如今�����,以牟利為目的的販賣(mài)個(gè)人信息行為已經(jīng)相當嚴重����,今年央視3·15晚會(huì )曝光上海羅維鄧白氏營(yíng)銷(xiāo)服務(wù)有限公司出售1.5億條個(gè)人信息�,每條要價(jià)0.3到1.5元�。如今公民個(gè)人信息被“裸體”司空見(jiàn)慣��,你去售樓處買(mǎi)房�,出不了三天�����,家裝公司就會(huì )打電話(huà)向你推銷(xiāo)裝修�����。你去車(chē)市買(mǎi)車(chē)�����,很快就會(huì )有人向你促銷(xiāo)保險����。個(gè)人信息的買(mǎi)賣(mài)早已是家常便飯�。
或許你感到驚訝����,家裝公司�、保險公司怎么知道我的信息�?有人編程����、有人攻擊網(wǎng)站盜取個(gè)人信息�,有人網(wǎng)上叫賣(mài)�,有人從中進(jìn)行倒賣(mài)�����。成千上萬(wàn)的個(gè)人信息就這樣無(wú)聲地流動(dòng)著(zhù)���,并為這些人帶來(lái)滾滾財富����。這個(gè)特殊的群體中間既有黑客���,也有專(zhuān)門(mén)的公司從事這項業(yè)務(wù)�����。近日�����,《新京報》記者接近了這個(gè)特殊的群體����,了解個(gè)人信息交易背后的一些真相�����。
1 黑客:分工合作按約定分成
“拖庫”����,是指從數據庫導出數據����,這個(gè)名詞以前只是在程序員中間被熟知����,但在去年CSDN用戶(hù)數據泄露事件以后�,“拖庫”作為威脅互聯(lián)網(wǎng)安全的最大隱患��,也為普通網(wǎng)友所熟知�����。
360公司網(wǎng)絡(luò )工程師小雷告訴記者����,有能力通過(guò)攻擊服務(wù)器“拖庫”的“黑客”��,分“黑帽”和“白帽”�,黑帽就是利用網(wǎng)絡(luò )漏洞制作攻擊病毒獲利的這部分人�。“他們一般不直接露面���,也不直接攻擊網(wǎng)站����,主要是賣(mài)技術(shù)�����。”一位網(wǎng)名為Ferry的知情人士告訴記者���,現在網(wǎng)絡(luò )黑客基本是通過(guò)拖庫�、掛黑鏈(簡(jiǎn)單地說(shuō)����,就是在被黑網(wǎng)站上鏈接自己指定的網(wǎng)站)賺錢(qián)����。他們平時(shí)主要聚集在QQ群或者論壇��,通過(guò)網(wǎng)絡(luò )進(jìn)行交易�。
Ferry告訴記者��,因為有利可圖才會(huì )有人干這行��。賣(mài)力的“黑帽”���,一個(gè)月就靠賣(mài)“黑鏈”�����、賣(mài)惡意代碼����,多的可以獲利十幾萬(wàn)���,賺上萬(wàn)元則是很普遍的�。
圈子內把黑客不法獲利的組織結構比喻成海星狀����。Ferry說(shuō)��,這些交易往往見(jiàn)不得光����,交易隱蔽性非常強��。有的“黑帽”采取團隊合作�。他們從網(wǎng)上論壇建立聯(lián)系����,分工合作�,獲利后按照約定分成����。越高級的技術(shù)人員分得越多��。“一個(gè)團隊可能來(lái)自全國各地��,也可能從境外潛入�����,一般的網(wǎng)站很難防御����。”
而這些人之間的合作���,基本上用的是虛擬的身份��,有一套固定的交易模式�,一般人無(wú)法滲透其中��,也難以掌握這些合作者的真實(shí)身份���。“也許干完一次����,就轉服務(wù)器換IP��,這也是網(wǎng)絡(luò )安全部門(mén)執法中常遇到的困難��。”
2 腳本小子:用別人的病毒攻擊網(wǎng)站
