編者按

　　在大數據和雲計算的時代，網際網路正在重構整個製造業和服務業的運作體系，買方和賣方的對接越來越依賴於大數據，而不是實體的店面、仲介。數據庫的作用越來越重要，但安全卻難有保障。本專題中的調查試圖呈現網際網路數據洩露中環環相扣的鏈條，而對案例的分析則試圖呈現公民個人維權之難，這有賴於網際網路法治建設的推進。

　　本報記者 吳燕雨 北京報道

　　天微微亮，大鳥(化名)結束了一晚上的任務，他用涼水洗了一把臉，起身，去公司上班。

　　在白天，他是某網際網路公司的程式員。晚上，他是網際網路論壇上活躍的“白帽子”。

　　“白帽子”是業內的俗稱，即正面駭客，他們通過識別電腦系統或網路系統中的安全漏洞，發出漏洞警告，從而提醒企業或其他單位在被駭客侵入前修補漏洞。

　　由於白天工作時間不允許，大鳥只能用晚上的時間做“白帽子”的工作。這讓他很疲憊，如果進入到了活動狀態，大鳥可能會有很長一段時間都在高度緊張的精神狀態中度過。

　　除了在論壇中得到被同行讚許的快感，很多時候，他們面對的是一群對漏洞不屑的人。因為每次被曝出漏洞之後，許多企業的第一反應是“辟謠”，而不是直面問題。

　　在大數據和雲計算的時代，網際網路正在重構整個製造業和服務業的運作體系，買方和賣方的對接越來越依賴於大數據，而不是實體的店面、仲介。數據庫的作用越來越重要，但安全卻難有保障。

　　或許因為企業對漏洞不屑的態度，一些技術人員會警告企業——既然你不屑，我就幹一單給你看。一些技術人員拿著漏洞去要挾企業，換取報酬，涉及利益巨大，一些人甚至很短時間就完成原始資本積累。白帽子是以其行為來判斷，但也有可能在某些時間裏，變成真正的駭客。

　　在國內，目前逐漸形成了一些漏洞舉報的平臺，如烏雲網、360都建立了舉報漏洞的機制，方法各不相同。國家網際網路應急中心也建立了漏洞共用平臺，每週發佈資訊安全漏洞週報。

　　一些企業的態度也變得開明起來，如1月14日，特斯拉[微網志]的官方訂購平臺被白帽子發現漏洞，原價30萬元的預訂金，白帽子可以在後臺將之修改為一元錢。特拉斯得知後迅速修復了該漏洞，並承認該筆訂單有效，同時還從總部郵寄了官方紀念品送給白帽子。

　　21世紀經濟報道記者通過半個月的調查，接近了多位白帽子，他們中的部分不願意透露真實姓名；同時，21世紀經濟報道記者也試圖從被業內稱之為“社會學工程庫”的論壇，尋找活躍在數據買賣鏈條上的人。此外，通過分析已有的案例和司法判決，也可以探尋這個龐大黑色産業在網際網路時代日益形成的安全隱患。

　　入侵

　　“你不要社我啊。”這是一句從事網路安全程式員們的“行話”。“社”是指社會學工程庫，他們把獲取海量的個人資訊稱為社會學工程分析。

　　在社工論壇上，你可以找到各式各樣的賣家和買家。他們明目張膽地買賣各種個人資訊資料，如開房資料、考研學生資料、公積金資訊等，一般都是幾十上百萬條資訊打包出售，他們將這些打包出售的數據庫俗稱為“褲子”。

　　而“社”一個人，則意味著在網路上挖掘與這個人有關的各種資料，通過不同網站的海量數據，破解密碼、下載資料……

　　一般而言，第一步需要入侵某個網站的後臺系統。這個過程並不複雜，對一個電腦迷而言，一個剛入行的中學生就可能有能力侵入一個普通網站。

　　大鳥對我們講述了他的故事。第一次學習駭客技術是大一的暑假，他花了一個月的時間在寢室自學。不久後，就已經可以進入學校網站的後臺了。

　　從這一刻開始，數據就有了被洩露的危險。大鳥不會將數據下載下來用於己用，僅用來檢測網站是否存在漏洞，但他告訴21世紀經濟報道記者，駭客入侵網站與白帽子檢測網站，在技術路徑上幾乎是相同的。

　　大鳥不崇拜儀式感，他不喜歡稱之為戰鬥，但這確實是一場戰鬥，雖然戰利品只是為了滿足一種孩童式的好奇、對技術偏執的渴望，但把它稱之為一場發生在“入侵者”與技術“看守者”之間的戰鬥或許並不為過。

