互联网上搜集了70多亿条公民个人信息并建立“社工库”,他的QQ群里每人收取10-198元的入群费用,在群中不定期开放社工库查询,群员壮大到600多人。通过出售公民个人信息,他赚了5万元。
一些不懂社工库但又想分羹的人会寻求成为社工库的代理,负责下游寻找潜在客户。这些代理的行为,在业内叫“找鱼”。
代理环节已经相当边缘了,并没有什么统一行规,可谓鱼龙混杂。但这对社工库而言,几乎是稳赚不赔的生意——代理需要缴纳代理费,然后在“找鱼”的过程中,收取提成。
我也曾以做代理的名义咨询,其中一位客服发来的一份代理价格表显示,代理需要根据不同项目交纳不同数额的代理费。订单为身份证正反照、婚姻史、疫苗接种预留地址电话时,代理费为60元,而个人社保、工作单位相关信息的订单,代理费为150元。提价卖出之后,代理无需费神,就可以轻松赚数百元。
一个社工库的人则建议我可以尝试做群组的管理员。他给出的诱惑是,做代理只能四处找“鱼”,“一条鱼分50元”。而做管理员,则只需要交200元,就可以在群里自己接单、发广告,赚钱后只需要给社工库分红10%。“一个客户能赚二三十元,运气好的话一天能赚四五百元。”
从上游的数据源头到社工库的从业者及其下游的代理们,究竟有多少人,外界无法判断。但是在相关的网络黑产上,人员庞杂。根据互联网经济2018年报道,截至当时,国内网络“黑产”的直接从业者超过40万人,若计入网络“黑产”辅助性质的上下游人员,从业者超过160万人,网络“黑产”年产值约1100亿元。
05 猫鼠鏖战
实际上,这个看似“钱景辉煌”的行当,早已是《网络安全法》里明令禁止的了。
2017年6月,《网络安全法》正式颁布实施,其中有一条明确提出,严禁任何个人和组织窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。违反者,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
这次网络安全法颁布前,发生了一起震惊全国的事件——来自山东的18岁女孩徐玉玉,因为把9900元学费打到骗子的账户而发生心源性休克,不幸去世。一位花季少女原本即将开启人生中最美好而自由的生活,却因为数据泄漏被犯罪分子盯上而陨落,这激起全国人民的愤慨。
许多公司的安全反诈团队,主动联系警方,使用自身的技术向警方提供线索。警方也给予最强力度的投入,创造了“10天”击破诈骗团伙的记录,该案件还入选了“2017年推动法治进程十大案件”。
做了多年网络安全工程师的王皓至今对徐玉玉案记忆犹新。山东60万考生信息泄漏,它带来的危害,已经不只是金钱的损失,还危及了人的性命安全,以及为当事人家庭带来严重的精神创伤,这种恶劣影响已经无法用数字衡量。
数据隐私泄漏,天然地为诈骗分子提供沃土。网络反诈就是与犯罪分子在网络上斗智斗勇。在隐匿的网络空间,网络安全工程师蹲守在电脑一端,试图攻破犯罪分子的“巢穴”。
为了协助警方攻破一个诈骗网站,网络安全工程师李菁与团队的两三个人员和“黑客”反复拉扯了一周多的时间。最开始,他们认为这是一家小网站,可能不懂黑客技术。但在交锋几次后,发现对方对他们的渗透,反应很迅速。每次交锋,当他们即将攻下网站系统,总是被黑客及时发现,然后剔除出去。