360公司網(wǎng)絡(luò )工程師小雷說(shuō)��,對于大型有組織的攻擊����,一個(gè)人無(wú)法完成�����,需要大規模的合作�����。拖庫�、掃描漏洞���、交易數據庫等等����,他們分工明確����。其中人數最多的一類(lèi)被稱(chēng)作“腳本小子”�����,他們并不真正掌握編寫(xiě)病毒技術(shù)�����,主要用別人編好的工具去攻擊網(wǎng)站��。掌握這些手法很容易�����,在很短的時(shí)間里上網(wǎng)拜師或者從地下論壇購買(mǎi)工具就能操作����。 若以具體比例估計����,每1000名黑客對應的腳本小子會(huì )超過(guò)10萬(wàn)人�。
據網(wǎng)絡(luò )工程師小張介紹����,在對一個(gè)網(wǎng)站攻擊前�,需要通過(guò)掃描了解這個(gè)網(wǎng)站安裝了什么軟件����、有什么“后門(mén)”�、安全性如何�����。這個(gè)步驟大部分就是“腳本小子”來(lái)做�。常用的工具是一種漏洞掃描器����,掃哪個(gè)網(wǎng)站有漏洞�,可以去攻擊它����,獲取用戶(hù)個(gè)人信息數據��。
不過(guò)���,哼哼(用戶(hù)名)不希望別人叫他腳本小子�,他說(shuō)�����,在圈子里這個(gè)稱(chēng)呼似乎帶有技術(shù)歧視性�����。“我就是黑客����,你們的電腦只要我有興趣就能進(jìn)去�。”今年26歲的他��,大學(xué)畢業(yè)以后�����,有了正規工作���,但每月的收入卻不能維持他的生活追求�。“我第一次收別人錢(qián)是掛黑鏈��。”哼哼還記得�����,一家賣(mài)性藥的網(wǎng)站需要提升權重���,他開(kāi)價(jià)1000元�,后來(lái)860元成交�。
3 銷(xiāo)售:1萬(wàn)個(gè)賬號可賣(mài)50元
哼哼們的電腦連接著(zhù)的另一端就是龐大的網(wǎng)絡(luò )信息消費群體���。
小雷舉例說(shuō)�����,按照保守估計���,CSDN泄露的600萬(wàn)用戶(hù)信息�,若其中10%有效�����,那么就有60萬(wàn)網(wǎng)絡(luò )用戶(hù)信息被黑客掌握����。獲取這些信息以后�,可以直接侵入別人賬號�、郵箱獲取有用的信息�,也可以在網(wǎng)上打包銷(xiāo)售�����。購買(mǎi)者主要會(huì )用于網(wǎng)絡(luò )推銷(xiāo)�、電信垃圾廣告�����、電商垃圾郵件����。
“有客戶(hù)需要利用微博來(lái)刷廣告��,那么就有人針對微博編寫(xiě)一個(gè)程序�����,只要把數據庫套入就能自動(dòng)批量試���。”小張一臉輕松地說(shuō)���,測試成功的就添加成新的庫在網(wǎng)上轉賣(mài)��。“其實(shí)這個(gè)很簡(jiǎn)單���,幾乎是零成本���。”據一些網(wǎng)絡(luò )高手曾經(jīng)測試的結果看��,CSDN泄露出來(lái)的密碼成功登錄同一用戶(hù)的另一個(gè)賬號��,成功概率高達20%�����。
交易也非常簡(jiǎn)單���,在網(wǎng)絡(luò )上有專(zhuān)門(mén)的地下黑客論壇或者通過(guò)QQ聊天交易��。小張曾經(jīng)在網(wǎng)站上看到一則消息���,有人拿到了300萬(wàn)的數據庫銷(xiāo)售�。他試著(zhù)與這個(gè)黑客取得聯(lián)系��,“1萬(wàn)個(gè)賬號50元�,對方為了讓你相信����,還會(huì )先給你10個(gè)免費測試是否好用���。”
1萬(wàn)個(gè)賬號可賣(mài)50元
這種形式販賣(mài)網(wǎng)絡(luò )用戶(hù)信息�����,獲利非常大����。小張說(shuō)���,別小看這幾十塊錢(qián)的1萬(wàn)個(gè)信息�����,掌握這樣庫的黑客�,手里都有上百萬(wàn)的用戶(hù)信息����,可以多次銷(xiāo)售給不同的人����。
4 產(chǎn)業(yè):銀行商場(chǎng)有人也賣(mài)信息
