目录
- - - - -
0.前言
1. 内鬼
2. 黑客
3. 码奴
4. 掮客
5. 尾声
2019年8月3日,因古装电视剧《陈情令》大火的演员王一博发了一条微博,称自己的手机号码被泄露,继而遭受到“私生饭”的疯狂骚扰。
明星信息被泄露,似乎早已不算是新闻了。
从航班行程信息到个人手机号码,从酒店住址到身份证号,热情的粉丝赋予了明星信息巨大的价值,进而创造庞大的需求市场,使之甚至能在闲鱼、微博、微信等渠道进行公开售卖,标价几元至几百元不等。
有钱挣的地方就有生意人,有生意人就不缺产业链。水面下的骇浪惊涛,将一只只新瓜送到围观者的口边。
但有钱挣的,只有王一博的信息吗?
时间回到一年前的夏天。2018年7月的山东,当地警方破获一起特大侵犯公民个人信息案,共查获公民个人信息数据数百亿条、数据量达4000GB,并抓获犯罪嫌疑人57名。顺着产业链,警方一次性打掉涉案公司11家,其中涉及已在新三板上市的号称“大数据行业第一股”的知名企业“数据堂”(831428.OC)。一时间,舆论哗然。
一个月后的浙江绍兴,正在新三板申请挂牌的瑞智华胜(872382.OC)临时发布公告,披露公司的法人代表、董事、监事被批捕,自此拉开了“史上最大规模数据窃取案”的序幕。
警方透露,瑞智华胜通过与电信、移动、联通、铁通、广电等11个省市的运营商签署正式合作协议并获得登录权限,再利用非法方式从运营商处窃取信息。据悉,该公司利用非法窃取的30亿条用户数据为包括联想、佳能、奔驰、宝马、日产、天猫、苏宁易购、酷派、雀巢、佳能、天猫、携程、和美图等众多知名企业提供产品营销服务。旗下一家公司仅一年的营利就多达3000万元。在赚得盆满钵满的同时,腾讯、百度、阿里、京东、微博等多家互联网公司和他们的用户可就没有那么幸运。一时间,几乎国内所有的大型互联网企业均被“雁过拔毛”。
瑞智华胜事发半个月后,“华住酒店集团被曝旗下所有酒店涉及2.4亿条用户资料遭到泄露”、“至少90万条疑似顺丰快递用户个人信息流向了市场”……一系列信息泄露的消息浮出水面。
吃瓜群众们突然开始忧心起自己的开房记录、邮寄信息,低头端详起了自己手中的瓜,反复确认眼不眼熟。但即使热切的关注终于逐渐让水面下的冰山难再隐藏,数据黑产军团,仍是一个藏匿在穹顶之下阴暗处的群体。像罗姨笔下的食死徒,他们灰色、庞大、面目模糊但又无处不在,黑客、码奴、内鬼、掮客皆是他们的幻影……
图片来自电影《哈利·波特》
2019年4月21日,重庆江北机场熙熙攘攘,与往常无异。但在这一天,一条简短的新闻几乎同时在各大社交平台和门户网站出现:“北大弑母案”犯罪嫌疑人吴谢宇被抓获,瞬间舆论哗然。就在人们迫切追问他的弑母动机之时,警方披露了吴谢宇在案发后人间蒸发长达三年之久的秘密。原来,神通广大的不是吴谢宇本人,而是他从网上购买的30多张假身份证,这些假身份证不仅帮助他成功地骗过了火车、高铁的身份验证系统,还协助他游走于福州、河南、上海、重庆等地。
个人身份证件的泄露已不算罕见,但假身份证横行于世,如此猖獗,还是令人咋舌。根据《财经》杂志的不完全统计,国内个人信息泄露数已达55.3亿条左右,平均每人就有四条相关的个人信息遭泄露,这些信息最终的命运,是在黑市反复倒手,直至被榨干价值。而在这亿万级别的泄露信息中,约有80%是来自企业内鬼。
图片来自电影《Who Am I - Kein System ist sicher》
“有人的地方就有江湖,有江湖的地方就有利益”。银行、保险公司、电信运营商、电商平台、快递公司……几乎所有能接触到用户数据的产业都为内鬼留下了诸多可供利用的漏洞。犹如一场猫鼠游戏,不管企业如何强化内部管理制度,但只要仍存在裂缝,“老鼠”们就能在暗中“取信”、“拿料”,吱吱滋生,蝇营狗苟。像其他产业一样,数据黑产也已形成了三级产业链。内鬼们拿到料之后便会通过各种渠道卖给大中间商,大中间商再转手卖给小中间商,小中间商最后卖给有需求的人。
