欢迎来到“无隐私时代”,你正以100元被出卖

2017-10-30 20:59孙然张雨忻
中国连锁 2017年10期
关键词:黑客用户

孙然 张雨忻

欢迎来到大数据时代。也欢迎来到个人隐私岌岌可危的时代。

作为普通人,你可能对自己的数据被利用到何种境地还缺乏感受。但警觉的内行人,比如网络安全工程师魏从,却感受到了隐私环境的危机四伏。

他至今对去年10月网易邮箱疑似“疑似被黑”的事故印象深刻——过亿条用户名、密码、登陆IP、生日等信息被窃。尽管网易否认数据库遭到攻击,称是黑客获得了部分用户在其他平台相同的账号和密码,撞库所得。但魏从并不相信这种说法,因为他下载分析了这个被盗数据包,发现量特别大,“超大个儿一个。”

他的一个同事有个习惯,每次接到快递包裹,都会用黑色记号笔,逐条划掉快递包裹上的铅字——收货人姓名、联系方式、收货地址等等。她听说小区楼下收废品的人,会把纸箱上的信息单撕下来,转手倒卖出去。不久后这笔数据交易会变成一通推销甚至诈骗电话,再找上门来。

新闻里的“徐玉玉案”令她不寒而栗——因为考生信息被泄露,家境困难的高中毕业生徐玉玉,在接到大学录取通知书后,随即也接到一通电信诈骗电话,被以办理助学金为由骗走9900元学費,伤心欲绝之下,年轻的女孩心脏骤停而亡。

这些事可能发生在每个人身上,平日多做些预防工作总没错。但她不知道的是,无论她划掉多少张快递单,个人信息泄露几乎防不胜防。

“收废品捡快递单的方法效率太low了,现在都直接从淘宝店主那端买发货单,5块钱一张。”魏从告诉36氪。

世界从未变得如此数据驱动。诈骗只是个人数据的一种小范围用途。在大家都在谈论人工智能、个性化推荐、精准营销的现在,世界从未如此渴望知道“你”是谁;从金融,到医疗,广告到电商,各行各业从未像现在这样对数据充满渴求。短短几年,随着市场爆发出的需求量,中国已经催生出市值21亿元的新三板数据服务商数据堂。

大家都意识到了:数据,这是新商业时代最重要的议题。

一位行业内人士透露,为了描述一个用户画像,阿里巴巴构建了741个纬度,来收集数据。“弱数据甚至更多。所有的数据,你买过什么,购买频率和价格,你住在哪,银行里有多少钱,它全知道。”

今年,大公司之间为了争夺数据,爆发了前所未有之多的争斗。运满满举报货车帮盗取6000万条竞争对手货运数据;新浪微博诉脉脉过渡攫取用户数据;腾讯控诉华为Magic手机侵犯用户隐私……过去则少有这样的情况。而两年前,马云说阿里巴巴要做数据公司、未来最大的能源是数据时,还稍显空洞。

商业和用户隐私之间,由此发生激烈对撞。

由于中国数据监管尚且模糊,回国的硅谷技术人才,将中国视为创业天堂。一位从事人工智能+医疗的创业者对36氪说,“算法的门槛并不高,真正稀罕的是用户的医疗数据。在美国,病患数据的归属权是个人,很难拿到,但在国内,只要跟医疗机构合作,就能获取这些数据来训练智能诊疗模型。”

大数据、人工智能改变世界,提升诊断的效率和准确度,这是一幅美好蓝图,唯独忽略了一点:在不知情的情况下,你的隐私医疗数据正从医生电脑里流向一家商业公司。

尽管技术无罪,但商业对数据的贪婪难以克制。利益驱使各种诸如网路爬虫、盗取手机root权限的技术,让个人隐私数据,也前所未有地暴露在市场上。

隐私数据与商业的冲撞是如此激烈,连国家也意识到了。5月和7月,公安部和网信办两次集中审查大数据企业。首批,包括数据堂在内的15家公司被请去“喝茶”,询问数据来源和运营模式。掌握大量个人信息的互联网公司,比如招聘网站,也收到了执法部门的警示。

大数据的交易,一直在黑、白、灰色地带间游走。

我们正生活在楚门的世界,这毫不夸张。

黑:窃取

数据的大规模失窃,正在一次又一次出现。

最近的一个大案,是2017年5月至7月间,一伙有组织的黑客盗取了美国征信巨头Equifax的服务器权限,卷走了1.43亿用户的个人隐私数据。这意味着44%美国人的姓名、出生日期、手机号码、住址、SNN(社会安全号码,类似于身份证,可以追踪纳税情况),以及21万美国人的信用卡号,部分驾照号和法律文件,正躺在黑市上待价而沽。