今年27歲的王旭���,在沈陽(yáng)有過(guò)一段“話(huà)務(wù)營(yíng)銷(xiāo)”經(jīng)歷�����。“話(huà)務(wù)營(yíng)銷(xiāo)”是業(yè)內術(shù)語(yǔ)���,現在有了更時(shí)髦叫法:信息咨詢(xún)營(yíng)銷(xiāo)����。說(shuō)白了就是買(mǎi)賣(mài)個(gè)人信息�。從網(wǎng)絡(luò )等途徑買(mǎi)到的個(gè)人信息��,在他們手中成為倒賣(mài)的商品���。
2005年��,他加入了沈陽(yáng)市一個(gè)小型的“話(huà)務(wù)營(yíng)銷(xiāo)”公司��,他主要工作是與“客戶(hù)”接頭交易����。他們賣(mài)的信息有很多類(lèi)�����,既有業(yè)主信息�����、車(chē)主信息����,甚至還有一些大企業(yè)或是政府工作人員的信息����。“普通業(yè)主信息����、車(chē)主信息是一般貨����,賣(mài)不了多少錢(qián)���。如果有某一個(gè)行業(yè)的管理人員信息�、政府人員的信息�,這就是‘牛貨’��,能賣(mài)大價(jià)��。”
王旭所指的“大價(jià)”指的是3000元甚至更高����,一般信息100到800元不等�。
“話(huà)務(wù)公司”的信息是從哪里來(lái)的呢���?王旭說(shuō)�����,一般“話(huà)務(wù)公司”在各行業(yè)或者企業(yè)內部有自己的“線(xiàn)人”�。“像銀行��、商場(chǎng)�、4S店��,這些企業(yè)有很多個(gè)人信息���。公司會(huì )給這些線(xiàn)人錢(qián)�����,讓他們透露一些出來(lái)����。”對于具體的價(jià)格��,王旭并不清楚�,但在他的印象中�����,應該至少有五位數����。
另一個(gè)獲得信息的渠道是從同行處購買(mǎi)或者交換�。“現在的這些公司叫信息咨詢(xún)公司����。這些公司在網(wǎng)絡(luò )上互相買(mǎi)賣(mài)交換各地的個(gè)人信息����。”由于現在做這個(gè)行當的公司很多�,信息的價(jià)格驟降����,10萬(wàn)條信息也就幾百塊�����。不過(guò)�����,這個(gè)買(mǎi)賣(mài)的渠道行內人并不十分看好�����,因為不能保證“質(zhì)量”�,很多都是假的或者是過(guò)時(shí)的�����。王旭回憶���,2008年�����,他所在的公司大多數的收入來(lái)自網(wǎng)絡(luò )銷(xiāo)售���,部分是線(xiàn)下銷(xiāo)售��,一家14個(gè)人公司�����,最高的一個(gè)月純利潤達到40多萬(wàn)元���。“因為現在查的很緊�����,生意沒(méi)以前那么好做了���。”
從3月中旬至月底�����,記者試圖以買(mǎi)主的身份聯(lián)系幾家北京和外地的信息咨詢(xún)公司��,但是得到的回答都是“風(fēng)聲緊”��、“過(guò)一段時(shí)間再說(shuō)”的回復�����。
有關(guān)專(zhuān)家表示����,非法獲取公民個(gè)人信息罪的立法本意是鏟除出售或非法提供公民個(gè)人信息的市場(chǎng)�����,禁止以非法手段大量收集公民個(gè)人信息�,但是��,機械限定“非法獲取”的主體或方式將使這一罪名在司法實(shí)踐中“形同虛設”����,不僅將為大量存在的出售或者非法提供公民個(gè)人信息活動(dòng)大開(kāi)“方便之門(mén)”�����,而且從危害的后果看��,任何人通過(guò)出賣(mài)個(gè)人信息獲利���,直接危害到的是公民個(gè)人信息安全和社會(huì )管理秩序��,且是引發(fā)敲詐勒索����、綁架等其他犯罪的“源頭”之一���。