跟外部攻击者相比,内鬼鲜少出现在公众视野中,但他们带来的危害,丝毫不亚于外部攻击者。他们中有保险推销员、银行业务员、电信话务员、快递小哥等各种身份。这些职位的人员流动性非常高,且能够时时接触用户的敏感信息,因此成为了“内鬼”大军的主要构成。“犹如蒸汽汽车取代四轮马车”一样,起初他们只能一条条手抄或者拍照进行记录,当换上计算机脚本程序后,一秒钟可以自动摘录几十上百条信息的便利大大提高了数据窃取的效率。
更为恐怖的是,由于不少内鬼是企业内部的一线业务人员或技术人员,本身具备访问特定数据的权限,他们常常会有意识地控制访问频次以避开因短时间内过度访问造成的系统自动警报,这使得企业的管理者很难察觉企业内部的操作风险和异常。
更多时候,即使揪出了内鬼,为了维护企业形象和品牌声誉,不少企业对内鬼只能悄悄开除,根本不敢告知用户,更不用说公开报警。只有在大面积的数据泄露并引发舆论事件的时候,相关企业才会出来公关,发个声明“以表决心”,这恰恰助长了内鬼们的侥幸心理和为所欲为的嚣张气焰。
并不是所有黑客,都像电影里一般活得高大上。
事实上,有些黑客甚至只是现实世界里的失意者。学历不高、收入不固定,靠着师傅交授的技术、一台电脑和一条网线谋取生活。为了技术变现,有些人没有抵挡住诱惑,选择了一条最为简单粗暴的道路——加入黑产大军,进行数据窃取。
坏人并不可怕,可怕的是坏人有文化。
真正让人感到恐惧的,是数据黑产并非无序猖獗,反而有着高度严密的产业链。这其中包括了恶意软件、DDoS、敲诈勒索、大数据撞库、网络钓鱼、恶意广告及业务欺诈等等环节。其中最为引人注目的是黑客们通过拖库、洗库与撞库的方式窃取信息。
黑客利用超级SQL注入工具、网站漏洞扫描软件,批量扫描网站程序漏洞等技术手段非法访问并获取企业数据库的数据,这一过程被业内成为拖库(也称“脱库”)。通过完成拖库行为,黑客实现了将大量企业最核心的数据资料转移到自己手中,接下来就是洗库。黑客会通过一系列技术手段清洗数据,剔除部分重复和无效的数据,只剩下有价值可变现的用户数据。这部分数据除了丰富用户画像外,往往会流向黑产的下游进行变现。
游戏行业就是黑客们经常“光顾”的重灾区之一。在游戏中,被盗号无疑是所有玩家的噩梦,对于长年氪金的土豪更是致命的打击。黑客们往往会利用部分玩家“人傻钱多”这一弱点布放钓鱼网站和木马程序,通过制造不安全的网络环境来窃取玩家的游戏账号密码。由于各大游戏平台一般设置了账号保护措施,玩家一旦发现异常会通过手机验证码认证的方式更改密码。因此黑客们往往不急着兜售游戏号,而会在第一时间进行“洗号”。
所谓的洗号其实就像洗库一样,黑客将游戏账号内所有有价值的装备、材料、游戏币等盗走,接着在游戏交易网站进行兜售。这其中,往往还需要“倒爷”的协助。在游戏中,倒爷其实就是游戏中的材料商人,他们会将从黑客手中收购的材料在游戏内摆摊出售,转手其他玩家后赚取游戏币(此时售卖的游戏币被称为“黑币”),之后再将黑币按一定折扣出售变现。
除了拖库、洗库外,还有一种窃取数据的常用方法是撞库攻击,撞库也可以使黑客们收货颇丰。有报告称以“几个密码通用于大多数账号”的中国网民占比达到50.8%,正是因为很多用户习惯在不同的网站平台上使用同一套账号密码,才给了黑客们可趁之机。
黑客可以通过获取用户在A网站的账户从而尝试登录B网站,这就完成一次“撞库”尝试。如果撞库成功,黑客可以在不入侵B网站的情况下就轻松获得B网站甚至更多网站留存的用户数据。在黑客眼中,大数据的价值在于“大”,通过拖库、洗库、撞库能够关联不同网站的用户数据,形成更多维度和更加全面的“裸奔者”画像,此时相较于单一的信息出售,经过加工、清洗的画像信息的价值必然水涨船高。
