▲ 佟林找到了購買隱私數據其中一個根據地,通過電報按圖索骥、購買服務,摸清了灰産的整個服務架構和運作流程。 © Phala可信網絡
▌猖獗的信息灰産
南都觀察 :所以如今信息灰産已經是一個很普遍的産業了嗎?
佟 林 :是的,舉一個很宏觀的例子,貴陽大數據交易所的創始人曾經說過,黑市數據交易額大概是合法數據交易額的100倍。
南都觀察 :都有哪些類型的信息會被用來買賣交易呢?
佟 林 :一切信息,線上線下的都可以。包括身份證號、姓名、家庭地址、手機號、曾經用過的賬號密碼、QQ群關系等,還有一些線下的信息,比如手機定位軌迹、銀行流水、消費記錄,都能查到,只不過看你願意付幾塊錢還是幾百塊錢。最貴的是銀行流水,花1000多塊錢也能查到。
南都觀察 :整個信息灰産大概是怎樣運行的?産業上下遊有哪些主要主體?
佟 林 :分賣方和買方兩個部分說吧。賣方主要有三類人群,第一類是最上遊的黑客,他們負責主動去扒新數據,比如這次微博泄露的信息就屬于新數據。黑客基本處在産業鏈的上遊地位,掌握數據源,也掌握話語權。
黑客有時候會直接和一些企業合作,假如有一家主打醫療産品的互聯網公司想要融資,但缺少訓練數據(數據挖掘過程中用于數據挖掘模型構建的數據),便可能會委托黑客攻擊幾個醫院的數據庫。企業和黑客達成一個協議,付給黑客幾十萬,把數據扒下來,而且黑客要保證前幾個月這些數據不能流入黑市,只能供企業使用,接著企業就拿這些數據去找融資公司的VC(Venture Capital,風險投資)談生意。
與此同時,黑客手中還有一份數據的副本,如果他是一個講誠信的黑客,會等到協議期期滿,再把這些數據丟到黑市裏去進行關聯。所謂關聯,就是把這些新的數據和既有的數據庫結合在一起,以索引到更多的信息,相當于黑客在拿了客戶的錢之後將這些信息再進行二次轉賣,達到利益最大化。這就是黑客在幹的事,他們基本處于食物鏈頂端。
還有一部分人和黑客類似,但比較特殊,被稱之爲“內鬼”。像我這次被人肉出來的信息顯然是一個執法機構後台索引出來的結果。一般來說,身份證號、戶口本以及開房記錄、行程軌迹等信息,很可能是由一些執法機構或互聯網公司的“內鬼”所提供。
第二類是中間商,比如我這次調查的“社工庫”,它已經形成了一個平台來連接買方和賣方,整個交易過程也非常自動化,和淘寶差不多,這個就屬于二次開發,也是中間商主要幹的工作。
最後一類則是銷售方,這些人會冒著極大的風險在QQ群、微信群、百度貼吧等地方去分發業務,碰到感興趣的人就會找他們購買。
至于買方,主要包括幾類,一種是剛剛說的有數據需求的普通公司,然後還有一些詐騙集團也會有數據需求,比如一個針對保健品的詐騙,這些騙子可能就需要60歲以上患有高血壓的老人的手機號,然後針對這些手機號去進行詐騙。這些是比較重要的一類買方。
而近幾年需求上升比較快的是追債公司,有些P2P公司收不回賬就會去找追債公司討債,這些追債公司就會去買欠債人的個人信息,包括軌迹定位,這樣就比較方便他去追債。還有一些比較散的需求,比如私家偵探以及一些有特殊需求的普通人。
南都觀察 :目前打擊信息灰産的力量主要來自哪裏?分別起到怎樣的作用?
佟 林 :主要是網警,我們叫“淨網計劃”,每年會集中打擊一兩次。以往幾年還能有一些收獲,可以抓一批下遊的銷售方和買方。但我這次調查揭露的是比較偏中遊的一個環節,老實講不太可能能抓到。幾個原因,第一是所有的信息交流都在Telegram(一款跨平台的即時通訊軟件)上進行,它是端到端加密,沒法像微信、QQ一樣去獲取聊天記錄,也不可能去獲取身份;第二是因爲所有交易使用的都是數字貨幣,無法關聯到真身;第三是銷售端普遍使用假身份,都是從黑市購買的“四件套”(包括身份證、這張身份證辦理的銀行卡、該銀行卡U盾以及綁定該銀行卡的手機SIM卡);最後還有VPN(Virtual Private Network,虛擬專用網絡)的原因,以前網警追查一個人,靠IP地址就能索引到你的位置,但普遍使用VPN後這種方法就不太可行了。
南都觀察 :聽起來現在很難有有效的方法去打擊信息灰産了。
佟 林 :如果說投入足夠的執法成本,也許能有一定的效果。比如有一些不法分子會因爲不夠謹慎或想要耀武揚威而泄露一些信息,執法機關是有可能查出來的,像韓國的N號房事件,運營者使用的也是Telegram,但還是被找到了。其次,有一些虛擬貨幣的交易也有可能能查到,不過得依據具體情況。
南都觀察 :前面你也說到,幾乎每個人都在信息“裸奔”。從你的觀察來看,目前大衆對于信息安全的問題有足夠的了解和重視嗎?
佟 林 :我自己感覺這種隱私保護的意識是有所覺醒的,比如去年很火的換臉應用,因爲有信息泄露的風險很快就引起了大衆反彈。但從産業的角度來講,保護意識不能靠大衆,而要靠國家的頂層設計來強制執行。舉個例子,在歐盟和美國,分別有GDPR(General Data Protection Regulation,通用數據保護條例)和CCPA(California Consumer Privacy Act,加州消費者隱私法案),只要互聯網公司不符合隱私保護法案的設計,每年會罰其最多4%的收入,可能達到數十億美元,因此被懲罰的公司非常有動力去改造自己的互聯網設計,真正去落實保護措施,也希望我國能盡快參考實施。
而對于大衆來說,最好的保護措施就是盡快改掉所有密碼,盡量使用不同的密碼,過于簡單的密碼非常容易被集體攻破。其他的也做不了什麽,已經泄露的數據你無能爲力,而實名制會讓你更容易被人肉。因爲實名制推行後,這些實名數據存放在各個互聯網公司中,但整體對實名數據的保護又不夠有力,就可能會演變成全民裸奔,無一例外,所以還是希望以後能加強管理。