因为保护数据不利,如今悬在Equifax头上的是一桩700亿美元的赔偿官司。

在中国,一个涵盖上千万条京东用户数据的12G数据包,去年底成了黑市上的“地摊货”。知情人士透露,这份数据包囊括了姓名、密码、邮箱、身份证、电话、QQ等多个维度的用户信息。已经在黑市上层层售卖转了上百道手,标价10万至70万不等。

数据泄露不仅来自外部攻击,还源自利益诱惑下的内部泄漏。

今年6月,国内破获的一起案件中,22名苹果及相关公司的员工,利用自己的Apple ID进入公司内部系统,盗取了大量苹果用户的姓名、手机号码、Apple ID等数据,并在黑市以每人10元至180元的价格倒卖出去。

一张苹果内部ID意味着触及公司全部用户数据的权利。据《商业内幕》报道,大量黑客愿支付2万欧元以获取一张苹果内部ID信息。

今年3月,京东主动公布:处于试用期的京东网络工程师郑海鹏,与外部黑客团伙勾结,盗出大量物流、交易及用户身份信息。警方介入后,发现这竟是个“职业内鬼”,曾在多家互联网公司任职,盗窃个人隐私数据达到50亿条。

去年,也有3个来自京东物流部门的“内鬼”,盗走了9313条用户数据,这些信息最后被用于骗取了上百万用户的资金。

隐私数据倒卖远比你想象的猖獗。在已公布的案例中,携程、圆通快递、世纪佳缘、当当网、如家酒店……都曾遭遇过类似的数据洗劫。

大型互联网公司约等于一个又一个肥美的大型数据库。盗取和贩卖隐私则是个产业。

“全世界只有两种网站:被破解的网站,和还不知道自己被破解的网站。”网络安全工程师魏从对36氪说。endprint

魏从这样的行内人,能看到黑色数据的贩卖在“暗网”上持续进行。全球共有7万个网站在暗网上潜伏,你可以在那找到隐私、军火、A片,甚至谋杀教程。尽管卖的都是些惊悚的“货品”,暗网看上去却与普通电商的货架无异。

在暗网上,身份证号、社保账号、电话住址等个人数据被打包售卖,依据详细程度要价不同。

由于数据是可复制的,一旦流入暗网就会被无限转手。从深网,逐渐上浮到卖到表层网络,甚至普通人能接触到的贴吧、网盘。与此同时,数据的价值和标价也层层稀释。一家100人体量互联网公司的用户数据,在暗网上标注的价格可能是1000元,倒过几手后,价格也会稀释到起初的十分之一。

对于有技术的黑客,把几十万人的隐私数据偷出来贩卖只是分分钟的事。他们成团伙作案,顶级的黑客会把入侵工具撒入互联网,自动破解触及到的网站,一扫“中弹”的可能就成百上千。数据得手后会被转给专人破解、加工和整理,在由负责销售的人以不同价格卖给不同的买家。

每时每刻,都有网站被攻破。

疯狂的窃取,驱动自最强烈的需求。

隔三差五,何崇就会接到客户买数据的要求。何崇经营着一家用人工智能技术做精准营销的公司,何崇发现,在移动营销领域想多赚点钱,几乎避不开数据购买,广告主越来越好奇自己的用户都是些什么人,他们希望何崇不仅仅提供算法,也能一站式补全用户数据。

精准营销、人工智能都是大的数据买家。百度一年仅在数据堂购买的语音数据就达到一两千万小时。初创人工智能公司的平均购买量,也动辄在30万至200万小时之间。数据堂创始人齐红威回忆,10年前在实验室训练机器人时,市面上的购买量也不过一两百个小时。

但人工智能底层技术离钱很远,而在互联网金融行业,数据约等同于钱。也因此,“买个人隐私数据最凶的,是金融类企业。”互金公司给何崇开出的补全数据价码最高,是一个人头100块钱。

何崇对36氪介绍,中国的金融信贷公司,大致有三条购买数据的渠道:央行征信中心、有公安背景的征信机构国政通、查学生数据的学信网、以及运营商等国有渠道;第三方大数据服务商;精准营销公司。

白色渠道的数据查询需求已经在急剧增长。据财新报道,2016年,有公安部背景的身份证查询中心,一套带人像照片比对的查询量共约26亿次;而在2012年,年查询量还不到10亿次。查询量激增主要源于大量的消费金融需求。

但在白色渠道外,绝大多数金融机构仍严重依赖来自后两类渠道的数据。因为“白色”渠道能提供的数据有限。以央行征信中心为例,截至去年下半年覆盖中国8.8亿人口的征信数据,这意味着其余5亿人口的信息是一片空白。

