首页 > 个性签名 正文
【qq资料发布】记者调查:多个电子商务平台个人信息被泄露,在网上公开出售。

时间:2023-02-21 13:09:27 阅读: 评论: 作者:佚名

记者王宁

李哲的个人信息被泄露了。

李哲近十年来一直从事数据安全工作,特别重视保护自己的个人信息。最近,他告诉中央光网记者,今年6月某日接到陌生电话,对方直接说在某电商平台的订单信息,说商品质量有问题,要提供银行卡号进行赔偿。

李哲说,由于职业敏感性,他的第一反应是个人信息泄露。以前他确实在这个电子商务平台上购买了上述物品,他想询问更多信息,对方立即挂了电话。

记者最近的调查显示,除了这个电子商务平台外,很多著名的电子商务平台都在网络上公开销售数据,包括消费者的姓名、电话、地址、商品名称、快递号码等。有的卖家自称每条个人信息0.35韩元,2000个期卖,如果购买量大,至少打五折。记者从卖家那里购买了数千个数据,随机通过电话验证了近200个个人数据,确认销售的个人信息中,姓名、电话、地址等是正确的。

网络数据信息泄露不仅会带来不厌其烦的营销电话,还会引起商业平台之间的利益竞争和通信欺诈等犯罪现象。比如2016年震惊全国的“徐玉玉电信诈骗案”。该事件被最高人民法院选定为“2017年推进法治进程的十大事件”。

2022年6月1日,《中华人民共和国网络安全法》 (《网络安全法》)正式实施五周年。《网络安全法》规定了网络运营者不得披露、篡改或破坏收集的个人信息的法律义务。未经收集者同意,不能向其他人提供个人信息。采取技术措施和其他必要措施,保护收集的个人信息安全,防止信息泄露、损坏和丢失。

今年国务院印发的《“十四五”数字经济发展规划》建议严厉打击数据黑市交易,创造安全有序的市长/市场环境。国家发改委等部门联合印发的《关于推动平台经济规范健康持续发展的若干意见》中也提到,严格控制不必要的数据收集行为,依法打击黑市数据交易、大数据杀熟等数据滥用行为。

在沉重的打击下,仍然有人冒险。几千块就能买到上万个数据,一个黑色产业链潜伏在社会的隐秘角落。

个人信息公开出售,一个数据0.35元。

某电子商务平台个人信息被泄露。姓名、手机号码、家庭地址等信息(中央光网发)

三朝之间,卖方许飞将向QQ集团发布“材料”信息。

“资料”是这个地下交易的“黑话”,代表“数据”。消息传出后不久,小组内的一些成员询问这是什么类型的数据,他回答了“私人对话”后,这些人消失在聊天中。好朋友通过验证后,如果有人在买数据时犹豫不决,他很快就会把人拉黑。

记者作为买家添加了卖家许飞的QQ。「你想要多少?这些资料你先打电话确认一下。”赫比发来了一份文件,名为截取短信的信息。短信上说:“有人,某个时候购买的物品已经发送出去了。”

他自称还销售多个著名电子商务平台的个人信息。“一个数据卖0.35韩元,2000条信息。”购买者不仅可以指定平台,还可以指定日期,但最新数据也是两天前的数据,而不是实时数据。

记者向赫比购买了多个电子商务平台的个人数据,发送的每个数据文档的信息助手从几十个到几千个不等。订购的商品有产妇用品、衣服、酒、生活用品等多种类型。

其中,某电商平台“尿布”和“母亲孩子”这两份文件包含了数百份网购订单数据信息。信息包括购买的商品名称、数量、价格、交易时间、订单号码、收件人电话、姓名、地址、快递公司、快递号码等。其中地址详细到门牌。甚至有些订单会显示“未发货”、“已发送”、“孕妇不能走太远”等注释信息。

某电子商务平台个人信息泄露,包含大量某某订单信息(中央光网)

为了验证上述数据信息的真实性,记者随机拨打近200名用户电话,确认卖家的姓名、电话、地址等信息是否准确。

“假数据,我敢卖给你吗?"赫比一再催促记者尽快确认。"请放心,这些资料都可以互相比对。" "

许飞介绍说,他和别人合作开工作室,每天生产3万个左右,他自己也偷偷生产数据,但量少,一个月不到1万个。如果客户多,数据不足,他只能从工作室拿,自己只能得到一点提成,可以说“收入不多”

看到记者犹豫不决,他继续劝道:“如果数据效果好,月末获得更多数据的话,50%,10,000个数据只有2300元。”如果你想倒卖,就加价格。" "

