手機(jī)信息被盜一年損失近千億——
誰(shuí)賣了我的手機(jī)號(hào)(互聯(lián)網(wǎng)前沿追蹤)
12月5日�����,北京市公安局海淀分局宣布破獲一起新型特大非法獲取公民個(gè)人信息案���,查獲包括手機(jī)號(hào)在內(nèi)的公民信息100余萬(wàn)條�。
根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2016》�,2016年上半年,網(wǎng)民平均每周收到垃圾短信20.6條��、騷擾電話21.3個(gè)����。
私人號(hào)碼成了“公開(kāi)信息”,手機(jī)用戶不堪其擾��。到底是誰(shuí)賣了我的手機(jī)號(hào)?
網(wǎng)頁(yè)也能“偷走”手機(jī)信息
“我用手機(jī)搜索了血小板偏低的危害���,就是瀏覽網(wǎng)頁(yè)����,沒(méi)有輸入手機(jī)號(hào)����,沒(méi)過(guò)幾個(gè)小時(shí)就有醫(yī)院打電話介紹治療血小板偏低的特效藥。醫(yī)院是怎么知道我的手機(jī)號(hào)的?”
早在2015年���,就有網(wǎng)友在網(wǎng)絡(luò)上詢問(wèn)�,有類似遭遇的網(wǎng)友不在少數(shù)��。
海淀分局破獲的這起案件��,給出了答案�����。“某些網(wǎng)站植入一段惡意代碼�����,只要用戶使用手機(jī)流量打開(kāi)網(wǎng)頁(yè)�����,黑客就會(huì)利用運(yùn)營(yíng)商漏洞,抓取到用戶的手機(jī)號(hào)��、IP地址��、訪問(wèn)時(shí)間����、搜索時(shí)輸入的關(guān)鍵詞等信息,”海淀分局網(wǎng)安大隊(duì)副大隊(duì)長(zhǎng)董立波介紹���,“這是一種新型黑客手段�����,能在用戶不知情的情況下獲取個(gè)人信息��,進(jìn)而開(kāi)展精準(zhǔn)營(yíng)銷甚至電信詐騙���,多出現(xiàn)在醫(yī)療、教育����、貸款等網(wǎng)站�。”
看似簡(jiǎn)單的代碼背后�,暗藏一條黑色產(chǎn)業(yè)鏈�。董立波介紹,本案所涉黑色產(chǎn)業(yè)鏈分三個(gè)層級(jí)�����。上游是惡意代碼的生產(chǎn)者���,下游則是植入惡意代碼的網(wǎng)站��,中間商在兩者之間牽線搭橋�。下游網(wǎng)站雖已購(gòu)買惡意代碼����,但不能直接看到被抓取的個(gè)人信息,得按條數(shù)或者包月從中間商手中購(gòu)買�。中間商從上游網(wǎng)站獲取代碼的價(jià)格是600元,收購(gòu)的個(gè)人信息8分至1角錢一條;轉(zhuǎn)手賣給下游網(wǎng)站時(shí)��,代碼價(jià)格漲到1000元���,個(gè)人信息則能賣到5角至1元錢一條��。
上游網(wǎng)站“薄利多銷”�����,中間商網(wǎng)站賺取差價(jià)����,下游網(wǎng)站精準(zhǔn)出擊。黑色產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié)“皆大歡喜”�����,用戶則成為買單者和受害者��。
“我們通過(guò)技術(shù)手段對(duì)全網(wǎng)網(wǎng)站進(jìn)行檢測(cè)���,鑒別哪些網(wǎng)站植入了竊取公民信息的腳本或者黑客工具�����,通過(guò)溯源摸清產(chǎn)業(yè)鏈的規(guī)模和上下級(jí)關(guān)系����,并把這些情況提供給警方�����。”百度安全實(shí)驗(yàn)室X—Team負(fù)責(zé)人黃正說(shuō)����。據(jù)百度安全團(tuán)隊(duì)統(tǒng)計(jì),有4萬(wàn)多家網(wǎng)站存在此類行為,非法獲取超過(guò)5000條手機(jī)號(hào)信息的服務(wù)平臺(tái)有27家��。若不采取措施�����,預(yù)計(jì)每天有500萬(wàn)人次點(diǎn)擊中招���。
外賊內(nèi)鬼造成信息裸奔
據(jù)統(tǒng)計(jì),截至今年8月��,三家基礎(chǔ)電信企業(yè)的移動(dòng)電話用戶總數(shù)達(dá)13.8億����。而僅在2015年下半年至2016年上半年,因垃圾信息�����、詐騙信息、個(gè)人信息泄露等造成的總體經(jīng)濟(jì)損失就高達(dá)915億元����。
