5月9日,最高人民法院通报了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
这是两高首次就打击侵犯公民个人信息犯罪出台司法解释。根据此次司法解释,非法获取、出售公民个人信息,情节严重者可获刑。
“近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。”最高法相关人士称。
我们几乎每个人,都曾被推销电话、诈骗短信骚扰过。去年发生的“徐玉玉案”,即是个人信息遭侵犯导致的“恶果”。
在此节点,新京报推出关于“个人信息泄露”的系列调查报道。我们将通过对航空、征信、银行卡等领域的调查,以期找到个人信息泄露的源头。
5月10日,家住天津的马晓迪(化名)告诉新京报记者,她接到了号称是1号店客服打来的诈骗电话。对方称,因“后台失误”将账号调整为批发用户,要求她提供账号等信息。“我马上就挂机了,但又打来好几个,说不改别后悔,后来我就不接了。”
马晓迪之所以能接到这类诈骗电话,是因为她的网购信息已经遭到泄露,信息贩子从各种渠道获得网购信息后,会进行转卖,而电话诈骗团伙就是买家之一。
有业内人士向新京报记者透露,用户网购数据的获得渠道有很多种,但大部分信息贩子是通过“扫号”取得的网购数据。一名在QQ上出售各种网购信息的贩子也称,他们的数据是“扫号”得来。
“通过‘扫号撞库’的方式,黑客可以拿到用户在网购平台上的数据,”游侠安全网创始人张百川表示,一些平台的用户信息之所以遭到泄露,就是因为缺少对这种“撞库攻击”的防范。
黑客盗取某些网站的数据库售卖给信息贩子,这些信息流到骗子手中后,一般会以冒充客服退款等方式进行诈骗。
网购信息2元一条,贩子称“扫号”得来
来自西安的小严不久前因小红书网购信息泄露遭遇诈骗。
小严告诉新京报记者,她3月份在小红书平台购买过商品,之后接到了自称是小红书工作人员的电话,“说我所购买的商品存在质量问题,要收回并销毁,因为他们掌握我所有的购物信息以及地址,我就相信了他们。”
小严说,对方让她登录支付宝查看退款。小严回答“没有收到退款”后,对方便询问了小严的芝麻信用,并要她在招联好期贷、来分期等平台尝试贷款,并说这是小红书与他们的合作,小严可以马上从中提现,得到赔偿,但需要将多余款项打回给对方。小严在招联好期贷上提取了1100元,将其中1000元打了过去。
打完款,小严才觉得自己被骗了,随即报警,截至目前还没有结果。她之后联系了小红书平台,小红书平台称他们只负责追缴,不负责赔偿。
在网上搜索公开报道和网友反映,可以发现,近年来有不少网购平台用户都有因网购信息泄露被诈骗或账户被盗的案例。例如2012年5月底,1号店被曝员工内外勾结泄露客户信息,90万个用户信息竟被以500元的价格叫卖,部分消费者不久后就遇到了账户余额被盗、电话诈骗等问题。而2015年至2016年,陆陆续续有100多人被能准确说出购物信息的假冒“京东客服”诈骗,涉及金额达200多万元,北京的一名受骗者韩先生甚至创办了一个名为“京东盗刷维权群”的QQ群。
中国电子商务研究中心分析师姚建芳告诉新京报记者,仅在今年4月份,中国电子商务投诉与维权公共服务平台就接到了包括小红书、达令、当当网在内的多家网购平台用户反映个人信息泄露的举报。
这些电商平台的信息都是如何泄露的?有业内人士向新京报记者透露,网购数据的来源有很多种,例如电商内部员工倒卖、物流信息泄露、木马病毒等,但大部分信息贩子是通过“扫号”取得的网购数据。
新京报记者以购买网购资料为名联系了一位QQ名为“AA收购数据”的信息贩子,其称拥有包括苏宁易购、亚马逊在内的多家平台网购信息,并向记者以2元一人的价位“低价出售”了一份“已经用过的”包含100人网购信息的“数据”。上述信息贩子也称,他们的数据是“扫号”得来的。
5月10日,当接到新京报记者电话,被告知自己的真实姓名、住址以及购买过什么东西时,家住北京的孙喆丽(化名)第一反应是,遇到骗子了。
孙喆丽的网购信息就是记者花2元钱在上述信息贩子手上买到的,包括孙喆丽的详细购物信息以及她的住址、电话,网购的账号密码。
孙喆丽说,之前确实接到过骗子的电话。“有人打电话自称是客服,跟我说我的商品有问题会退款给我,让我登录支付宝看有没有收到退款,我说没有,他们就问我的芝麻信用,我当时觉得不对劲就把电话挂掉了。”
在孙喆丽和小严遭遇诈骗电话的案例中,对方都准确说出了二人的购物信息以及个人信息。
新京报记者发现,在“AA收购数据”提供的网购信息名单上,大部分用户的账号仍然可以按照其提供的密码登录。新京报记者随机联系了5名用户进行核实,发现名单上提供的个人信息全部属实,而大部分用户完全不知道自己的账号已经被盗取。