在早期的数据盗窃过程中,这几个阶段几乎都是由同一个团队甚至同一个人来做。发展到今天,随着分工的精细化和对风险隔离的需求,已经很少有人将拖库、洗库一起做,转而采取了定制化或交易化模式,部分负责洗库的黑产团队甚至摇身一变把自己打造成了大数据处理公司。当然,黑客早已不满足于利用简单粗暴的木马病毒,而是通过对社会工程学的研究,不断升级犯罪技术。
针对黑产套利,企业自然也不会坐以待毙。为了防止黑客的脚本登录,企业风控通常会强化登录验证,最常见的就是利用验证码(CAPTCHA)判断是否为活体操作。能正确回答的即是人类,反之则为机器。目前,用户在登各大网站、App时经常可以见到包括“字符式”、“字符 点选式”、“滑块拼图式”这一类验证码,此外还有难度逆天的12306同款图片人工答题式验证码。验证码设计得越来越复杂,其目的就是为了区分人类和计算机程序,让计算机无法解答。
然而,道高一尺,魔高一丈,在黑产的江湖中黑客从来不会坐以待毙。黑客窃取网络数据库后需要将有价值的数据通过验证的方式筛选出来,这一过程在业内被称为“晒密”。而晒密最为核心的障碍是要绕过企业的安全验证系统,每天面对数以亿计的“晒密需求”,追求效率的黑客们疲于逐一点击验证。有需求的地方就会有市场,批量识别的市场需求催生了打码平台,一群被业内戏称为“码奴”的人群也随之应运而生。
码奴这一群体是受雇于打码平台或与打码平台合作的网赚平台,其每天的任务就是接收平台打包推送过来的验证码,人工逐条比对、识别验证码并进行反馈。码奴们可以选择想要接收的验证码的复杂度,根据验证码的复杂程度和输入的准确率,打1000个验证码会挣取1元至25元不等,每天工作12小时,最多可以输入2万个验证码,可以挣到300多元。
还有一种方式是码奴通过网赚平台注册登录后领取工号,通过类似领任务的形式完成每日的任务量,并获得一定的金币奖励。根据网赚平台“有赚网”的规则介绍,每10000个金币价值等同于1元人民币。按照这一计算方法,每天打码20000个可以获得约200元的收入。
码奴通过自身劳动从打码平台或网赚平台获得收入,网赚平台与打码平台合作进行利益分成,打码平台将服务封装提供给黑客、羊毛党、黄牛、水军等,一条处于灰色地带的打码产业链就此铺开。
如今,随着人工智能的应用,一种更为“高级”的打码方式——“AI打码”横空出世。通过运用人工智能机器深度学习技术训练机器,由此训练得到的模型具有非常强的适用性,大大提升了识别的正确率和效率。而且,“AI码奴”还能够反馈识别失败的错误样本,并不断自我学习以完善准确度。AI打码的遍地开花无疑增长了黑产犯罪的气焰,但因为法律适用、犯罪行为认定等多方面的原因,即使对下游的黑产犯罪开展打击,司法机关对于“打码平台”这一上游环节,真正认定为共同犯罪的却是少之又少。由于缺乏法律的有效规制,打码平台和码奴们仍属于灰色人群,游离于法律的边缘。
“我们这里交易1个亿,黑市交易99个亿。”这是来自贵阳大数据交易所的执行总裁王叁寿的原话,语气中透递着不满和无奈。更令人遗憾的是,网民每年因个人信息泄露造成的经济损失远不止于此。
根据中国互联网协会发布的《中国网民权益保护调查报告》显示,仅2017年,国内6.88亿网民因个人信息泄露造成的经济损失就已经达到了915亿元。在这巨额的损失之中,处于黑产产业链下游、进行数据贩卖、实行信息犯罪的掮客和条商们起到了举足轻重的作用。
从行业分布来看,黑产军团已经入侵了互联网的方方面面,并生成了标准化的分工体系,从钓鱼零售、域名贩子、个信批发到证件贩子、电话诈骗、短信群发,再到在线推广、现金取现、黄赌毒网站,其流程严密,复制性高,而且极为灵活,随机应变。在这之中,暗网因用户身份难以追踪的特性,成为了信息掮客的聚集之地。