　　在大鳥的印象中，記憶最深的一次入侵行動是他在正式做一名職業白帽子之前。那是一次比較複雜的行動。大鳥發現了一家國外網站，對其原代碼十分感興趣，為了看到代碼，他決定“入侵”這家網站。

　　大鳥先找擁有域名的這個人，查他的資訊，發現此人是外國人。因為不是中國人，所以不能掌握太多他的資訊。接下來尋找這個域名下的子域名。

　　經過分析，發現一些子域名放在幾臺普通VPS(Virtual Private Server 虛擬專用伺服器)上，打開幾個頁面是空的。掃了幾個端口也沒發現端倪，他知道從這幾臺VPS上很難找到問題，於是他決定找一下它的VPS提供商。

　　如果拿到VPS提供商的許可權，就可以獲取它所有VPS的許可權，自然也就獲取了該域名所指向的VPS許可權。隨後他發現這個VPS服務商的運維配置有一些問題，一步一步滲透下去，最終找到了該VPS提供商所有用戶控制面板的賬號密碼，最後找到了對應人的賬戶密碼。

　　拿到用戶密碼後，大鳥登陸了對方的控制面板。VPS是以控制面板進行操作的，進入控制面板就可以操控他伺服器上的文件，但是沒有文件打包編輯功能。最後，大鳥上傳一個了網頁後門，便獲得了它的代碼。

　　經過十分複雜的程式，大鳥獲取了這臺伺服器的許可權，順利看到了代碼。

　　或許從技術上，這並不算很難，但對於大鳥來説，這次“入侵”的複雜性遠遠高於技術，經過一個多月的“戰鬥”，看到代碼後，他選擇讓自己大睡一場，進入冬眠。

　　竊取數據

　　對於白帽子而言，發現了網站的漏洞，他的工作就接近了尾聲了。可對於黑色産業鏈(簡稱“黑産”)上的人來説，任務才剛剛開始，他們的目的是拿到數據，進而轉化成金錢。

　　業內人士透露，駭客的慣用手法有很多種，但路徑上存在相似性：獲得外網伺服器許可權、進入內網、判斷核心業務範圍、獲取核心業務伺服器許可權，找到數據庫密碼、看到核心數據、下載核心數據、拿到最高許可權、抹掉所有痕跡。

　　這是一個相對理想的操作鏈條，但並不意味所有的駭客都能完成上述步驟，比如“拿到最高許可權”並不容易，因此有些駭客下載了所有核心數據，但痕跡仍被記錄。

　　對於目標的尋找，一位接近黑産的人士稱，有時是駭客主動尋找“含金量高”的網站，侵入網站，竊取數據。這主要涉及的是一些與金錢交易有關的公共服務行業，如信用卡或網路支付、火車票購票網站、航空公司購票系統、網路購物網站等等。

　　還有一些則是接受定向委託，一般委託方來自商業競爭對手，需要獲得競爭對手的客戶數據，於是雇傭駭客。

　　在進入內網時，有時候駭客會直接查看對方的員工資訊是否存在洩露，或根據常用密碼top 100來進行測試，如果順利登陸員工賬號，就可以直接進入內網。

　　但對於需要核心數據的駭客而言，進入內網只是第一步，接下來，駭客需要對數據進行分析，判斷核心數據所在位置，這就需要駭客對該網站的業務十分熟悉，甚至熟悉程度要高於網站運維人員，這樣才能判斷核心數據的子域名在哪一個IP段，進而找到核心數據。

　　當然，時機的選擇十分重要，這一切都要在一個合適的時間裏進行：一個網站流量大，看守者不容易發現的時間。比如，一般的社交網站，上午十點和下午三點比較活躍。在這樣的時間裏“拖庫”相對不易被察覺。

　　“拖庫”同樣是行話，意思是將目標數據下載下來。但在許多時候，他們並非需要經過複雜的入侵程式獲得數據。因為許多人在不同的網站註冊資訊時，會使用相同或相似的密碼。因此，這就存在利用“撞庫”的方式獲得更多的數據的可能。

　　2014年底發生的12306網站用戶資訊洩露的事件，起初就被指是“撞庫”行為，即用戶的用戶名和密碼在其他網站洩露了，駭客利用其他網站獲得的用戶數據包，自動登錄另一個網站，匹配出部分用戶資訊，形成數據庫。

