近年(nian)来,随着数据安全法、个人信(xin)息保护法等一系列法律法规相继出(chu)台实施,我国信(xin)息安全事业取得长足发展。但是,一些掌(zhang)握(wo)大量用户数据的机构在网络安全防护中措施不足,导致用户数据被不法分子窃取。不法分子将获取的用户数据分门(men)别(bie)类打上标签,再以诸如“婚恋报告”“风险报告”等形式对(dui)外出(chu)售,破坏网络安全生态(tai)。
相较于过去“打包贩卖”用户敏感数据的方式,当前网络黑市以买家实际需求为导向,以“生成报告”的形式出(chu)卖个人信(xin)息。为什么大家的个人隐私总能被不法分子“轻易”获取?记者就此展开调查。
网络安全形势仍不容乐观
“提供身份证号,可(ke)查指定人征信(xin)、户籍信(xin)息。”“婚姻状态(tai)可(ke)查,USDT(一种虚拟货币)、微信(xin)、支付宝(bao)均可(ke)支付。”刚(gang)刚(gang)加入某境外通讯App的聊(liao)天群,就有群成员迫不及待发来招徕私信(xin)。
在一位卖家发来的“个人信(xin)用报告”的预览版中,除姓名(ming)、性别(bie)、手机号等信(xin)息外,还细致记录了每个人的工作(zuo)岗位、公积金和社保缴纳(na)记录、借贷额度等高度隐私内容。“这些报告可(ke)用于精准(zhun)电话营销。”该(gai)卖家说。
来自奇安信(xin)的数据显示,2024年(nian)全年(nian)境内政企机构共发生个人信(xin)息泄露风险事件112起,涉及个人信(xin)息数据266.9亿条(tiao),尽管这一数据较2023年(nian)减少54.5%,但是海量的数据泄露问题(ti)反映出(chu)政企机构的网络安全形势仍不容乐观。
个人信(xin)息数据的频繁泄露,不仅严重侵害公民隐私,带来网络诈骗(pian)风险,还可(ke)能对(dui)国家安全带来威胁。“大量个人信(xin)息数据的汇聚、关联和再组织,可(ke)以形成精准(zhun)的人物画像,还可(ke)以将人与人之间的关系网络描绘出(chu)来。这就让(rang)不法分子更容易锁定目标群体、找到(dao)突破口。”奇安信(xin)安全专(zhuan)家裴智勇说。
此外,一些黑灰产还利(li)用大数据和人工智能等技术,抓取和匹配个人的隐私图片和视频。有不法分子声称“只要一张照(zhao)片就能查询你的另一半有没有外遇(yu)”,以此牟取不法利(li)益。“通过网络爬虫技术获取一些网站上的公开视频和图片资料(liao),再进行人脸识别(bie)比对(dui),这实际上侵害了当事人的隐私权。”中国科学技术大学网络空间安全学院教授左晓栋说,不法分子有可(ke)能利(li)用泄露的个人信(xin)息和肖像进行恶意匹配,由(you)此形成的所谓“婚恋报告”也触(chu)及法律红线(xian)。
不法分子利(li)用“数据接口”等渠道窃取数据
在落(luo)实网络安全主体责任过程中,过去常见的“拖库”渐渐少了,取而代之的是利(li)用数据接口等渠道进行“蚂蚁搬家”式的个人信(xin)息窃取。
姓名(ming)、身份证号、手机号、常用地址……在中国电子技术标准(zhun)化研究院网安中心的一例安全测评中,测试人员发现(xian)有6万份订单数据有可(ke)能来自某平台的数据接口泄露。
所谓数据接口,就是机构传输、共享数据时输入和输出(chu)数据的对(dui)接口,也就是数据出(chu)入的“大门(men)”。“如果(guo)把这扇(shan)门(men)看住(zhu)了,来来往往的数据就都能被调阅。”中国电子技术标准(zhun)化研究院网安中心测评实验室(shi)副主任何(he)延(yan)哲告诉记者,一些机构在设置数据接口时缺少身份认证、访问控制等安全措施,导致黑客能够随时“劫持”接口并获取实时数据。
在何(he)延(yan)哲及其(qi)技术团队以往随机测试的数据接口中,存在安全问题(ti)的不在少数。“相较于‘陈年(nian)数据’,通过数据接口获取的实时数据更新,在黑灰产上售卖的价格也会更高。”何(he)延(yan)哲说。
在某不法论坛网站中,有人开设了专(zhuan)门(men)群组用以分享各类数据接口。通过其(qi)所分享的数据接口,不法分子可(ke)获取指定人员的社保信(xin)息、生育信(xin)息、车(che)险购(gou)买信(xin)息等敏感数据。
