12月5日,北京市公安局海淀分局宣佈破獲一起新型特大非法獲取公民個人資訊案,查獲包括手機號在內的公民資訊100余萬條。
根據中國網際網路協會發佈的《中國網民權益保護調查報告2016》,2016年上半年,網民平均每週收到垃圾短信20.6條、騷擾電話21.3個。
私人號碼成了“公開資訊”,手機用戶不堪其擾。到底是誰賣了我的手機號?
網頁也能“偷走”手機資訊
“我用手機搜索了血小板偏低的危害,就是瀏覽網頁,沒有輸入手機號,沒過幾個小時就有醫院打電話介紹治療血小板偏低的特效藥。醫院是怎麼知道我的手機號的?”
早在2015年,就有網友在網路上詢問,有類似遭遇的網友不在少數。
海淀分局破獲的這起案件,給出了答案。“某些網站植入一段惡意代碼,只要用戶使用手機流量打開網頁,駭客就會利用運營商漏洞,抓取到用戶的手機號、IP 地址、訪問時間、搜索時輸入的關鍵詞等資訊,”海淀分局網安大隊副大隊長董立波介紹,“這是一種新型駭客手段,能在用戶不知情的情況下獲取個人資訊,進而 開展精準行銷甚至電信詐騙,多出現在醫療、教育、貸款等網站。”
看似簡單的代碼背後,暗藏一條黑色産業鏈。董立波介紹,本案所涉黑色産 業鏈分三個層級。上游是惡意代碼的生産者,下游則是植入惡意代碼的網站,中間商在兩者之間牽線搭橋。下游網站雖已購買惡意代碼,但不能直接看到被抓取的個 人資訊,得按條數或者包月從中間商手中購買。中間商從上游網站獲取代碼的價格是600元,收購的個人資訊8分至1角錢一條;轉手賣給下游網站時,代碼價格 漲到1000元,個人資訊則能賣到5角至1元錢一條。
上游網站“薄利多銷”,中間商網站賺取差價,下游網站精準出擊。黑色産業鏈各個環節“皆大歡喜”,用戶則成為買單者和受害者。
“我們通過技術手段對全網網站進行檢測,鑒別哪些網站植入了竊取公民資訊的腳本或者駭客工具,通過溯源摸清産業鏈的規模和上下級關係,並把這些情況提供 給警方。”百度安全實驗室X—Team負責人黃正説。據百度安全團隊統計,有4萬多家網站存在此類行為,非法獲取超過5000條手機號資訊的服務平臺有 27家。若不採取措施,預計每天有500萬人次點擊中招。
外賊內鬼造成資訊裸奔
據統計,截至今年8月,三家基礎電信企業的行動電話用戶總數達13.8億。而僅在2015年下半年至2016年上半年,因垃圾資訊、詐騙資訊、個人資訊洩露等造成的總體經濟損失就高達915億元。
一些駭客利用運營商或網站平臺的漏洞,採用技術手段非法獲取公民資訊。去年引起廣泛關注的“徐玉玉案”中,駭客杜某非法入侵山東省高考資訊平臺,竊取64萬餘條考生資訊;購買這些資訊的徐某以發放助學金為名義撥打詐騙電話,造成了徐玉玉離世的悲劇。
也有內鬼作怪,把正常途徑獲取的公民資訊轉手賣給他人。今年6月,浙江寧波警方破獲一起案件,“上游賣家”程某出售多年從事通信、房産等行業積累的個人資訊,涉及公民資訊1.2億條之多。
今年2月,有媒體曝光稱,只要報上手機號,就能從資訊販子手中獲取大量公民資訊,包括精確到秒的打車記錄、來電去電號碼記錄和通話時長的手機通話記錄、誤差在50米以內的實時定位資訊等。
中國傳媒大學法律系副教授劉文傑説:“手機號本身包含的信息有限,但如果和其他公民資訊組合起來,比如姓名、身份等,能大大提高精準行銷或者電信詐騙的 成功概率。”洩露或者非法傳播包括手機號在內的個人資訊,除了可能侵犯公民的隱私權和個人資訊權,還可能導致公民的財産權和其他人身權利受到侵害。
標本兼治打擊黑色産業
6月1日,《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》正式施行,明確了公民個人資訊的範圍和侵犯公民個人資訊罪的定罪量刑標準。
根據這一司法解釋,非法獲取、出售或提供公民手機號資訊達到5000條以上,屬於“情節嚴重”。業內人士認為,這為裁決公民資訊洩露案件提供了統一尺規,起到了威懾和預防的作用。
“不得不説,黑色産業自身也在不斷‘進步’,不會因為新規出臺就‘坐以待斃’,他們想盡辦法更新技術、逃避監管、繼續牟利,有的黑色産業利用地域差和時間差,專挑監管薄弱的地方和時段下手,這對我們提出了挑戰。”百度安全事業部總經理馬傑説。
目前,多家網際網路企業已開始使用人工智慧技術和機器學習技術監測抗擊黑色産業,保護網路安全。
既要治標,更要治本。“解決手機號等公民資訊洩露問題,不能只處罰下游買家,要從網站平臺等源頭下手。手機號洩露的源頭在運營商或者網站平臺,財産資訊 洩露的源頭在金融業,醫療資訊洩露的源頭在醫療業。所涉單位要嚴格履行職責,從嚴管理運營、從嚴管理隊伍,為公民資訊提供安全保障,發生資訊洩露時要及時 預警,並向主管部門報告。對有責任的源頭單位,有關主管部門要加大監管,及時處理。”劉文傑説。
(責任編輯:王擎宇)