▲ 佟林找到了购买隐私数据其中一个根据地,通过电报按图索骥、购买服务,摸清了灰产的整个服务架构和运作流程。 © Phala可信网络
▌猖獗的信息灰产
南都观察 :所以如今信息灰产已经是一个很普遍的产业了吗?
佟 林 :是的,举一个很宏观的例子,贵阳大数据交易所的创始人曾经说过,黑市数据交易额大概是合法数据交易额的100倍。
南都观察 :都有哪些类型的信息会被用来买卖交易呢?
佟 林 :一切信息,线上线下的都可以。包括身份证号、姓名、家庭地址、手机号、曾经用过的账号密码、QQ群关系等,还有一些线下的信息,比如手机定位轨迹、银行流水、消费记录,都能查到,只不过看你愿意付几块钱还是几百块钱。最贵的是银行流水,花1000多块钱也能查到。
南都观察 :整个信息灰产大概是怎样运行的?产业上下游有哪些主要主体?
佟 林 :分卖方和买方两个部分说吧。卖方主要有三类人群,第一类是最上游的黑客,他们负责主动去扒新数据,比如这次微博泄露的信息就属于新数据。黑客基本处在产业链的上游地位,掌握数据源,也掌握话语权。
黑客有时候会直接和一些企业合作,假如有一家主打医疗产品的互联网公司想要融资,但缺少训练数据(数据挖掘过程中用于数据挖掘模型构建的数据),便可能会委托黑客攻击几个医院的数据库。企业和黑客达成一个协议,付给黑客几十万,把数据扒下来,而且黑客要保证前几个月这些数据不能流入黑市,只能供企业使用,接着企业就拿这些数据去找融资公司的VC(Venture Capital,风险投资)谈生意。
与此同时,黑客手中还有一份数据的副本,如果他是一个讲诚信的黑客,会等到协议期期满,再把这些数据丢到黑市里去进行关联。所谓关联,就是把这些新的数据和既有的数据库结合在一起,以索引到更多的信息,相当于黑客在拿了客户的钱之后将这些信息再进行二次转卖,达到利益最大化。这就是黑客在干的事,他们基本处于食物链顶端。
还有一部分人和黑客类似,但比较特殊,被称之为“内鬼”。像我这次被人肉出来的信息显然是一个执法机构后台索引出来的结果。一般来说,身份证号、户口本以及开房记录、行程轨迹等信息,很可能是由一些执法机构或互联网公司的“内鬼”所提供。
第二类是中间商,比如我这次调查的“社工库”,它已经形成了一个平台来连接买方和卖方,整个交易过程也非常自动化,和淘宝差不多,这个就属于二次开发,也是中间商主要干的工作。
最后一类则是销售方,这些人会冒着极大的风险在QQ群、微信群、百度贴吧等地方去分发业务,碰到感兴趣的人就会找他们购买。
至于买方,主要包括几类,一种是刚刚说的有数据需求的普通公司,然后还有一些诈骗集团也会有数据需求,比如一个针对保健品的诈骗,这些骗子可能就需要60岁以上患有高血压的老人的手机号,然后针对这些手机号去进行诈骗。这些是比较重要的一类买方。
而近几年需求上升比较快的是追债公司,有些P2P公司收不回账就会去找追债公司讨债,这些追债公司就会去买欠债人的个人信息,包括轨迹定位,这样就比较方便他去追债。还有一些比较散的需求,比如私家侦探以及一些有特殊需求的普通人。
南都观察 :目前打击信息灰产的力量主要来自哪里?分别起到怎样的作用?
佟 林 :主要是网警,我们叫“净网计划”,每年会集中打击一两次。以往几年还能有一些收获,可以抓一批下游的销售方和买方。但我这次调查揭露的是比较偏中游的一个环节,老实讲不太可能能抓到。几个原因,第一是所有的信息交流都在Telegram(一款跨平台的即时通讯软件)上进行,它是端到端加密,没法像微信、QQ一样去获取聊天记录,也不可能去获取身份;第二是因为所有交易使用的都是数字货币,无法关联到真身;第三是销售端普遍使用假身份,都是从黑市购买的“四件套”(包括身份证、这张身份证办理的银行卡、该银行卡U盾以及绑定该银行卡的手机SIM卡);最后还有VPN(Virtual Private Network,虚拟专用网络)的原因,以前网警追查一个人,靠IP地址就能索引到你的位置,但普遍使用VPN后这种方法就不太可行了。
南都观察 :听起来现在很难有有效的方法去打击信息灰产了。
佟 林 :如果说投入足够的执法成本,也许能有一定的效果。比如有一些不法分子会因为不够谨慎或想要耀武扬威而泄露一些信息,执法机关是有可能查出来的,像韩国的N号房事件,运营者使用的也是Telegram,但还是被找到了。其次,有一些虚拟货币的交易也有可能能查到,不过得依据具体情况。
南都观察 :前面你也说到,几乎每个人都在信息“裸奔”。从你的观察来看,目前大众对于信息安全的问题有足够的了解和重视吗?
佟 林 :我自己感觉这种隐私保护的意识是有所觉醒的,比如去年很火的换脸应用,因为有信息泄露的风险很快就引起了大众反弹。但从产业的角度来讲,保护意识不能靠大众,而要靠国家的顶层设计来强制执行。举个例子,在欧盟和美国,分别有GDPR(General Data Protection Regulation,通用数据保护条例)和CCPA(California Consumer Privacy Act,加州消费者隐私法案),只要互联网公司不符合隐私保护法案的设计,每年会罚其最多4%的收入,可能达到数十亿美元,因此被惩罚的公司非常有动力去改造自己的互联网设计,真正去落实保护措施,也希望我国能尽快参考实施。
而对于大众来说,最好的保护措施就是尽快改掉所有密码,尽量使用不同的密码,过于简单的密码非常容易被集体攻破。其他的也做不了什么,已经泄露的数据你无能为力,而实名制会让你更容易被人肉。因为实名制推行后,这些实名数据存放在各个互联网公司中,但整体对实名数据的保护又不够有力,就可能会演变成全民裸奔,无一例外,所以还是希望以后能加强管理。