赫比还寄来了题为“银行交易短信绑架样本”的复印件

”的文档。该文档包含国内各大银行名称、姓名、手机号码、属地、时间、储户实时到账的短信提示等信息。“这是银行内部流出的数据,我们渠道很多,你信了吧?”他说。

另一售卖者也表示,自己售卖的数据以母婴类为主,还有专门的宝妈平台和电视购物个人信息,这些信息都是从平台一手渠道“拿货”,保证精准,并称如果价格能够接受,“身份证都能给你洗出来”。

许飞从不用支付宝、微信转账的方式交易。

他称,支付宝口令红包更安全。记者在购买数据时,他再三嘱咐转账必须通过“支付宝口令”红包,输入口令后,将截图发给他即可。“我们都是通过这种方式支付。”“这样有点麻烦,但稳妥最重要。”在聊天中,他从不提钱、数据、红包等敏感词汇,“你要有安全意识”。

数据被反复流转、清洗,溯源不明

交易神秘是因为这些数据来源“见不得光”。

“数据保真就行,渠道不能说得‘太白’。不然我们还咋挣钱!”许飞透露,这些数据主要通过程序从平台上“爬取”,或者从“企业内鬼”处买到。记者随机向许飞发来的数据所涉平台商家进行验证,这些商家的工作人员均表示,不出售任何个人数据。

许飞称,有些数据来源于物流。但多家快递公司的快递员均表示,在网购快递收发中,他们可以看到备注的收货人名字、电话、地址或快递物品类别,但商品型号、颜色、价格等订单具体信息,他们无从得知。有些知名家电品牌的快递面单备注较为详细,但也并非所有信息都会显示。

“这种货源渠道五花八门,咋跟你说?”许飞表示他不是黑客,也不是中间商,不然数据售价不会这么低。

卖家介绍信息来源渠道、数据产量(央广网发)

根据工作经验,李铁认为,许飞出售的可能是一手资料。他本人曾向某企业内鬼购买数据,对方和许飞一样警惕性极高。

李铁介绍,这类倒买倒卖的方式往往是把一手信息通过固定渠道向外销售,购买者成立公司或工作室,对数据进行清洗,然后通过各种渠道售卖给个人买家。“一手数据售价往往很低,在数据流通出去后,不少人反复倒卖加价,售价自然就高了。”

“这些人胆子很大,不停在各个社交渠道叫卖,而且还反复售卖。”仔细研究了对方售卖的数据,李铁分析称,部分数据已被清洗过,然后对方再重新拼凑起来。“这样做主要是安全,无法追溯源头。”

中国计算机行业协会数据安全专业委员会委员杨蔚表示,从近几年国内外网络攻击事件和数据泄露事件来看,不管是网购还是其他途径的信息泄露,来源主要是黑客攻击、内鬼泄露、供应链泄露三个方面。

杨蔚说,以电商平台举例,它是典型的供应链生态体系,既有“上游”,也有“下游”,整个流程协同分工。从消费者角度来看,各个环节都会存在数据被获取的可能性,因为各数据都在流转,大电商和小电商区别就在于组织和流程上涉及多少的问题。“这也是为什么某些电商平台一旦数据泄露,任何一个环节都说不是自己泄露的,这些平台没有相应的技术手段来保证各环节,说明管理存在问题。”他说。

据记者了解,最高人民检察院近期印发了《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要求严厉打击行业“内鬼”泄露公民个人信息违法犯罪。

数据遭泄露后,多用于营销推广和电信诈骗

许飞从不过问买方购买数据的用途,“我管那么多干嘛,问了别人也不说。”

但实际上,这些包含大量个人信息的数据已经成为电信网络诈骗犯罪的“基本物料”。犯罪分子通过非法手段获取公民注册手机卡、银行卡,以此作为诈骗犯罪的基础工具,或是利用这些信息对诈骗对象进行“画像”,实施精准诈骗。

卖家出售的消费者网购订单信息,包含姓名、手机号码、家庭住址等信息(央广网发)

在记者电话求证过程中,近半数消费者表示曾接到诈骗电话,甚至部分人多次接到境外诈骗电话,这些诈骗人员能够详细说出他们的姓名、住址、网购订单等信息。其中,有些是要求他们通过银行转账,有的是以返还商品优惠为由要求提供银行卡。

李铁表示,购买这些数据的人,主要是出于商业目的和诈骗。出于商业目的,例如推广营销、获取新用户、提高销售额、获取竞争对手客群等,而诈骗则尤为常见,甚至还有人借此来进行勒索。

