文/鄭凱
這大概是中國互聯(lián)網(wǎng)隱私泄露史上,重量級最重的一次。
今年5月,Twitter上發(fā)生了這樣一件令人震驚的隱私泄露案。馬云、馬化騰和雷軍這些的中國互聯(lián)網(wǎng)巨頭的個人身份證信息被Twitter上,一位ID為“shenfenzheng”的用戶泄露了。這個標(biāo)志性的事件,雖然影響并不大,但轟動的效果卻十分驚人。
根據(jù)公開信息顯示,2011年至今,全球已有11.27億用戶隱私信息被泄露,你和我的身份信息也可能隨時處于泄露的狀態(tài)。個人的信息安全備受威脅,可是卻似乎總有一股力量,讓隱私安全屢打不盡??梢哉f,有利益的地方就有江湖,隱私安全背后的黑色產(chǎn)業(yè)鏈,也正是在暴利的驅(qū)使下形成的。
黑色產(chǎn)業(yè)鏈在利益中形成
必須承認(rèn),科技和互聯(lián)網(wǎng)的發(fā)展,帶來更多的生活便利,也同時造成了隱私泄露的困擾。各種網(wǎng)絡(luò)漏洞和黑客行為,形成了隱私泄露的源頭。可以說,我們離互聯(lián)網(wǎng)越近,受到的威脅就越大。
在國內(nèi),由隱私泄露造成的事件也比比皆是,比如在去年8月,線上票務(wù)營銷平臺大麥網(wǎng)被發(fā)現(xiàn)存在安全漏洞,600余萬用戶賬戶密碼遭到泄露。同年11月,黑客利用申通快遞公司的管理系統(tǒng)漏洞,侵入該公司服務(wù)器,非法獲取了3萬余條個人信息,之后非法出售。
不難發(fā)現(xiàn),每一次的隱私泄露之后,都會伴隨著發(fā)生個人信息的售賣。這就是所謂的黑色產(chǎn)業(yè)鏈的形成。目前這個鏈條的發(fā)展已經(jīng)到了非常龐大的地步。
比如在2015年全國碩士研究生招生考試開考前的一個月,網(wǎng)上出現(xiàn)了兜售130萬考研用戶信息的叫賣。據(jù)了解,所銷售的數(shù)據(jù)不僅包括考研者姓名、性別,還有手機(jī)號碼、座機(jī)號碼、身份證號、家庭地址、郵編、學(xué)校、報考的專業(yè)等敏感信息。如此龐大的私人信息數(shù)據(jù),賣家的打包價是1.5萬元。
同時,由于幾乎沒有門檻,販賣個人信息的從業(yè)者越來越多,產(chǎn)業(yè)鏈也越來越龐大。去年,張家口市公安局抓獲的一名犯罪嫌疑人手中,警方發(fā)現(xiàn)他一個人就擁有300多萬條個人信息,姓名、電話、住址、愛好、家庭成員狀況等都有不同程度的標(biāo)注。
正是在巨大的利益驅(qū)使下,有隱私泄露蔓延到個人信息售賣,形成了一整套黑色的產(chǎn)業(yè)鏈。而且,還有愈演愈烈之勢。根據(jù)安全公司Gemalto的報告顯示:,在2014年發(fā)生了超過1500起數(shù)據(jù)泄漏事件,導(dǎo)致將近10億數(shù)據(jù)被曝光,數(shù)據(jù)泄漏事件相比較2013年增長了49%。
有數(shù)據(jù)顯示,在2015年這種信息泄露的范圍和事件仍然在不斷增加。到底是什么原因?qū)е铝?,隱私泄露變成了屢推不到的多米諾骨牌?
掛著羊頭賣狗肉的“訪客營銷”
太多的隱私泄露事件把矛頭指向了黑客或是搜索引擎,我認(rèn)為,這不過是因為事故中的企業(yè)或是網(wǎng)站,對自身的安全防范不作為之后的托辭。很多網(wǎng)站并不具備網(wǎng)絡(luò)防護(hù)的能力,對自己的漏洞多數(shù)情況也是在發(fā)生了數(shù)據(jù)泄露之后才亡羊補牢的。
其實,現(xiàn)在就有很多不法分子,利用各大搜索引擎收錄的合法網(wǎng)站,植入惡意代碼,并用以用戶隱私信息的竊取和售賣。更離譜的是,某些這種非法的竊取行為,時常冠以“訪客營銷”的名義,堂而皇之的,對用戶的個人信息進(jìn)行技術(shù)抓取。
我們都會類似的一些體會,比如收到莫名其妙的推銷電話,它們不僅拿到了我們的電話,甚至還知道,我們?yōu)g覽過哪些理財或是房地產(chǎn)的項目;我們也會在QQ或是郵箱中發(fā)現(xiàn)一些毫不相干的推銷廣告,他們不僅知道了我們的準(zhǔn)確的QQ號碼和郵件地址,還明顯了解了我們?nèi)ミ^哪些電商,瀏覽過的某些商品。
再比如,當(dāng)我們打開一家理財網(wǎng)站,自己的手機(jī)馬上就會會接到網(wǎng)站客服電話。不注冊、不登陸為什么他們會知道我們的手機(jī)號碼?這就是所謂“訪客營銷”在背后搗的鬼。這些打著“網(wǎng)站訪客營銷”網(wǎng)站,通常以提供搜索引擎優(yōu)化、營銷技術(shù)支持等服務(wù)的為幌子,但實際上是以售賣惡意代碼為主。
筆者找到了一些“專業(yè)”的做訪客營銷的網(wǎng)站,發(fā)現(xiàn)這類網(wǎng)站上都明確的寫著:在不經(jīng)過用戶告知的前提下,獲取用戶的QQ號或是手機(jī)號,包括實現(xiàn)的效果也寫得一清二楚。
而這些所謂的“專業(yè)軟件”,本質(zhì)上是利用QQ、運營平臺漏洞編寫代碼,售賣并植入一些企業(yè)網(wǎng)站之中。只要有網(wǎng)友訪問該網(wǎng)站,即使不注冊、不登陸QQ號或者手機(jī)號信息就會被竊取傳送到對方的服務(wù)器之中,再由這些做“訪客營銷”的網(wǎng)站轉(zhuǎn)賣給企業(yè)網(wǎng)站,形成了所謂的訪客營銷。
據(jù)了解,如果訪客QQ號在線狀態(tài),那么竊取成功率接近100%。如果是手機(jī)號竊取成功率中,中國移動用戶接近80%。相關(guān)的代碼是以租售的方式售賣,一個月就要198元,而且抓取到的手機(jī)號還要單獨收費,一個手機(jī)號售價1到2毛不等,所以這個黑色的非法行業(yè)也做到了“日進(jìn)斗金”,能不讓非法分子趨之若鶩?
