|
學生被詐騙離世背后的數據販賣鏈條:幾分鐘可黑進教育局網站
短短3天之內,接連發生兩起學生遭遇電信詐騙,繼而發生心臟驟停離世慘劇。輿論在痛斥詐騙分子的同時,也開始關注:學生的信息是如何被精準泄漏的? 據沂蒙晚報報道,山東臨沂羅莊女孩徐玉玉8月19日接到了一通陌生電話,對方聲稱有一筆2600元助學金要發放給她。按照對方要求,徐玉玉將準備交學費的9900元打入了騙子提供的賬號……讓騙子得手的一個關鍵是,在這通陌生電話之前,徐玉玉曾接到過教育部門發放助學金的通知。這意味著,騙子精準掌握了徐玉玉的多類個人信息。 8月25日,一名資深計算機技術人員對澎湃新聞(www.thepaper.cn)表示,徐玉玉的信息有可能是被黑客盜取后,賣給了詐騙人員。據他稱,有團隊曾試過“侵入”臨沂周邊多個市縣教育局的網站,發現幾分鐘就可以進入,相關信息可以隨意瀏覽和下載。 這名技術人員告訴澎湃新聞,目前黑客盜取個人信息,已形成一個巨大產業鏈,一部分黑客在黑進某些網站獲取信息后,再在一些論壇、社交群中販賣信息。 與之相對應的,網絡上的數據販子則隨處可見。 據部分數據販子稱,他們手上有全國各地區各行業的各類數據,不只是學生的電話數據,股民的賬戶數據、機票數據、網絡購物數據、新生兒數據等等,他們都可以出售。 網絡安全專家、獵豹移動安全研究員李鐵軍對澎湃新聞(www.thepaper.cn),其實不是這些黑客的技術有多好,主要是像學校、醫院等機構在網絡安全防范上投入不夠,導致黑客用很簡單技術就可以侵入,而這些網站存有大量個人信息。 數據販子猖獗:有人宣稱“國內學校,有一半數據我都有” 經知情人士指點,澎湃新聞(www.thepaper.cn)記者以“購買數據”、“電話銷售”等關鍵詞,通過QQ軟件查找,找到一兩百個相關的群,這些群銷售包括“精確數據購買”、“機票數據”、“淘寶數據”、“保健數據”、“電話數據”、“豐胸減肥數據“、“一手新生兒數據”等等手機號碼資源。 記者通過QQ加好友方式聯系到了幾名數據賣家。 據幾位賣家介紹,他們主要是做電話數據銷售,這種數據可以簡單分為兩類,一類是比較精準的,電話與機主的姓名都有;另一類是比較模糊,僅有電話號碼。 賣家稱,在售的數據類型包括,今年新開的股票賬戶,這種一般兜售股票資產類的公司會買的比較多;還有像老年人電話數據,可以推銷保健品之類的;當然還有像學生類的電話數據,但買這類數據會相對少些。原因是學生本身不太好騙,且經濟能力有限。 這種數據根據新鮮程度,價格也不一樣。 根據這幾名賣家的報價,100元可以買到2000個電話信息、300元能買10000個電話信息;10萬個電話信息賣到1200元,20萬個電話信息賣到1800元。 賣家新拿到的信息則貴一點。一位賣家稱,8月份剛拿到的數據1毛一條。當然,如果是“沒有賣過”的純一手數據,售價可能會高到1-2元。 關于售賣數據的范圍,有賣家宣稱銷售的是全國數據,買家可以根據地區來選擇。 某專業財經媒體的報道還提及,有“業內人士”宣稱,“國內學校,有一半數據我都有。即使手頭沒有的,只要你告訴我名字,我也都能拿到! 以往,購買高中畢業生數據的,多是一些不正規的成人教育或者網絡教育學校,但隨著生源的減少,這類生意已經熄火。 新的買主中,職業騙子占了大多數。 誰泄漏了個人隱私信息:教育機構信息安全投入不足 關于這些個人隱私數據的來源,絕大多數賣家都不愿透露。 有一位賣家稱,他們獲得電話號碼的其中一個來源,是通過財經網站提取的。 李鐵軍解釋,這可能是通過一個程序,只要用戶登錄這個網站,電話號碼就會被抓取,但這些電話號碼絕大多數不是實名的。 前述賣家還透露,其出售的數據的另一個來源是,自己去“開發”。這個所謂“開發”,正是向銀行、證券公司、大型門戶網站、購物網站等機構里的個人去購買。 不過該賣家稱,現在這樣的渠道越來越難了。 除了上述渠道,李鐵軍告訴澎湃新聞(www.thepaper.cn)記者,黑客正成為泄漏個人信息產業鏈上最大一環,一部分黑客開始專門倒賣各種數據,一些教育機構、醫療機構的數據往往很容易被盜取,因為這些機構的業務現在與互聯網的結合很緊密,但這些機構在國內一直是比較缺錢的部門,而做好信息安全需要比較大的投入,其在選擇安全方案上就受限,這還包括后續的投入和維護,所以這些機構面臨掌握了大量信息,但安全方面卻是做得不夠。 按教育部、公安部發布的《教育行業信息系統安全等級保護定級工作指南(試行)》、《教育部 公安部關于全面推進教育行業信息安全等級保護工作的通知》,在全國開展信息系統安全等級定級備案工作。兩份通知中,對教育行業建議的最高安全保護等級為第三級(級數越高要求越高),當然學?梢愿鶕约盒枨筇嵘踩Wo等級。 