　　不過，即使是通過“撞庫”發生的資訊洩露，相關網站也難脫其責，因為只有存在安全漏洞，網站才可能被“撞庫”。

　　目前，12306網站用戶資訊洩露事件發生的原因仍不明，官方仍未公佈調查進展，網路也曾一度流傳出洩露不是“撞庫”行為産生用戶資訊洩露的例證。

　　黑色産業鏈

　　在數據被竊取之後，駭客不一定可以將這些數據銷售出去。職業“仲介”應運而生。黑産鏈條上，有人負責竊取數據，有人專門從事分銷，尋找目標買家或幫買家尋找駭客。

　　21世紀經濟報道記者試圖尋找這樣的人，於是在一些社工庫論壇註冊，發帖“雇傭駭客”，並且尋找一些專門從事數據交易的QQ群。在QQ群搜索功能中，只要輸入“數據買賣”、“數據交易”等關鍵字就會看到有大量的活躍群，它們的名字直白簡單，一般以“數據交易群”、“淘寶數據交易”等字樣為主。

　　21世紀經濟報道記者偽裝成買家進入了其中一個交易群，並與一位聲稱可以提供“進線數據(打進某個電話的數據)”的人進行對接。該人士稱，自己可以拿到每個行業裏任意一家企業的進線數據。通過進入機房，實時監控撥打該公司號碼的電話，並將其截取下來，進行銷售。

　　但陌生人的網路交易，確保交易安全是個難題，數據提供方可能提供假數據，而數據購買方也不希望自己的購買行為被記錄下來。對於這些疑問，該人士稱，自己可以提供前一天的進線數據，並保證數據是一手資訊。交易的過程，需要買家先少量購買，付錢後再工作，如果買家對第一批數據滿意，再進行下一步更多數據的交易。

　　至於交易價格，該人士説，每個行業的價格不同，21世紀經濟報道記者問到餐飲行業的某家巨頭企業，他稱這些數據價格1條10元，而這個價格稱得上是“不便宜”。

　　數據交易達成的半年內，買家和數據提供商為唯一擁有者，數據商保證不會洩露給第三方。半年後，數據商就可以將數據打包銷售，但此時數據已經大大貶值，一條的價格大概是幾毛錢。

　　這時候，就産生了“二手數據”，二手數據一般會倒賣好幾次，基本已經算是“公開”資訊，這樣的數據在一些社工網站上隨處可見。21世紀經濟報道記者潛水幾個社工論壇多天，發現每天都會有幾條數據供應帖發出，論壇用戶只需要支付幾個金幣(一金幣一元錢)的價錢就可以購買到大量數據，有的數據(如個別企業內部通訊錄)甚至可以免費下載。

　　另外，在交易群裏，經常出現一些交易請求，有的在尋找數據商，有的在出售數據。而在QQ群記錄中，21世紀經濟報道記者看到其中一條資訊，涉及各公司大佬的手機號、郵箱等關鍵資訊，該數據持有者將關鍵數字抹去，留下QQ號，吸引買家。

　　不過，擁有這類功能的QQ群有很多，21世紀經濟報道記者申請進入數十個群，只有一個通過了請求。上述知情人士表示，這種情況並不意外。

　　黑産鏈條上的仲介人士面貌仍模糊不清。一些接近這些人士的白帽子稱，這些人的圈子很小，有些是“老鄉帶老鄉”的方式發展。而網路犯罪呈現的一些特徵也印證了這個特徵。2014年12月6日，公安部網路安全保衛局法制工作處處長李菁菁在一次論壇上介紹，目前我國網路犯罪案件地域化明顯，比如廣西南寧QQ好友詐騙、福建安溪網路購物詐騙、海南儋州網路中獎詐騙等。

　　通過中國裁判文書網的公開檢索也可以發現，這些地區相關案件判決書數量明顯高於周邊地區。

　　《刑法》第285條規定了非法入侵電腦資訊系統罪，通過已判決的司法案件也可以窺視黑産業的狀況。2014年1月1日至今，中國裁判文書網公佈了15份非法入侵電腦資訊系統罪判決書，其中除少數目的為買賣國家機關證件和事業單位印章外，大多是為非法獲取、買賣公民個人資訊。

　　如，2013年3月，1986年出生的陳某和1981年出生的崔某在兩家網路遊戲公司的系統中植入木馬，下載了幾十萬條遊戲賬號及密碼，並以1.4萬元價格賣出，此後這批賬號和密碼又在網路“黑市”中被輾轉交易。他們分別被判處有期徒刑4年和2年，並各處3000元和2000元的罰金。