被称为“中国黑客教父”的现任益云(公益互联网)社会创新中心创始人万涛告诉新京报记者,网购用户质量高低与否决定了出售数据价格的高低。“质量指的网购商品的客单价,比如衣服等普通物品客单价较低,数据可能就便宜,但如果购买电视、手机等相对贵重的物品,客单价比较高,用户数据的价值也就更高一些。”
据业内人士介绍,根据客单价的不同,网购数据的价位也不同,被倒卖过多次的信息并不值钱,一些历史数据甚至是黑客圈中公开的秘密,价值为零。而没有被用过的“一手”信息则可以卖到几块钱一条。
5月16日,“AA收购数据”还向记者提供了30条苏宁易购的网购数据“样品”。记者发现,这些网购数据从4月27日到5月3日不等,均有账户和密码。记者登录了其中3条网购信息的账户,发现可以登录成功。新京报记者随即拨打了3名用户的电话,3名用户都表示,其电话和姓名均正确,并很疑惑地反问记者,“你是怎么知道我电话的。”
扫号产业链:黑客偷、贩子倒、骗子买
“通过‘扫号撞库’的方式,黑客可以拿到用户在网购平台上的数据,”游侠安全网创始人张百川向新京报记者表示,“而一些平台的用户信息之所以遭到泄露,就是因为缺少对这种‘撞库攻击’的防范。”
根据目前受骗者的案例,这些信息流向骗子的手中,当骗子掌握用户的具体购物信息时,一般会以冒充客服退款等方式进行诈骗。
“所谓‘扫号撞库’,简单来说,就是黑客用技术手段入侵一些安全防范不是很高的网站,取得大量的用户注册名和密码数据,有些网站的登录名包括用户的手机号、邮箱甚至身份证号,这些登录名可以与其他网站关联上,是信息泄露的载体,信息贩子掌握这些信息后,可以用‘撞库’方式尝试登录其他网站。”张百川说。
据他介绍,在实际操作中,信息贩子往往是通过专门的“扫号”软件,来批量验证账号密码是否是有价值的。
5月2日,当新京报记者询问“AA收购数据”有没有淘宝的平台账号密码时,“AA收购数据”回答称做不了,因为“没有软件”。
5月2日,新京报记者以出售数据为名联系到了一个网名为“四哥”的信息贩子。“四哥”称他们“大量收购所有网购历史订单,月内为优”。并称,“拿货价2元一个,囤货多了再出手,随便一天出3万个左右,保证最新数据”。
至于数据来源,“四哥”称“都是扫号得来的”,并询问记者是不是“技术源头”。
“这些信息贩子的‘技术源头’就是黑客平台”。张百川告诉新京报记者,“这些在黑客圈子里都可以找到,黑客盗取某些网站的数据库后就可以售卖给信息贩子,根据数据价值的不同,售价也不同,但一般都是第一次出售价格最高,比如最开始这个数据库可以卖一万,‘二倒手’之后就只能卖6千,再倒手之后价格更低,直至最后没有价值,向公众公开。”
一条黑客盗窃数据库信息,信息贩子通过扫号软件“撞库”取得网购平台账户密码,骗子再以几元一条的价格购买信息并进行电话诈骗的“扫号”黑色产业链浮出水面。“这个产业链存在至少有七八年了。”张百川表示。
新京报记者发现,一些QQ群是这些信息倒卖者的“大本营”。例如在某个以“网路安全”为名的QQ群里,不少人公开发广告称“求能拿指定站的大牛,价格以万为基数,长期合作,另诚意收购金融网站数据库”、“收带名字、电话、身份证号、地址的一手个人数据,价格包你满意”。
猎网在2015年11月曾发布《现代网络诈骗产业链分析报告》,报告显示:基于对网民举报的近9万起网络诈骗案件的追踪研究,该平台发现网络诈骗已形成一条完整且分工明确、多达15个工种的地下黑色产业链;初步统计,网络诈骗从业者至少有160万人,“年产值”超过1100亿元,而涉嫌泄露用户信息量已超过千万级。
猎网平台反网络诈骗专家裴智勇介绍,即便是手法最简单的网络诈骗,也至少需要10人的犯罪团伙:从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出多达盗库黑客、电话诈骗经理、短信群发商等多个不同工种,其分工明确,协同作案,形成了完整的网络诈骗地下产业链,其中盗库黑客是这条产业链的源头。
有“漏洞”平台更易被“撞库”
“说白了,撞库攻击就是不断地尝试错误的密码。”张百川表示,“对于大型平台来说,往往可以利用技术手段限制这一‘撞库攻击’。比如登录错误几次后直接封掉登录者的IP地址,一个账户一天之内只允许输入三次,一个IP地址如果输入了两个账户或者输错了5次以上,24小时内就不允许再登录等。”
5月10日,新京报记者在某互联网平台多次以错误密码登录同一账号后,登录界面出现了“您今日只能再输入三次”的提示。
新京报记者同日在1号店网站上多次试验登录同一账号,多次输错账号密码后,1号店要求输入验证码,但除此之外并无其他防范手段。