这5亿人口,多是蓝领、大学生或刚步入社会的年轻人,尚未在任何银行留下信用记录。与此同时,他们也是如今最时髦的现金贷、消费金融公司、以及陷入转型危机的传统银行紧盯的用户。

现金贷的风险控制方式,正是大数据新时代的典型案例。网贷之家CEO徐红伟告诉36氪,小额贷款的现金贷与传统十几万贷款的风控方式完全不同,后者采用线下尽调,而前者则是完全自动化在线上完成,依赖于智能手机中产生的用户数据和行为轨迹。

借贷给这类高风险人群,最关键是要能收得回帐,预先识别出好人坏人。做好风控模型、预判违约成本,是这门生意最关键的命门,而养模型的前提就是先拿到用户数据。

风控对数据的渴求没有边界:身份证、学历学籍、信用卡和银行卡号、设备指纹、消费情况、LBS数据及手机中的使用行为数据,乃至你银行卡的金额和收支信息。每增加一项数据,坏账就少了一些,利润就多了一些。

出于风险考虑,何崇不愿意自己买数据,他管这叫“脏活”。一般做数据购买的是数据代理商,通常由数据服务公司、咨询公司来扮演。

这些数据服务公司通过自己的门路,找到上游或黑或白的卖家:盗取数据的黑客、通过在APP中植入SDK插件来获取数据的工具类公司、沉淀了大量用户数据的电商公司,甚至想偷偷赚上一笔、有用户系统权限的手机厂商。

据财新报道,一家叫做“联动优势”的公司提供的数据详尽得可怕,包括:个人开卡银行张数、借记卡张数、信用卡卡龄、账龄,近三个月到一年的账动笔数、出入账总金额,银行卡消费总额(包括线上消费)、当前余额、手机号入网年限、手机号是否实名等。一家叫百融金服的公司,产品清单上也有银行卡月度收支数据。

联动优势的关联方公司与运营商长期合作,为十余万家客户提供短信群发服务,包括政府机构、互联网、商业企业、金融保险、银行、物流等。与其有业务往来的人士认为,联动优势加工数据后,“将金融有关的信息,比如银行发给客户的交易信息,卖给金融行业有风控需求的公司,以及贷款催收部门。”

从黑灰色渠道购买,也是为了省钱。“灰色渠道的卖法无非是拷贝一份数据,所以可以卖得很便宜。去白色渠道国政通查询一次身份证需要5块钱,但很多互联网公司其实都掌握了大量的用户数据,开价2毛钱,甚至几分钱就可以查一次。”融之家CEO张建梁告诉36氪。

企业对隐私数据的贪婪和越界获取,终归引发了政府的关注。是6月1日新出台的《网络安全法》,首批打击目标就是黑客、数据交易公司,互联网公司“内鬼”。

根据最高法、最高检的司法解释,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上”,即属情节严重,可入刑。

整肃开始了。

今年的网络安全大会,魏从看到台上罕见的出现了“蓝帽子”嘉宾(即公安背景的“黑客”),演讲的核心就是不同程度的盗取数据行为,将受到怎样的法律制裁。

9月的一宗判决起了杀鸡儆猴的作用。地产经纪杨某,因侵犯个人信息罪被法院判决拘役三个月,并处罚4000元人民币。起因是,她通过微信给上级主管发送了113条某小區业主的个人信息。其中包括房产面积、门牌号、楼栋号、楼层、姓名、电话及楼盘名称。这些信息,是她所在的公司准备用来“拉客户”的。

鉴于“买房、借贷、孩子上学”,是中国骚扰电话的永恒的三大主题,个人隐私信息在房产中介圈的疯狂流转,早已成为潜规则,行里人常在QQ群中交换和买卖业主的信息。如今,地产圈风声鹤唳。“现在风声太紧了,前两天刚有同事被抓,”36氪接触的十几位房产中介,皆以太过敏感为由,拒绝了采访。

为了规避政策风险,在《网络安全法》实施前,同盾停掉了“失联人修复”服务。因为这项服务涉及为有的银行提供用户的联系方式,在新规之下颇为敏感。

“过去我们给一些银行提供过这项服务,但对方具有完整的用户授权,”同盾科技副总裁顾威对36氪解释称,“我们并不靠这项边缘业务赚钱,只是为解决客户针对其恶意逾期用户的催款需求。”

据他估计,“至少80%沾染黑产,从事征信和反欺诈数据交易的公司会倒闭。”

未完待续。

(文章首发于36kr,版权归36kr所有。应采访对象要求,文中何崇、魏从为化名。36氪作者林渟对此文亦有贡献)endprint

猜你喜欢
黑客用户
欢乐英雄
多少个屁能把布克崩起来?
欢乐英雄
网络黑客比核武器更可怕
河神与头脑黑客
关注用户
关注用户
关注用户
Camera360:拍出5亿用户
100万用户