个人隐私不复存在?花700元买到同事全部信息,还可以买妻子、买朋友甚至只知道号码的陌生人的……

个人隐私已不复存在?

你所有的隐私信息,包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要有人付钱,就可以轻易被查到。这是否让你不寒而栗?还有,四大银行存款记录,手机实时定位,手机通话记录,他们也都能查到,而且声称7 天 × 24 小时不间断服务。

近日,南都记者亲身经历,在网上只花费 700 元 就买到了同事的上述信息,更可怕的是,竟然有第三方软件为这样的服务提供担保,整个交易已跃升到了“平台化”的地步。

开房记录数据精确到秒

12 月 8 日,南都记者以了解亲戚结婚对象为由,联系上一家名叫“××商贸”的服务商,工作人员介绍,只需提供身份证号码,即可查询包括开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等 11 个项目在内的材料,统称“身份证大轨迹”。

这一“全套服务”,收费仅 850 元。前述工作人员告诉南都记者,如果针对性地查询单个项目,则收费另计,“查个人征信费用是 300 元,查开房记录 200 元”;另外,查询单个项目,如开房记录可当天出结果,查“身份证大轨迹”全套则要等到第二天。

bigsec

南都记者买到的同事开房记录总览。

bigsec

南都记者买到的同事某次开房的详细记录。

航班、银行开户各种记录一应俱全

前述工作人员称,还可查询四大银行的存款余额,每查一个银行是 600 元,提供身份证号码即可查询,但查询结果要两天后才能给出。 之后,南都记者决定再换一个同事购买“身份证大轨迹”,几经讨价还价,将价格谈到了 700 元。在转账完成的一天后,对方发来了两个 EXCEL 文档,里面包含了该同事 9 种记录在内的身份证大轨迹。 南都记者看到,一个名为“分布式查询”的文档里,记录了该同事自 2011 年 4 月以来的旅馆住宿记录、常住人口记录、暂住人口记录和网吧上网记录,另一个“人员基础信息—×××”文档中则是火车记录、航班记录、银行开户核查记录、驾驶证记录、驾驶证违章记录、机动车登记记录等。

bigsec

南都记者买到的同事“身份证大轨迹”,包括开房记录、上网记录等。 经南都记者的这位同事确认,这两个文档的情况完全属实,也基本上包含了他近年来的身份证轨迹。尤其是“全国人口基本信息”这一张表,和他户口页登记的信息完全相同,照片也是他本人的身份证照片。此外,记者的同事还分析指出只显示自 2011 年 4 月以来的记录,可能是因为他 2011 年 4 月更换过身份证。

手机定位半小时查完 精准定位到你

最后,南都记者决定再换个同事的手机号码,查一下其手机定位情况,前述工作人员表示仅可查询联通号码的手机定位,查询时间为半小时,收费是 600 元。南都记者提供手机号码并付款半个多小时之后,对方发来了定位信息的图片,内含地图、经纬度信息(精确到小数点后 6 位),与记者同事所在的位置完全一致。

bigsec

南都记者买到的同事联通手机定位信息,数字为经纬度坐标

隐私信息贩卖已成"平台化"交易

事实上,“××商贸”只是这条信息产业链上的一例。南都记者了解到,上述个人信息并非由其工作人员直接查询,而是代理其他人提供的服务。该工作人员亦表示,可以发展南都记者做“下线代理”,代理费为 500 元,具体业务收费标准实时浮动。 南都记者检索发现,在微博、QQ 群、腾讯微商店、淘宝等平台皆有大量提供查阅个人信息的服务商,有的服务商还会单独开发官网。令人吃惊的是,此类服务竟然还有专门的第三方担保平台。

巨额利益下的信息欺诈商行情看涨

在这条信息侵犯的黑灰产业链上,以“社工库”及衍生出的周边产业尤为成熟。在黑客圈,“社工”是指一种黑客攻击以获取情报和信息的方法,社工库中收集有大量用户数据,成为“人肉搜索”和信息商贩的敛财工具。同时,因技术、人员资质等问题,这一黑灰产业链经营者水平良莠不齐,且优少劣多。 由于优质服务商的稀缺,行情一直看涨。QQ 上的一名服务商阿凯告诉记者,行业现状是大部分服务商不靠谱,“找到真的,项目价钱一般人又接受不了。” 除价格昂贵外,技术靠谱的商家还难求,“目前的行情是,市面上仅有三四家社工库有实质服务,并不容易接触到”,阿凯说:“凡是声称自己的社工库能查开房、通话、短信记录的,基本上都是骗子”。