一些黑客利用運(yùn)營(yíng)商或網(wǎng)站平臺(tái)的漏洞�����,采用技術(shù)手段非法獲取公民信息。去年引起廣泛關(guān)注的“徐玉玉案”中���,黑客杜某非法入侵山東省高考信息平臺(tái)��,竊取64萬(wàn)余條考生信息;購(gòu)買這些信息的徐某以發(fā)放助學(xué)金為名義撥打詐騙電話���,造成了徐玉玉離世的悲劇��。
也有內(nèi)鬼作怪,把正常途徑獲取的公民信息轉(zhuǎn)手賣給他人����。今年6月,浙江寧波警方破獲一起案件�����,“上游賣家”程某出售多年從事通信、房產(chǎn)等行業(yè)積累的個(gè)人信息���,涉及公民信息1.2億條之多。
今年2月���,有媒體曝光稱�����,只要報(bào)上手機(jī)號(hào)��,就能從信息販子手中獲取大量公民信息,包括精確到秒的打車記錄�����、來(lái)電去電號(hào)碼記錄和通話時(shí)長(zhǎng)的手機(jī)通話記錄��、誤差在50米以內(nèi)的實(shí)時(shí)定位信息等���。
中國(guó)傳媒大學(xué)法律系副教授劉文杰說(shuō):“手機(jī)號(hào)本身包含的信息有限,但如果和其他公民信息組合起來(lái)����,比如姓名、身份等,能大大提高精準(zhǔn)營(yíng)銷或者電信詐騙的成功概率���。”泄露或者非法傳播包括手機(jī)號(hào)在內(nèi)的個(gè)人信息��,除了可能侵犯公民的隱私權(quán)和個(gè)人信息權(quán)���,還可能導(dǎo)致公民的財(cái)產(chǎn)權(quán)和其他人身權(quán)利受到侵害。
標(biāo)本兼治打擊黑色產(chǎn)業(yè)
6月1日����,《最高人民法院�����、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》正式施行���,明確了公民個(gè)人信息的范圍和侵犯公民個(gè)人信息罪的定罪量刑標(biāo)準(zhǔn)。
根據(jù)這一司法解釋,非法獲取����、出售或提供公民手機(jī)號(hào)信息達(dá)到5000條以上����,屬于“情節(jié)嚴(yán)重”。業(yè)內(nèi)人士認(rèn)為�����,這為裁決公民信息泄露案件提供了統(tǒng)一標(biāo)尺,起到了威懾和預(yù)防的作用。
“不得不說(shuō)�,黑色產(chǎn)業(yè)自身也在不斷‘進(jìn)步’,不會(huì)因?yàn)樾乱?guī)出臺(tái)就‘坐以待斃’���,他們想盡辦法更新技術(shù)���、逃避監(jiān)管、繼續(xù)牟利����,有的黑色產(chǎn)業(yè)利用地域差和時(shí)間差,專挑監(jiān)管薄弱的地方和時(shí)段下手���,這對(duì)我們提出了挑戰(zhàn)�。”百度安全事業(yè)部總經(jīng)理馬杰說(shuō)。
目前�����,多家互聯(lián)網(wǎng)企業(yè)已開(kāi)始使用人工智能技術(shù)和機(jī)器學(xué)習(xí)技術(shù)監(jiān)測(cè)抗擊黑色產(chǎn)業(yè)��,保護(hù)網(wǎng)絡(luò)安全���。
既要治標(biāo)��,更要治本����。“解決手機(jī)號(hào)等公民信息泄露問(wèn)題����,不能只處罰下游買家,要從網(wǎng)站平臺(tái)等源頭下手�����。手機(jī)號(hào)泄露的源頭在運(yùn)營(yíng)商或者網(wǎng)站平臺(tái)����,財(cái)產(chǎn)信息泄露的源頭在金融業(yè)�����,醫(yī)療信息泄露的源頭在醫(yī)療業(yè)��。所涉單位要嚴(yán)格履行職責(zé),從嚴(yán)管理運(yùn)營(yíng)�����、從嚴(yán)管理隊(duì)伍�����,為公民信息提供安全保障����,發(fā)生信息泄露時(shí)要及時(shí)預(yù)警,并向主管部門報(bào)告�����。對(duì)有責(zé)任的源頭單位���,有關(guān)主管部門要加大監(jiān)管���,及時(shí)處理�。”劉文杰說(shuō)���。記者 許 晴