李菁团队另想办法,直攻不行,改用社会工程学的技巧,打心理战术。他们找到黑客的真实QQ号,然后伪装身份,加了好友,和其闲聊,建立信任关系,期间得知黑客对监控软件的兴趣,便利用交流技术的契机,给对方发了一个伪装的木马病毒。对方虽然很谨慎,但还是下载安装了文件。这帮助李菁团队很快锁定到黑客上线使用的服务器ip地址,也最终帮助警方迅速抓捕犯罪嫌疑人。
猫鼠大战中,激烈对抗听起来惊心动魄。但大多数情况,因为现实社会中隐匿在另一个端点的敌人会制造种种障碍,让追踪者无功而返。
地方一线办案人员宋峰,入职5年以来,接触过不少信息贩卖的违法案件。他记得一起很典型的快递信息泄漏案例。一家快递公司的工作人员日常检查时发现,公司仓库电脑被人装了监控软件,对公司信息安全产生威胁,于是立即报案。
警方立案侦查后,锁定到一名犯罪嫌疑人身上,嫌疑人曾经做过快递员,对快递行业比较熟悉。警方研判,监控软件就是他购买的,服务器也是其用他人的身份证件租赁的,但他拒不承认,始终称软件是一个叫“林总”的人给他的,他没有参与信息贩卖。
“这怎么可能呢!所谓的‘林总’很可能是虚构的。这个犯罪嫌疑人的手法很老练,而且有比较强的反侦查意识,整个犯罪过程中没有留下任何直接指向自己的证据。”宋峰说,尽管没有证据证实他就是“林总”本人,但是他仍然难逃惩罚——他非法获取信息超过50000条,按照法律规定要判处三年以上有期徒刑。不过想追诉更多犯罪证据,以及信息链条上的其他犯罪嫌疑人,公安和检察机关却一筹莫展。
其中有十分复杂的因素,比如,为了不让“猫”捉到,“老鼠们”早已挖好地洞,变得更隐秘。从支付方式、渠道上设置层层环节,即使追查到收款人,但收款人和实际犯罪人员中间还隔了很多人,而这些人之间根本不认识。即使追查到源头,若犯罪分子把服务器架设到海外,也很难缉捕。
精益求精的技术成了突破限制的关键。公安部为了提高网络安全技术的侦查与反侦查能力,每年都会召集多家网络安全公司进行攻防方面的实战演习。李菁公司每年都会参加。参与者会分成两队,一队是专门攻击网站的黑客,一队是专门防守,俗称白客。李菁通常会扮演“黑客”角色。
“这是红蓝阵营演练的模拟,目的是提高网络安全人员的反侦查能力,也让我们在不停的技术迭代中,不段反思安全技术的升级。”尽管在演习中,李菁所在的队总能突破防守,拿到靶标。但是他反而更加忧虑。因为模拟演练没有输赢之说,他所在阵营赢了,反而暴露了企业系统有多脆弱。
06 个人隐私保护成了“伪命题”?
这场技术、人性、利益的较量中,我们理应学会保护自己隐私,免去受人诈骗的风险。但是,现实生活中,大部分人对“隐私”已经不在乎了。
这是因为个人在网络空间里已经“逃无可逃”。一直在参与全民网络安全决战的李菁,当被问及如何保护个人隐私安全时,也流露出无奈的语气。“日常生活中,隐私被触犯的场景太多了。”
他一口气举了许多例子,社交各平台设置同一个密码,很容易被黑客撞库获得;有人会专门守在一些固定的办公大楼或小区搜集快递信息,还有人会根据朋友圈图片里的标识建筑物等锁定到你的具体地址……
日常不起眼的地方,更是隐藏着“违法抓取你的数据”的各种可能:譬如当你正好在咖啡馆或酒店看视频时,担心流量不够用,想去连接开放式Wi-Fi;或者当手机没电了,恰好自己正在车站等车,车站服务中心共享充电宝触手可及,李菁坚决地说,“不要使用,因为它们很可能会搜集你的身份信息和支付信息”。
但是考虑到实用和便利性,大部分人都会倾向牺牲安全性。这实在太难了!“鱼与熊掌不可兼得,对吧。”李菁安慰我。不过,他也认为,在保护个人隐私上,普通用户能做的还是极其有限,仅仅是在要求密码的设置上,大部分用户都很难在不同平台设置不同的密码。