誰該為“屢推不倒”負(fù)責(zé)?
到底誰該為隱私泄露的“屢推不倒”負(fù)責(zé)?在我看來,這是一個系統(tǒng)性的問題,絕不是產(chǎn)業(yè)鏈中的任何一個獨立的環(huán)節(jié)可以完全改變的。
首先,搜索引擎對這類非法網(wǎng)站也在不斷的進(jìn)行打擊,以百度為例,不久前百度就對全網(wǎng)的非法網(wǎng)站進(jìn)行了嚴(yán)打,并關(guān)閉了數(shù)十萬家非法網(wǎng)站。針對于搜索生態(tài)的寄生蟲網(wǎng)站,只要發(fā)現(xiàn)存在收集用戶信息的情況,百度都會通過檢測直接關(guān)掉。作為國內(nèi)互聯(lián)網(wǎng)的三大領(lǐng)頭羊,BAT都在不同程度的收到隱私泄露的傷害,對打擊隱私泄露,這是國內(nèi)有責(zé)任的互聯(lián)網(wǎng)公司應(yīng)該共盡的責(zé)任。
其次,國家也隱私售賣有立法支持,我國刑法規(guī)定,“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國家規(guī)定,將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息,出售或者非法提供給他人,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。”但問題是,個人信息不可能有明確的價格標(biāo)準(zhǔn),也就很難對“情節(jié)嚴(yán)重”做出認(rèn)定。法律法規(guī),還需要隨著市場的進(jìn)程逐步完善。
第三,互聯(lián)網(wǎng)安全的挑戰(zhàn)還在加劇。云服務(wù)和互聯(lián)網(wǎng)應(yīng)用的普及。云服務(wù)可以讓用戶方便地將資料存儲于互聯(lián)網(wǎng)服務(wù)器中,但一旦出現(xiàn)漏洞,黑客就可以輕松查看你的數(shù)據(jù),而互聯(lián)網(wǎng)應(yīng)用,則讓用戶離互聯(lián)網(wǎng)越來越近,并主動或被動的分享了個人信息?;ヂ?lián)網(wǎng)發(fā)展的大趨勢不可逆轉(zhuǎn),這需要有技術(shù)能力的安全公司,投入更多的精力,服務(wù)于社會,比如百度就有針對偽基站的檢測及定位,一些公安部門已經(jīng)采取這個解決方案。
第四,對于漏洞彌補的響應(yīng)機(jī)制,需要更快速。事實上大量的個人隱私泄露與網(wǎng)站的漏洞修補不及時有著直接的關(guān)系,在國內(nèi)《2015中國網(wǎng)站安全報告》中指出國內(nèi)網(wǎng)站漏洞修補率不到百分之十,而其中大部分高危漏洞都可能造成用戶的信息泄露。對網(wǎng)站漏洞的快速響應(yīng)機(jī)制的建立,會改善很多隱私泄露的現(xiàn)狀。百度云安全,在去年推出的針對0day漏洞制訂的應(yīng)急響應(yīng)流程,包括從漏洞挖掘、漏洞分析,到第一時間向站長及企業(yè)級用戶發(fā)出通告,目前百度基于oday的修補計劃及預(yù)警解決方案處于業(yè)界領(lǐng)先地位。
最后,互聯(lián)網(wǎng)安全,人人有責(zé)?;ヂ?lián)網(wǎng)就是我們新的精神家園,除了目的是竊取個人信息的不法分子,沒有誰應(yīng)該真的為隱私的泄露負(fù)責(zé)。我們所要做到的就是保持一份謹(jǐn)慎的心態(tài),不輕易泄露個人信息,作為企業(yè)或是網(wǎng)站,不去購買非法渠道來的用戶數(shù)據(jù),讓黑色的產(chǎn)業(yè)鏈不再有生存的土壤。