5月16日,新京报记者尝试以错误密码登录苏宁易购,发现输错3次密码后,苏宁易购开启了移动滑块的防护措施,并在输错10次后锁死了账户信息,显示只有1小时之后才可以再次尝试。而在以错误密码登录小红书的试验时,小红书方面表示需要以接收手机验证码的方式登录。
“1号店的验证码模式并不算是防御撞库攻击的有效方式,现在在网上搜索验证码识别、验证码绕过,可以得到相应的破解软件。移动滑块相应高端一些,但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码,万涛表示,现在有专门的打码平台可以帮忙快速破解验证码。
有业内人士称,当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后,被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。
5月10日,新京报记者致电一位信息已遭泄露的电商用户时,该用户告诉新京报记者,她接到了冒充1号店客服打来的诈骗电话。这名用户在两家电商平台上的登录名为同一个手机号。
“事实上,对撞库攻击进行防御的成本并不高,但除支付宝等大型平台外,小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。
对于因信息泄露遭受诈骗而形成的损失,电商平台应承担怎样的责任至今仍不明确。大部分电商平台对于此类事件的回应一般为“配合警方调查”。1号店昨日向新京报记者回复称,需要对信息泄露一事再核实。1号店的后台安全系统会24小时不间断监测顾客登录和购物行为,一旦发现频繁异常登录等高风险情况,将采取锁定账户等紧急手段,顾客需要修改密码或通过身份验证再次使用。如果顾客遭遇信息泄露后的财产损失情况,将全力配合警方提供所需要的信息。
苏宁方面表示,苏宁基于用户信息安全防范成立的安全团队,以网络安全攻击、Web安全攻击的安全风险发现识别为基础,可以通过可视化网络与Web攻击事件,发现内部网络高级持续性威胁,挖掘与检测针对苏宁消费者与商家的钓鱼网站,并予以及时处理。对于涉及消费者信息安全问题,将第一时间核实处理,确保用户购物支付环境的安全与稳定。
根据今年3月补天平台发布的《2016年网站泄露个人信息形势分析报告》,2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息,分别占58.5%和62.4%(某些漏洞可能同时泄露2类信息),可能泄露的数量多达42.3亿条和40.1亿条。
电商平台是否担责?律师称难判断
“电商平台在获取个人信息的同时,就有保护个人信息的义务。”北京盈科律师事务所方超强律师向新京报记者表示,“信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。”
他进一步解释称,若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞;若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。
根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。
但方超强直言,在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到“撞库”盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。
万涛表示,实际上判断电商安全等级的相关标准有很多,包括国家信息安全等级保护制度和ISO27001信息管理认证,这要看电商能拿到哪些安全标准认定。比如在国家信息安全保护等级上,网约车必须拿到三级等级保护。但现在用户的信息泄露渠道实在太多,有大量的用户隐私数据已经处于泄露状态,以此判断电商责任并不全面。
万涛认为,核心问题是发生信息泄露之后,往往很难判断是哪一个环节出了问题,对责任的界定和处罚不明确,导致信息泄露从取证到用户的维权成本都过高。“电商有物流、第三方等多个环节,有很多订单泄露与其内部数据的管理和安全手段能不能覆盖到业务是有关联的。”
5月16日,“AA收购数据”还以2.6元一条的价格向新京报记者提供了一份淘宝网购用户数据,这份用户数据并没有账号密码。“这份数据的来源并非扫号,是我向开淘宝店的朋友直接拿到的。”
“一般而言,卖家在电商平台上出售商品,是要与平台签订协议的,在注册条款里平台需要尽到告知义务,即卖家不能买卖买家的个人信息获利,这种行为本身构成侵权,买卖达到一定数量也构成犯罪。但若平台尽到了告知义务,是没有责任的。”上海市百良律师事务所主任王冰告诉新京报记者。
新京报记者 罗亦丹
报料邮箱:403980266@qq.com
(责任编辑:单征宇)