“拥有数据开发能力或运营能力的公司应该有更多的担当。”李菁说,譬如当用户长期不更换密码时,平台运营商应该给予提醒。还有在网站注册账户时,提醒设置复杂的密码。还要定期做安全测试、安全检查、提升系统的健壮性。
很多网络公司确实都在努力保护用户的隐私。它们内部推出严格的数据保护措施。2021年,阿里巴巴破除了原来的各平台数据打通。商家用户原来可获得订单中的消费者具体数据,包括姓名、手机号、详细地址等,但现在已经不可能了。每个用户都有一个ID,阿里在这个基础上,添加了开放ID,这个开放ID会在每个店铺中都不一样,商户只能看到开放ID。微信也同样有着复杂的ID标识,要求第三方开发者无法获得用户唯一的ID。
但是在隐私和技术的开放性平衡上,公司的表现依然很矛盾。阿里的用户ID在CRM系统里的流转逻辑,阻断了商家在数据上的获取,也间接影响商家私域业务受限,进而也会让平台业务受损。
隐私保护过度也可能引起投资人的担忧。美国数据专家帕夫洛·弗拉霍斯等人曾基于10万个企业环境、社会与治理的非结构化数据,研究企业市值与隐私保护的关系。他们得出的结论是,企业在隐私保护上并非越严格越好,而是呈现“倒U形”关系。这表明,金融市场的看法是,一家公司要拥有用户适当的数据隐私,过量容易给公司带来负面影响。但如果过少也不行,这可能会在商业竞争关系上处于劣势。
大多数互联网公司倾向认为,用户是有隐私悖论的——尽管用户声称关注隐私,但是他们的实际行为表示他们根本不在意——2018年,李彦宏曾在中国发展高层论坛上说,“中国人更加开放或者说对隐私问题没那么敏感,如果愿意用隐私来交换便捷性或者效率的话,很多情况下中国人是愿意这么做的。”
这一观点尽管颇受诟病,但也暗示了巨头们公开搜集用户数据的底层思维。
互联网公司,本质上都是一个大数据公司,它们借此访问了用户爆炸级的数据,甚至借助大数据技术,进行更多的商业探索和创新。我们具体而微的痕迹,譬如浏览商品的类目、对话使用的称谓、访问页面的时长、搜索记录等在它们那里变成了有价值的信息。它们根据用户足迹搭建模型,揣摩我们的心理,预测我们的行为,甚至灌输给我们思想,诱导我们改变行为。
公司越来越了解我们。它们手握庞杂的数据,仿佛指挥我们的“遥控器”。2017年颁布的《网络安全法》也默认了网络运营者对用户数据的收集、使用。前提有三个:平台明示收集、使用信息的目的;经用户同意;收集的均是其提供服务有关的个人信息。
但在顾及商业创新的数据默许之上仍然有一个重要而无法回避的因素——人,只要有人在操控一切,信息泄漏的风险就一直存在。这也是《欺骗的艺术》一书表达的最核心观点。
显而易见的事实是,尽管法律在公司保护个人隐私上要求无论多么严格或者公司多么强调保护隐私,现实中,我们的数据泄漏仍然在指数级增加。
一个直观的感受是,为了保护信息安全,2017年网站实施实名认证以来,我们每登录一个app,也意味着我们被网站收集的个人信息反而更精准了。而网站信息一旦泄露,黑产中流通的将是更齐全的用户信息。
多位网络安全工程师都表达过类似的担忧,2017年网站要求实名认证以前,泄漏的信息其实是比较杂乱而模糊的。但是2017年要求实名后,泄漏的信息已经越来越具体了。
这似乎也意味着,数据失控将成为互联时代的常态。“平台还是有很多作为空间的。”李菁说,平台也将迈入一个强监管的时代。
(应受访者要求,文中李菁、潇潇、宋峰、林清、梁文、黎城、王皓、王付敏等均为化名。)