12月28日消息,從CSDN公告部分用戶數(shù)據(jù)遭泄露,到天涯社區(qū)承認(rèn)用戶賬戶被泄,用戶信息泄露成了2011年年終中文互聯(lián)網(wǎng)上最大的話題。
一條隱匿多年龐大產(chǎn)業(yè)鏈被順勢挖開,互聯(lián)網(wǎng)上每個(gè)人的數(shù)據(jù)與隱私最終都被層層盤剝、打包瓜分,黑客亦是這個(gè)產(chǎn)業(yè)鏈的打工者。
中國鷹派聯(lián)盟網(wǎng)的創(chuàng)立者、鷹派代表萬濤向騰訊科技透露,CSDN這樣的明文庫,如果不是定向銷售,估值也僅會在數(shù)千到幾萬元人民幣。整個(gè)產(chǎn)業(yè)鏈并不復(fù)雜,但最終被榨取的除了用戶賬戶內(nèi)的有限財(cái)富外,還有用戶本身的隱私和數(shù)據(jù)。
重現(xiàn)個(gè)人隱私全面泄密過程 可多重盤剝銷售
那么如何由點(diǎn)到面榨干一個(gè)用戶的最終價(jià)值呢?一位匿名黑客從筆者已被泄露的天涯賬戶開始,理想化的重現(xiàn)了這一過程:
1 在獲取筆者的天涯賬戶后,黑客首先嘗試了關(guān)聯(lián)的網(wǎng)易郵箱,由于筆者的網(wǎng)易郵箱密碼與天涯賬戶相同,對方毫不費(fèi)力進(jìn)入了郵箱。
2 進(jìn)入郵箱后,對方獲得筆者歷年來注冊開心網(wǎng)、智聯(lián)招聘、中華英才網(wǎng)、前程無憂、快錢、百度、百付寶、校內(nèi)、京東、新浪微博的確認(rèn)郵件。
其中智聯(lián)招聘、中華英才網(wǎng)、前程無憂、京東的注冊確認(rèn)郵件中直接顯示會員名及密碼。其余幾個(gè)網(wǎng)站除開心網(wǎng)及快錢外均與天涯賬戶密碼相同。但因開心網(wǎng)及快錢密碼與京東密碼相同,也被猜中,至此以上網(wǎng)站密碼全被攻破。
3 通過前程無憂,獲知筆者QQ號碼,真實(shí)姓名,身份證信息,收入情況和生日等重要信息。
4 嘗試破解QQ號碼,盡管筆者的QQ密碼與以上各網(wǎng)站密碼完全不同,但黑客依據(jù)真實(shí)姓名全拼、生日、手機(jī)和之前各類密碼的組合方式,迅速暴力破解成功。進(jìn)入QQ郵箱,獲得筆者在豆瓣、淘寶、網(wǎng)易戰(zhàn)網(wǎng)的注冊確認(rèn)郵件,暴力破解淘寶及支付寶密碼成功。
至此,一個(gè)天涯賬號的泄密變成了一個(gè)自然人從虛擬到現(xiàn)實(shí)全方位的泄密,據(jù)匿名黑客介紹,已經(jīng)從筆者身上獲得的信息可以反復(fù)銷售數(shù)次:虛擬貨幣的賬戶賣給專人直接變現(xiàn);網(wǎng)絡(luò)游戲的賬號賣給專人將虛擬物品變現(xiàn);個(gè)人資料賣給各個(gè)推廣公司、調(diào)研機(jī)構(gòu)(根據(jù)性別、年齡、收入、地域可賣給不同行業(yè));私密關(guān)系賬戶可賣給騙子集團(tuán)牟利(QQ、人人網(wǎng)或朋友網(wǎng));天涯及微博早年注冊的ID可賣給網(wǎng)絡(luò)水軍公司……
該匿名黑客稱,除非有高價(jià)人肉搜索的單子,否則自己不會人工去做這些工作。但天涯和CSDN的數(shù)據(jù)庫曝光太久,恐怕其中大部分人的隱私早已被窺探出售過。
產(chǎn)業(yè)鏈非黑客主導(dǎo) 隱私權(quán)不被重視恐難制止
在萬濤看來,上面這個(gè)產(chǎn)業(yè)鏈條并非是黑客主導(dǎo)。直接獲取賬號內(nèi)的虛擬貨幣或盜取賬號只是小買賣,市場對隱私和數(shù)據(jù)的需求才是黑客不斷刷庫的主因。在如今的細(xì)分市場,隱私買賣早已泛濫。雖然用戶可以不斷修改自己的密碼,但郵件、ID與對應(yīng)的真實(shí)身份等信息永遠(yuǎn)不會改變。
他透露,很多國內(nèi)的數(shù)據(jù)庫也被賣到海外,海外也有很多生意被放到大陸,整個(gè)隱私及數(shù)據(jù)的買賣都已經(jīng)放在海外,如前兩年被打掉的俄羅斯的RBN,黑色產(chǎn)業(yè)鏈正在云化,而目前治理卻還在強(qiáng)調(diào)屬地管理。
黑客教父龔蔚亦表示,虛擬幣市場、賬號交易市場、裝備、特點(diǎn)用戶群體的廣告投放,都是獲利的方式,最簡單的就算賣給發(fā)垃圾郵件的人,只要用戶群體精準(zhǔn)。
“有需求就會有市場”,萬濤認(rèn)為,各大網(wǎng)站一味呼吁用戶修改密碼是舍本逐末,更多的關(guān)注應(yīng)該放在個(gè)人隱私的保護(hù),也許相關(guān)部門明年會有一輪打擊風(fēng)暴,但治標(biāo)不治本是運(yùn)動式治理的常態(tài),隱私法不出臺難以解決問題。任何投機(jī)者都會看風(fēng)險(xiǎn)成本與收益。
據(jù)悉,目前個(gè)人信息的司法保護(hù)并不完善,僅有2009年通過的《刑法修正案(七)》有相關(guān)規(guī)定。但在實(shí)際操作中卻并未起到對個(gè)人隱私的充分保護(hù),有業(yè)內(nèi)專家認(rèn)為,只對隱私信息買賣產(chǎn)業(yè)鏈的提供方進(jìn)行管制并不治本,必須要對需求方加大監(jiān)管力度才能真正減少類似事件的發(fā)生。