各类机构在打造数字(zi)化平台时缺乏(fa)网络安全思维,部分敏感数据缺乏(fa)高等级保护,而通过数据接口窃取数据等不法操作(zuo)并不需要多高的技术门(men)槛。“有的平台存在安全问题(ti)的数据接口长期‘暴露’在外,掌(zhang)握(wo)一些基础攻击(ji)手段的黑客就能通过不安全的数据接口直接获取平台最新用户数据。”何(he)延(yan)哲说,把数据接口“保护起来”并非(fei)难事,不过由(you)于缺乏(fa)对(dui)数据接口的安全风险监测,机构在大多数情况(kuang)下难以意识到(dao)自己的数据接口可(ke)能已经被网络黑灰产恶意利(li)用了。
此外,合作(zuo)伙伴和机构“内鬼”也是数据泄露的重要渠道之一。2020年(nian)7月,某快递企业员工私自向不法分子有偿出(chu)借工作(zuo)账(zhang)号,致使超过40万条(tiao)公民个人信(xin)息泄露。“各类机构在获取用户数据后,往往会和合作(zuo)伙伴共享,以获取数据的最大利(li)用价值。”裴智勇说,在数据共享过程中,部分合作(zuo)伙伴未完全遵守网络安全协议,进而导致用户数据泄露。同时,一些网络黑灰产和机构“内鬼”相勾结,倒卖用户数据。“在互联网常识共享平台上发生的数据泄露事件中,这两种方式占比超过一半”。
一些机构在源头端过度收集用户数据,导致敏感数据过度集中。国内知名(ming)个人信(xin)息保护专(zhuan)家、清(qing)华大学法学院教授劳东燕认为,部分信(xin)息收集机构以包括“提升服务体验”在内的各种理(li)由(you)要求用户或消费者“一揽子授权”,是造成数据泄露的根本(ben)原因(yin)。2021年(nian),个人信(xin)息保护法正(zheng)式实施,其(qi)中明确规定“收集个人信(xin)息,应当限于实现(xian)处理(li)目的的最小范围,不得过度收集个人信(xin)息”。“这个‘最小范围’的说明权目前看仍然在收集数据的机构,而不是在用户或者消费者手上”。
彻(che)底斩断伸(shen)向个人隐私的黑手
随着法律法规的日(ri)益完善(shan),近年(nian)来我国打击(ji)涉公民个人信(xin)息犯罪工作(zuo)成效显著,一批以兜售公民个人信(xin)息牟利(li)的不法分子受到(dao)法律严惩。
2024年(nian),四川成都警方侦破侵犯公民个人信(xin)息、非(fei)法控制计算机信(xin)息系统等网络犯罪案件1201起,依法采(cai)取刑事强制措施1116人;山西长治警方在2024年(nian)辗(nian)转多地,成功打掉一个特大侵犯公民个人信(xin)息及掩饰、隐瞒犯罪所得犯罪团伙,抓获犯罪嫌疑(yi)人10名(ming),扣押涉案资金500余万元;同年(nian),安徽合肥警方侦破特大侵犯公民个人信(xin)息案,抓获犯罪嫌疑(yi)人11名(ming),查获涉案金额120余万元,保护了公民个人信(xin)息百万余条(tiao)……
提升机构网络安全防护能力,构筑数据安全防火(huo)墙。裴智勇等专(zhuan)家建议,政企机构应进一步完善(shan)网络安全的制度建设,确保责任到(dao)岗、到(dao)人。在出(chu)现(xian)网络安全事件后,及时向国家有关部门(men)报告,尽可(ke)能减少因(yin)数据泄露给用户和社会带来的损失(shi)。
减少前端数据收集,从源头降低数据泄露风险。“比如点(dian)外卖,有手机号、有地址,确保外卖能送到(dao),就不应该(gai)获取其(qi)他信(xin)息。”劳东燕建议,根据个人信(xin)息保护法等法律法规要求,数据收集应遵循“最小必要原则”,有关部门(men)可(ke)根据数据实际使用场(chang)景,明确相应的数据收集范围,为“最小必要”设定标准(zhun)。
强化隐私保护意识,对(dui)过度收集、滥(lan)用数据等行为说“不”。何(he)延(yan)哲建议,机构和网络平台等应从用户和消费者角度出(chu)发,更加重视个人信(xin)息保护,决不能为了蝇头小利(li)出(chu)让(rang)个人信(xin)息权益。对(dui)明显存在过度收集用户信(xin)息和潜在的侵犯公民个人信(xin)息的违法犯罪线(xian)索,网络用户可(ke)及时向互联网管理(li)部门(men)和公安部门(men)举报。