信息贩卖!他们是客户,也是经营者

在私下交流中阿凯告诉记者,在信息贩卖这一黑灰产业链中,他既是经营者,也是客户,“我在长沙这边做本地私人贷款生意,有的借贷人逾期跑路了,就得找办法人肉他”。 值得注意的是,服务商所承诺的“第三方担保交易”,有的并不能保障资金安全。在上述“通×宝”上的交易中,南都记者在第三方支付平台支付了 600 元,并提供另一名记者的手机号码。10 分钟后,该服务上向记者提供了 3 张不同的定位地图,均显示在广州市海珠区滨江街道。然而,此时记者的真实位置是在广州市越秀区,距离该地有 5 公里远。 南都记者向服务商核实数据准确性,其表示,“信息是通过基站查询的,不能重复再查,再查一次我也得给一次钱。该服务商表示,一般位置精确度在 50 米内。针对定位存疑的问题他表示,“你问得到就不会找我查了,看你信谁了”。

查询个人信息只需一个姓名

一、查询条件

只需提供一项准确的个人信息,如姓名、手机号码或身份证号。

二、服务项目

  1. 查询“身份证大轨迹”包括开房记录、犯罪记录、租房记录、银行记录等 11 个项目。
  2. 定位服务声称可找到任何人当前位置。

三、服务商藏身处

  1. 微博、QQ 群、腾讯微商店、淘宝等平台,有大量提供查阅个人信息的服务商。
  2. 有的服务商还会单独开发官网,以“商务专业调查”、“防人肉搜索”等为名提供“人肉搜索”服务。

四、第三方担保

  1. 如“通×宝”网站。双方在线下谈好后,再到平台上进行支付。如发生纠纷,该网站会进行核查仲裁。订单分类中列有:“开房记录查询”、“手机定位查询”、“个人轨迹查询”、“户籍信息查询”等 9 项服务。
  2. 虚假包装,让交易在主流网站进行。如在相关网站发起需求项目(相当于有酬求助),名称写软件开发或服装设计等(不能出现“查询信息”等字样)。(原文:南方都市报)

黑产,没有做不到只有想不到

一名曾参与“社工网站”,也就是专门从事各类账号注册买卖的网站工作人员透露,他们会购买大量手机黑卡、身份信息,然后用软件批量注册,“干我们这一行的,没几个人认为自己是违法的。”记者获悉,购买这些垃圾账号的人,可以用以诈骗、虚假交易、发放垃圾广告、刷信誉、刷人气、红包套现等。

目前,依附于互联网的黑灰产业主要有这4类——

  • 恶意软件类:盗号功能软件,钓鱼木马软件,批量注册功能软件,账号数据、信息、状态检测软件,刷单软件,伪装/更改环境工具等;
  • 非法硬件类:伪基站,猫池(养非实名手机卡、用以批量收发信息);
  • 非法信息、数据买卖类:社工库(数据集市)、手机黑卡、银行卡、身份证信息买卖等;
  • 恶意群组、平台类:恶意交流群组、恶意平台等。

谁在泄漏我们的信息?

互联网黑灰产业链日益成熟,黑色产业与灰色产业相互交织特点明显,并多处于无管理状态,从而在网上滋生了大量的诈骗、制假售假、贩毒等违法犯罪活动。如刷单(三分钟看懂“刷单”这回事)、银行卡盗刷(卡在身边钱被取走?银行卡被盗最常见的三种情况及原理)、恶意爬虫(恶意爬虫这样窥探、爬取、威胁你的网站 )、帐号撞库(个人隐私如何被泄露、贩卖,女大学生被骗背后的黑色产业)、个人信息泄漏(女白领 1.8 万出售全上海学生信息)等问题层出不穷。

与其造成的巨大危害相比,黑灰产业链的门槛却很低,除编写软件外,“技术小白”几乎都可以做。

近日,一篇《京东数据疑似外泄:超过 12 个 G ,涉及数千万用户》的文章在各大媒体上搅动,称最近黑市上有一 12 G 的数据包开始流通,其中包括用户名、密码、邮箱、QQ 号、电话号码、身份证等多个维度,数据多达数千万条。黑市买卖双方表示这些数据来自京东。

目前京东回应:

经其信息安全部门依据报道内容初步判断,该数据源于 2013 年 Struts 2 的安全漏洞问题,在 Struts 2 的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。

再举个例子。

90 后杨某成立的“傻推网”刷单业务覆盖所有电商平台,开业仅一年就赚得盆满钵满,除杨某本人获利 36 万元外,其余数名刷手合计获利超过 180 万元(阿里巴巴起诉刷单平台“傻推网”  刷单与反刷单的猫鼠游戏),用现实证明一条巨大的互联网黑灰产业链猖獗却未得到有效遏制。

你会感兴趣的内容:

岂安科技:SaaS + 本地化模式,为B端企业控制业务风险

打码平台是如何运作的?再谈验证码安全

暗流涌动的地下规则:互联网黑色产业链中的黑话

十分钟解决爬虫问题!超轻量级反爬虫方案

岂安科技求Java研发大师加入