　　不過，黑市上所出售的個人資訊並非都是來自非法侵入電腦系統，有些是來自內部人的監守自盜，這些案例也並不少見。

　　需求方

　　黑産的形成在於存在強大的市場需求，參與購買數據的最終需求者多種多樣。如，一些商業機構是強大的需求方，他們為了獲取潛在的客戶資料、了解競爭對手的核心數據，從而從黑市購買數據。還有一些創業公司，是為了充實客戶量，製造“虛假的繁榮”，以吸引風險投資。

　　一位業內人士對21世紀經濟報道記者分析了幾起案例，如2014年底，130萬考研考生資訊洩露。他分析稱，許多考研培訓機構需要這些數據，進而進行精準的市場推廣。

　　與此同理，此前還發生過新生兒資訊洩露事件。他稱，許多母嬰保健機構、培訓機構、奶粉經銷商、玩具經銷商等各種盈利性組織對此類資訊都有需求。

　　快遞服務業同樣是被黑産盯上的“重災區”。有白帽子對21世紀經濟報道記者表示，快遞單號十分容易獲得，只要對網址進行修改，就可以看到單號的具體資訊。而在一些交易網站上，快遞單號被明碼標價，幾毛錢就能買到一個單號資訊。

　　這樣的案例不勝枚舉，交通、醫療、教育、金融服務、酒店業、快遞業等公共服務行業機構都掌握了大量的用戶資訊，使之成為其上下游産業及類似機構覬覦的目標。

　　近年來，還有創業公司購買數據，迅速做大客戶群，從而吸引外來投資。該人士舉例，曾遇到過一位朋友的創業公司，通過購買數據，讓自己的用戶數據庫看起來龐大一些。這種情況並不少見。

　　企業為何“休眠”？

　　在數據洩露的過程中，數據保管者有著不可推卸的責任。

　　烏雲網合夥人鄔迪告訴21世紀經濟報道記者，幾乎每一個網站都可能存在漏洞。漏洞是造成洩露的一大因素，烏雲網建立的初衷之一就是為了減少因漏洞造成的洩露，在洩露之前對漏洞曝光，並通知廠商及時修補。

　　鄔迪表示，國內企業的安全意識並不強，一開始，很多企業在被通知漏洞後會選擇置之不理，這是造成之後資訊被洩露的原因之一。

　　21世紀經濟報道記者梳理了以往發生的資訊洩露事件，一些漏洞引起的問題反覆出現。

　　如此前被烏雲網頻頻爆出漏洞的12306網站，並非首次出現用戶資訊洩露事件，漏洞卻遲遲未修復。

　　再比如， 2014年3月22日，烏雲漏洞平臺發佈消息稱，攜程系統存在技術漏洞，可導致用戶個人資訊、銀行卡資訊等洩露。漏洞洩露的資訊包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼以及銀行卡6位Bin(用於支付的6位數字)。而在此之前，攜程資訊安全漏洞事件就已經多次發生，其中2014年1月，在被媒體指出儲存信用卡敏感資訊存在洩露風險時，攜程網回應稱採用的信用卡支付方式符合國際慣例。

　　業內人士分析，企業數據安全意識不強、懲處機制的不明是導致企業在漏洞發生後沒有及時修補的原因之一。

　　另外，數據庫的設計缺陷也是數據可能洩露的原因。一位數據庫的設計人員告訴21世紀經濟報道記者，一些公司尋找第三方設計數據庫，確實存在洩露的風險。雙方在合作之前，一般會簽署保密協議，但由於設計者可以看到客戶的核心數據，因此數據是否洩露，不僅要看保密協議，還要看設計者的人品。

　　一位創業公司的負責人告訴21世紀經濟報道記者，公司的數據庫自己設計，其考量的因素就是擔心核心用戶數據洩露。

　　政府網站同樣是高危行業，一位白帽子告訴21世紀經濟報道記者，他們一般只去測試省級政府網站的漏洞，更低層級的政府網站漏洞甚至可能找不到負責人。有些網站的技術水準，在他們看來根本達不到採購中所需耗費的價格。

　　相對樂觀的是，隨著大數據和移動網際網路在各行各業的深入運用，很多廠商的資訊安全意識都在提高，表現之一是在接收到漏洞舉報後大多會及時修補。而發現和舉報漏洞的白帽子人才市場一旦形成，從事黑産的人就會越來越少。

　　“讓黑産上的人變成白帽子，這是未來的方向。”一位白帽子對21世紀經濟報道記者説。(編輯 譚翊飛)