可資對照的是,銀行部分系統的最高防護等級為第四級。 “另外一個情況是,這些教育機構網站存在的漏洞并不高深,很容易被入侵“,李鐵軍表示。 上述資深計算機技術人員也表示過,其了解到,一個黑客團隊幾分鐘內繞過某市教育局的網站防火墻進入后臺。 監管缺位:防范仍只能靠個人 那么,問題這么多,監管去哪兒了。 關于個人隱私泄漏帶來的損失甚至災難,一位地方經偵警官表示很無奈,他們很理解也很同情受害者,但他們對這類案件也很苦惱,有時候牽涉金額不大,但案件的調查卻很復雜,一方面涉及查案偵查地域范圍會很廣,另一方面一些零碎案件可能要積累到一定時候才一起偵辦,對他們來說,精力很有限,不太可能到處去滅火。 這名警官認為,如果不從根本上解決問題,很難通過公安、司法機構來減少案件的發生。 據光明網報道,北京市公安局網絡安全保衛總隊與360互聯網安全中心聯合發起成立的網絡詐騙全民舉報平臺——獵網平臺于去年底發布的《現代網絡詐騙產業鏈分析報告》初步統計,在中國,從事網絡詐騙產業的人數至少有160萬人,“年產值”超過1100億元。 李鐵軍直言,現在中國個人信息泄漏正面臨失控的危險,每個人都不安全,但這個系統的改善需要花的時間會非常長,包括國家相關法律法規的出臺、司法機關辦案能力是否跟的上、還有管理數據機構能力是否能提升等等,這中間需要花的時間和代價都會很大。 光明網在一篇評論中直言,騙子之所以得手,其“成功”之處遠不止于電信主管部門和電信運營商對“騙子專用號段”公然存在的無睹和無視,其他掌握公民個人信息的部門和機構、以及負責審核(騙子開卡)客戶信息的相關銀行,都不能與此撇開關系。 李鐵軍提醒,在相關監管完善之前,最主要的防范還是靠自己,盡可能保護個人的信息,“比如在提供個人數據時,只有在那些必須提供個人真實數據的地方提供! 另外,李鐵軍還認為,在這些容易泄露信息機構缺乏安全方面的管理人才時,這些機構找是不是可以找專門的第三方安全服務公司,比如現在用的較多的云技術,可以將他們的資料交給專業公司的云服務器托管,這些專業公司被黑客攻陷的可能遠要低于他們本身。雖然無法從根本上解決這個問題,但可以安全方面上個臺階。 李鐵軍,社會不應該通過一個少女的死亡來警醒民眾。在法制、網絡安全相對滯后的今天,需要改善的地方也有太多,更需要個人清醒認識到這種電信騙局,讓悲劇不再發生。 黑客攻擊網站導致大批個人信息泄露 3、公民信息外泄:實名制的惡果 實施實名制后兩個月,韓國網絡振興院和信息通信部聯合進行調查,發現實施實名制之后,惡意網帖僅僅減少了2.2%。2010年4月,首爾大學的一項研究稱,該制度實施后,誹謗跟帖數量從13.9%減少到12.2%,僅減少了1.7個百分點。據分析,部分原因在于,由于“法不責眾”,很多人用真實姓名登記后繼續毫無忌憚地進行攻擊謾罵,據調查,2/3曾發表惡意網帖的網民對是否實名并不在意。 網絡實名制的初衷是遏制網絡暴力,但令人意想不到的是,“人肉搜索”這一行為在實名制后變本加厲,更加徹底。實施網絡實名制后,韓國主要網站成了黑客們的主要攻擊對象,實名登記的政策給網絡黑手打開方便之門。2008年針對eBay韓國子網站的黑客攻擊,導致1800余萬網民真實資料泄漏。 然而,2011年7月,韓國發生了空前的信息外泄案件,韓國SK通訊旗下的門戶網站Nate和社交網站“賽我網”被黑客攻擊,約3500萬名用戶的個人真實詳盡信息外泄,這等于說,95%的韓國網民,70%韓國人(韓國總人口約5000萬)的身份資料已經外泄,泄漏的用戶信息包括姓名、生日、電話、住址、郵箱、密碼和身份證號碼,極為詳盡。正是這一事件,讓韓國不得不重新考慮網絡實名制政策。就在政府擬廢除網絡實名制之時,2011年11月下旬,韓國一家游戲公司遭到黑客攻擊,1320萬游戲玩家的信息被泄漏。 韓國政府建立了公民身份認證體系來為網絡實名制的實施提供技術保障。但這種基于靜態口令(居民身份證號碼)的認證技術,技術上的落后性使散兵游勇就能攻克其安全認證系統,冒充他人實施網絡操作。正所謂上有政策下有對策,自從韓國實施實名制后,被稱為“身份證偽造器”的作弊軟件也應運而生。這類軟件可以偽造出通過身份驗證機制的韓國身份證號,從而可以用偽造的身份注冊。此類技術漏洞的出現,也就意味著“網絡實名制”近乎名存實亡。公眾信息的大規模泄漏,最終讓韓國政府下定決心取消網絡實名制。 韓國實踐表明:手機實名制擋不住犯罪分子購買手機,因為電話詐騙犯罪本來就是極少量的專業性組織化團體,繞開實名制幾乎沒有難度和成本。而針對普通大眾的實名制,反而使得犯罪分子方便獲得了大量極具價值的個人真實信息,如果沒有實名制,不僅大大減少了犯罪分子的犯罪動力,也使詐騙可信度大為降低。 |