掮客们在这片交易活跃的法律盲区之中,攫取暴利,如鱼得水。他们可以毫无忌惮地向上游黑客或内鬼购买数据、也可以向下游数据需求者兜售数据。数据需求者的成分也参差不齐,有从事诈骗犯罪的不法分子,也有来历不明的广告商,甚至某些缺乏数据的中小型互联网金融平台有时也充当着掮客的主顾。收购来的数据除了应用于精准营销外,有时还会用与身份验证、催收或丰富自身风控模型等。
在保证身份匿名化之余,掮客们用来交易的货币同样也需要匿名。因此像比特币(Bitcoin)这种本身是为了匿名流通而设计的加密货币备受青睐,成为掮客在暗网交易的主要货币。这种全匿名的交易模式,为网络黑产的交易提供了非常便捷的支付手段,吸引了全球的犯罪分子。在去年发生的顺丰用户数据泄露事件中,ID为“bijiaodiao1688”的用户就在暗网中文论坛中以2个比特币(时价约1.4万美元)的售价叫卖3亿条用户个人信息。
更令人心怵的是,部分知名企业甚至上市公司也在黑产产业链中进行着数据买卖的勾当。相比于地下网络黑产,这些企业只要经过用户的授权同意并在法律法规允许的范围内处理信息,在个人信息安全上本身是没有“原罪”的。然而问题在于,面对巨额的利益诱惑,这些头部企业能否抵御黑产军团的策反?屡屡发生的信息泄漏事件给了我们一记响亮的耳光,仅2018年,就有两家新三板上市的数据企业因信息窃取和非法出售问题被立案、起诉。
其中,除了前文提及的数据堂,同样作恶的还有简历大数据公司——巧达科技。巧达科技自称拥有中国最大的简历数据库,其数据库包含2.2亿自然人的简历、简历累计总数37亿份。此外,巧达科技还拥有超过10亿份通讯录,并且掌握着与此相关的社会关系、组织关系、家庭关系数据。这也意味着,假如某APP提供某用户手机号,巧达科技将其与自有的简历库进行匹配,便能将该自然人包括年龄、性别、行业、职业、户籍、收入、教育经历、工作经历、关系网等在内的信息反馈给APP,而这些信息,几乎涵盖了个人所有的数据维度。
就是这样一家掌握着超过57%中国人个人信息的简历公司,因未经授权使用、贩卖简历信息,最后被警察一锅端。后怕之余,何种个人信息已被泄露,泄露了多少信息,早已无从得知。
高盛首席互联网研究分析师希思· 特里(Heath Terry)在Facebook信息泄露门之后曾向CNBC表示:“每一个快速成长的科技巨头都有可能面临类似的危机。从某种程度上讲,如果企业不能有效防范每一次危机,则终有一次将会被迫成为黑产链条中的一环,并且是作为信息源头的关键一环。”如果连我们的上市企业在黑产大军面前都无法守住底线,那公民个人的信息安全势必如临深渊。
在数十年前的德国,通过极尽细致的人口普查,掌握了广大疆域内人口组成的纳粹政权,在短短几个月之内精准圈出了近乎所有犹太人。屠杀的残酷深深刺痛了每一个欧洲公民的心,也刺激了欧罗巴大地在战争结束至今的漫长岁月里,始终充当着引领世界个人信息保护大潮的旗手。
在数十年后的中国,阳光无法触及的地方,黑色的交易仍在进行。频发的信息泄露新闻,渐渐让每个人感受到被数据黑产所支配的恐惧。信息时代,谁拥有了数据,谁就拥有了无限财富。巨大利润面前,铤而走险者屡禁不止,到底有多少人隐藏在人群中、粉饰于舞台上,贪婪地寻找着任何一条可供窃取的裂缝?又有多少个人权利的捍卫者、潜在的受害者能联起手来,共克时艰?利益之前,必现纷争,势必经年。引用史中老师在《远征漠北——腾讯的黑产战争》一文中的话:“这场战争如同一盘巨大的围棋,在黑白的交锋面上,那个决定生死的点位,白棋不占,自会有黑棋来占。世界原本如此。”在Siri都在窃听我们的日子里,也许没有人能只是数据黑产战争的局外人。
参考资料:
企鹅智酷《中国网民个人隐私状况调查报告》
中国互联网协会《中国网民权益保护调查报告》
京东研究院《数字金融反欺诈白皮书》
财经:追踪“数据堂”:特大侵犯个人信息专案,震动大数据行业
新京报:弑母嫌犯吴谢宇持多张身份证背后:网络暗藏黑色产业链
腾讯科技:多数数据泄漏是内鬼所为:售价惊人!谁在盯着我们的隐私?
浅黑科技:远征漠北——腾讯的黑产战争
发现作者