杨蔚同样表示,一般个人信息数据泄露后常被用于营销推广和电信诈骗。而在电信诈骗中,在校学生、留守老年人会成为电信诈骗分子重点关注的对象。

2016年8月21日,刚接到大学录取通知书的山东临沂市高三毕业生徐玉玉接到诈骗电话。陈文辉等人以发放助学金的名义,骗走了徐玉玉全部学费9900元,徐玉玉在报警回家的路上猝死。

2017年6月27日,此案在山东省临沂市中级人民法院一审公开开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表示认罪悔罪。

根据法院披露的信息,2015年11月至2016年8月,被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后冒充教育局、财政局、房产局工作人员,以发放贫困学生助学金、购房补贴为名,以高考学生为主要诈骗对象,拨打电话骗取他人钱款,金额共计人民币56万余元。

李铁表示,电信诈骗犯罪产业链的背后,盘踞着以公司化体系运营的网络犯罪集团。诈骗的大部分话术围绕高额回报、高收益展开,后续再以账户异常、流水不足、银行卡异常无法提现等理由实施诈骗,常见的骗局类型有刷单、假冒金融App、电商购物退款等。在他看来,电信网络诈骗背后折射的是各类信息的数据安全。网络黑产分子攫取个人数据信息,经过处理加工后批量标价卖给电信诈骗团伙,后者再利用这些信息获取受害者信任,以实施诈骗。

公安部公布的最新统计数据显示,2021年,公安机关侦办侵犯公民个人信息、黑客等重点案件1.8万余起,打掉为赌博、诈骗等犯罪提供资金结算、技术支撑、引流推广等服务的团伙6000余个,查处非法侵入计算机信息系统、非法获取系统数据人员3000余名,抓获行业内部人员680余名。

个人信息泄露后,立案难、维权难

杨蔚也曾遭遇个人信息泄露,而其后的维权之路让这位网络安全领域的专家都感到无比艰难。

就在今年“3·15”当天,杨蔚接到某房产中介的电话,对方精准地说出了他所居住的小区和楼层号。“骚扰电话的精准程度,真是令人发指。”杨蔚尝试举报,但过程并不理想。

杨蔚说,这类案件举证大部分容易因扩散渠道不具有单一性和唯一性,导致无法确认泄露主体而败诉。网民在日常生活中使用一些App时,如果不授权就用不了任何功能,但授权同意后就表示用户让渡了自己的个人信息,给予App运营主体获取权限。这也是为什么近年来手机App过度收集用户信息现象多次遭受质疑的原因。因为容易滋生数据黑产,引发违法犯罪。

此外,依靠暗网交易软件获取的数据来源更加私密,形成监管盲区,给执法部门带来很大困难。杨蔚认为,要从上游如支付环节或数据源头解决问题。

被泄露的个人信息当作商品贩卖(央广网发)

为加强对数据安全、个人信息的保护力度,近几年国内颁布多部法律法规及行业标准,包括网络安全法、数据安全法、个人信息保护法、电子商务法以及消费者权益保护法等。

北京市中治律师事务所律师郭聪认为,根据刑法第二百五十三条之一:侵犯公民个人信息罪,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

郭聪表示,据不完全统计,目前根据司法实践中的案例数据,2020年至2021年的侵犯公民个人信息犯罪结案案例约4613件,2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。

在国外,欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件而制定的法案。该条例明确规定,公司内部需要设立数据保护官DPO(类似于CEO和COO高管职位),负责个人隐私数据保护。对比国内外法律,欧盟对数据泄露的处罚力度更大,法条更明确。杨蔚认为,相比欧盟,我国关于数据安全的立法起步较晚,在数据安全治理实践上还存在一定差距。

中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。

杨蔚表示,数据作为生产要素,安全保护仍然是需要大家共同解决的问题,须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为,有关部门要不断明确各方权责,将举证门槛降低,并且加大处罚力度;企业及负责人应做到知法守法,承担保障个人信息安全的义务,对员工进行安全教育和培训,企业内建设网络安全防御体系、加强数据备份和信息保密等工作;个人要提高安全防护意识,具备一定的敏感性,谨慎点击链接及网站、创建安全性较高的密码等。

北京大学法学院副院长薛军认为,要从根本上解决信息泄露问题,还要依靠先进的技术。在可能出现个人隐私和信息泄露的环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。

他表示,相关部门还要进一步加强对这类违法行为的侦查,加大对不法分子的惩处力度。“这个最有震慑力,当他们知道违规、违法必然受到处罚时,可能就放弃了。”

(文中李铁、许飞均为化名)

  • 评论列表

发表评论: