簡體 | 繁體
loading...
新聞頻道
  • 首頁
  • 新聞
  • 讀圖
  • 財經
  • 教育
  • 家居
  • 健康
  • 美食
  • 時尚
  • 旅遊
  • 影視
  • 博客
  • 群吧
  • 論壇
  • 電台
  • 焦點新聞
  • 圖片新聞
  • 視頻新聞
  • 生活百態
  • 娛樂新聞
您的位置: 文學城 » 新聞 » 焦點新聞 » 13年網安從業者的無奈:“隱私就是一種幻想”

13年網安從業者的無奈:“隱私就是一種幻想”

文章來源: 鏡相工作室 於 2025-03-11 00:19:26 - 新聞取自各大新聞媒體,新聞內容並不代表本網立場!
被閱讀次數


文丨周近嶼

編輯丨盧枕

在網絡安全領域從業13年,麵對個人信息泄露,盧聖龍多次提到“無力感”。

他是一家網絡安全公司安全實驗室的負責人,工作之一是作為授權黑客,測試一些單位或公司的網絡安全,他們經常輕易拿到很多企業的內部數據;他的個人信息遭遇過泄露;我們習慣將個人信息交付給各個APP和小程序,但“大家對於數據的流向沒有知情權”。

對此,他有一種深深的無力感:我很注重隱私安全,想保護隱私,但我的信息在很多企業的服務器裏,你還得寄期望於存放數據的這些公司能保護好它們。

聊天過程中,盧聖龍在五秒鍾之內查到了我的身份證信息,以及一個十年前的、詳細到門牌號碼的住址。“剛才我沒有花精力調查你,沒有花錢查詢,我就做了一個檢索。因為有人將之前所有泄露過的信息進行收集,免費或付費提供查詢服務,甚至泛濫到包括很基礎的信息。”

我們是如何在不經意間成為一個透明人的?是誰偷走了我們的隱私?個人信息如何成為地下論壇的商品?背後是怎樣一個龐大又隱秘的市場?

以下為盧聖龍的講述:

“黑產團隊對深度偽造的利用,可能是會爆發的一點”

從業經曆中,我印象最深的信息泄露事件是發生在2011年的CSDN數據泄露。

有兩個原因。首先,這件事和我的生活和工作強相關,它是一個技術論壇,用戶都是像我一樣的IT人。當時,我的信息也被泄露了,對我的生活有很大影響,那段時間,我瘋狂改密碼、改賬戶昵稱、更換郵箱。

第二個原因是,黑產團隊發現,原來數據有這麽大價值,後續引起了一連串數據泄露事件。

我個人認為,數據泄露開始泛濫就是從“CSDN事件”開始,至今過了14年,我可以從影響層麵對數據泄露的現狀做一個概括。

第一,規模越來越大。CSDN泄露的數據有數百萬,後來天涯論壇信息泄露時,有數千萬的數據,國外一些機構甚至涉及上億數據泄露。

2016年,京東數據泄露,有12G左右的一個壓縮包流通售賣,包括用戶的名稱、電話號碼、注冊郵箱、密碼,有些有身份證信息,還有購買商品的收件人信息。這是一件影響非常惡劣的事情,直到今天,你在很多所謂的“開盒”工具裏能查到個人信息,可能很多就來自於當初的京東數據泄露事件。(注:開盒是指公開曝光他人隱私的行為,是一種網絡暴力。)

第二,頻率在增加,幾乎每年都有多起數據泄露的事件被曝光。

第三,泄露的方式越來越多樣化了。剛開始,主要是黑客攻擊,後來擴展到內部人員作案,現在還發展出一些新的攻擊手法,比如通過公鏈攻擊獲取數據。

第四,危害程度和影響範圍也越來越大。比如京東的數據泄露更多受影響的是個人,後來擴展到企業層麵,比如針對企業的勒索攻擊;現在很多機構甚至政府單位,也會麵臨數據泄露的問題。大量的信息泄露,危害和影響範圍就會上升到社會層麵,增加社會治理成本,削弱公眾對社會機構的信心。

● “防範打擊電信網絡詐騙宣傳體驗展”上,觀眾在參觀電信網絡詐騙手段。圖源:視覺中國

現在,隨著AI的發展,黑產團隊也在應用相關技術。

有些黑產團隊已經在使用AI做數據的關聯和分析。比如通過AI打標簽、出詐騙劇本。另外的一種可能,是通過AI發現安全漏洞,但我感覺在短期內還不太可能發生,可能未來有這個趨勢。

對於黑產團隊來說,AI目前主要是提高效率,技術手段還沒有特別多的創新。但黑產團隊對深度偽造的利用,可能是會爆發的一點,如果黑產團隊有你的人臉信息,和其他足夠多的數據,可以生成足夠逼真的視頻或音頻詐騙。

當然,技術的發展也會驅動網絡安全的AI化建設,可以相應提高安全防護水平。在我們領域,相信魔高一尺道高一丈。有一句話叫沒有絕對安全的係統,網絡攻防的對抗,本質是成本的對抗,我們建設網絡安全體係,目的不是保證係統100%安全,是阻止那些低水平的攻擊者,繼續投入,就能阻止中水平的攻擊者。我們投入防守,是去提高攻擊者的攻擊成本。

最容易被盯上的四類人群

泄露的個人信息大概可以分為五類。

最常見的是基礎信息,姓名、地址、身份證等;其次是應用數據,有很多企業會對用戶做分析打標簽,比如喜歡吃什麽食物、消費水平怎麽樣、有怎樣的資產,這些標簽數據就屬於應用數據。還有設備信息,比如手機設備的數據;還有網絡信息,包括IP信息;還有就是關聯出來的家庭、好友圈信息等。

個人信息在買賣環節是明碼標價的,價格高低在於它的價值、數據完整程度,以及新鮮度等。

帶有行業屬性的信息比較值錢。金融數據有很高價值;投資網站泄露的信息,價格也會高一些,比較新的數據一條可能賣到幾塊錢。你肯定有錢才想去投資,對於詐騙的人來說,是比較好的目標。

另外就是外賣或者快遞數據,因為含有地址信息。大多數的信息注冊需要姓名、身份證、手機號,但不需要住址,所以這個信息相對來說比較稀缺。

地址有很多應用場景。比如說催收需要你的地址信息,網絡暴力需要地址信息,詐騙也需要地址信息。之前有一種詐騙,中秋節給你寄一張蟹卡,需要掃碼綁定一些信息,然後把你的錢轉走。

如果單純是姓名、身份證等基礎信息,就不太值錢,黑產團隊需要對這些數據進行深度挖掘才能拿來所用,這樣的數據幾萬條可能就幾塊錢。

我曾經見到過一份來自貸款網站的數據,它包含了姓名、身份證正反麵,手持照片人臉識別的認證視頻,包括念數字認證的聲音。這種數據賣得貴一些,一條可能要十幾二十塊。每個人的聲紋和人臉是具有唯一性的生物數據,他們可能會利用AI技術做人臉替換。

● 中國國際信息通信展覽會上,信息安全“網絡內容安全檢測平台,深度偽造檢測平台”展台。圖源:視覺中國

個人信息泄露之後,大多會用在這些場景:

一個是營銷,比如我們買房後收到裝修電話。

還有詐騙,冒充你的領導讓你轉錢。詐騙的很多場景是基於泄露的數據做的畫像構造,然後設置劇本,這樣的話成功率要高很多。

第三是競爭對手;第四是個人,比如“人肉開盒”,對應的是網絡暴力。

從信息泄露的主體來看,企業數據泄露是最多的,包含了我們常用的互聯網工具的公司;醫療機構、教育機構信息泄露相對來說也比較多;還有第三方的服務提供商。之前,有一份大概上億條的外賣訂單地址的數據泄露,泄露的源頭就是第三方的配送商。

企業、醫療、教育和供應鏈,有一個共同點,他們不像金融機構、大型互聯網公司在安全投入方麵這麽高,甚至有些第三方的服務提供商,幾乎沒有網絡安全建設。

從工作經驗來看,有四類人群的個人信息最容易被盯上。

第一類是高淨值人群,對於詐騙團夥或者推銷人員來說,都意味著很高價值。

第二類是在校學生,個人防護意識和能力比較弱,對於詐騙團隊來說是比較好下手的對象。

第三類是老年人,對應保健品推銷和詐騙。老人對於互聯網技術了解的不多,容易受騙;也有相當的經濟能力。

最後是患者信息,這也是比較高危的信息,因為大家都很在乎身體健康,對於黑產團隊來說,價值就比較高。

個人信息買賣產業鏈的上中下遊

個人信息泄露背後是一門生意,這個產業鏈條可以分為上遊、中遊和下遊。

上遊是黑客和“內鬼”。他們以批發或零售的形式快速獲利。

黑客群體也分三六九等,初級和中級黑客廣撒網,可能一次性攻擊1000家或者1萬家公司,高級黑客就選3到5家有價值的定向攻擊。

還有被業內稱為“腳本小子”的黑客,這些人不懂攻擊原理,也不懂漏洞挖掘,隻會用開源工具對一些幾乎沒有防護的網站進行傻瓜式攻擊。“腳本小子”的組成非常混亂,有社會不良分子,甚至有初中生、高中生,他們對黑客技術沒興趣,隻想掙錢。

現在很尷尬的一點是,有很多以往的安全防護人員,因為一些原因,在做攻擊類型的黑產。我之前團隊的一個兄弟離職之後,去了國外,我從其他渠道獲知,他就在做黑產相關工作。我當時很吃驚,曾經身邊很鮮活的一個人,讓我有些捉摸不透。

其實做技術,多多少少會對技術有敬畏,你知道什麽事做了之後就很難回頭了。

● 圖源:視覺中國

隨著個人、社會等各個層麵對數據安全的重視,我覺得“內鬼”是現在數據泄露源頭在增長的重要原因。

我們常見的很多信息都是內部人員泄露的。比如酒店相關的業務人員,有查詢開房記錄的權限,有可能一次查詢收費大幾百塊、一兩千塊,包括一些可以查資產信息、婚姻信息的人員。

我覺得這些人都不是很高職位,大多來自業務一線。我之前看到過新聞,有輔警查個人信息,有車管所的人往外傳遞新車的注冊信息。甚至房產售樓處的人也有可能成為“內鬼”,大家買房後經常接到各種電話,深受其害。

從行業上來分,掌握個人信息的行業裏都有可能有內部人員做這樣的事情,酒店、外賣、快遞、行政機關的工作人員等等。根據經驗,酒店行業“內鬼”相對多一些,可能查詢的需求會比較強烈,還有就是有辦法接觸到戶籍信息的行業。

暗網裏麵售賣源頭信息的這些人,會提供快查和慢查服務。慢查基本就是“內鬼”去查,他們絲毫不會掩飾“內鬼”這件事情,會把“內鬼”作為宣傳的手段和獲客能力。

中遊分為信息加工者和數據分銷者,兩者也可能是一體的,主要賺取信息差。他們將買到的數據清洗和整合,提高數據的價值,也可能針對下遊需求向上遊定製數據。打個比方,如果上遊是菜市場,下遊是消費者,中遊就是飯館,起到一個烹飪的角色。

上遊隱匿性很強,很難溯源。中遊相對來說更好定位,但中遊現在基本都是通過數字貨幣進行分銷,如果反偵察意識足夠高的話,也很難定位到他的信息了。

下遊就是信息購買者和使用者,比如常見的詐騙團夥,發垃圾短信的營銷公司,獲取商業情報做不正當競爭的對手。還有就是個人,主要的目的可能是想追蹤某個人、報複某個人,或者網絡暴力。

“大家都在賭,賭我不會被攻擊”

有一種觀點認為,信息泄露和個人或社會層麵對隱私的漠視有關,我是不認同的。以我個人為例,我很注重隱私安全,但是我的信息泄露的也很多,我想去保護隱私,但是我做不到。

我的信息托管在很多公司的服務器中,自己肯定是自己數據的第一責任人,但是你保護好的同時,還得寄期望於存放數據的這些單位或公司。所以說,我有一種無力感。

我在點外賣、寄快遞的時候起一個不是真名的名字,比如京東收件人叫盧京東,淘寶叫盧淘寶,如果有人打電話問是不是盧淘寶,我知道是在淘寶泄露的。有些軟件我也會用小號登錄,其實背後就是一種無奈和無力。

現在APP收集個人信息,我認為是過度收集違規收集的。我們使用的這些APP,有一個隱私收集協議,標明了會獲取哪些數據,那個很長,好多頁,很多人可能不太會去關注。

個人隱私保護很大的一個痛點,就是大家對於數據的流向沒有知情權,不清楚你的數據做什麽用了,比如輸入法數據,或者一些聊天數據可能會被用來做大數據的推廣。

關於信息泄露的治理,其實我們國家一直在出台一些法律,比如《網絡安全法》、《個人信息保護法》,還有《數據安全法》,包括近兩年數據安全的需求也越來越大,總體來看肯定是向好的。

● 新華書店內的《中華人民共和國個人信息保護法》。圖源:視覺中國

但是屢禁不止的原因主要有這麽幾個:

數據泄露很難監控。比如企業不會主動上報,不會通知用戶,你不知道他的數據泄露了。比如有些數據可能在暗網流通,但也有可能沒有到外部渠道,他們內部就有流轉需求,等數據流通出來,可能是兩年或者三、四年之後了。

從企業安全治理來說,國內很多公司對於數據安全的投入還不大,很多企業甚至剛開始做基礎安全,它都沒有安全部門,甚至對於安全漠不關心。安全是一個成本部門,不是盈利部門,大家都在賭,賭我不會被攻擊,賭我今年不花這錢也沒什麽影響。他們的意識也不高,甚至很多企業會把我們的數據當做一種商品,拿來售賣或者加工。

這裏還要提一下暗網,它是導致信息泄露更泛濫、治理難度加劇的一個重要原因。

伴隨著加密貨幣的興起,交易環節開始遷移到暗網。它是匿名化的,想要追蹤交易者的身份,成本很高;它有一定的技術壁壘;另外,交易很複雜,可能涉及很多國家,法律監管和執法協作相對來說也比較困難。

在我十幾年的從業經曆中,個人信息泄露之後,我從沒有見過維權的案例。我知道數據泄露不好,但也知道沒有辦法,維權成本太高,就是剛才提到的那種無力感。

現在的生活很智能化,我們的數據不停地在各種APP流轉。有人提過一個觀點,隱私就是一種幻想,我現在是認可這句話的。大家一定要有意識,不必要的權限不開,盡量避免太多的信息被收集。我電腦裏很多軟件,如果我認為它沒必要聯網,會用防火牆軟件禁止聯網;我基本不會把通訊錄授權給他們。作為個人,隻能盡量減少暴露的可能性。

查看評論(1)

24小時熱點排行

郵輪全員等遲到男女 船長下令開走 乘客揮手道別
朋友還沒上 女子“伸腿攔高鐵” 官方介入 女子身份被扒
馬斯克要宣布退出了!他自稱“受夠了左派的攻擊”
武漢大學生慘遭毀容事件 引發全網憤怒
瞬爆壯觀場麵!中國點燃一枚“氫彈” 火球滯空2秒

24小時討論排行

美元指數急挫 川普還沒炒掉鮑威爾就把美元嚇崩了?
川普145%關稅剛落槌 中國廉價商品開始湧入歐洲
教皇突然去世,很多人問萬斯同一個問題
實習醫揭活摘器官離奇墜亡 錄音曝器官買賣像買菜
紐時:貿易戰對美國的殺傷力遠大於中國
華為擬大規模出貨AI芯片 助中國擺脫對英偉達依賴
美國設計 中國製造 蘋果深陷漩渦 離開 還是不離開?
川總您累了嗎?川普驚現“憔悴臉”、“疲憊狀”
特朗普的“芭比部長”遭搶劫,連徽章護照都丟了!
新加坡前總理夫人轉發文指“習近平像黑幫老大一樣”
紐約時報:中國警告各國不要與美國聯手限製對華貿易
哈佛大學入稟法院,挑戰美政府凍結聯邦資助決定
從藤校退學 他寫給2025屆新生的信觸目驚心
川普又命令聯準會“loser現在立刻降息”
莫迪把萬斯兒子抱腿上 “太熱情”卻惹印度民眾不滿?
大西洋月刊:假如中國贏得貿易戰…
  • 文學城簡介
  • 廣告服務
  • 聯係我們
  • 招聘信息
  • 注冊筆名
  • 申請版主
  • 收藏文學城

WENXUECITY.COM does not represent or guarantee the truthfulness, accuracy, or reliability of any of communications posted by other users.

Copyright ©1998-2025 wenxuecity.com All rights reserved. Privacy Statement & Terms of Use & User Privacy Protection Policy

文學城新聞
切換到網頁版

13年網安從業者的無奈:“隱私就是一種幻想”

鏡相工作室 2025-03-11 00:19:26


文丨周近嶼

編輯丨盧枕

在網絡安全領域從業13年,麵對個人信息泄露,盧聖龍多次提到“無力感”。

他是一家網絡安全公司安全實驗室的負責人,工作之一是作為授權黑客,測試一些單位或公司的網絡安全,他們經常輕易拿到很多企業的內部數據;他的個人信息遭遇過泄露;我們習慣將個人信息交付給各個APP和小程序,但“大家對於數據的流向沒有知情權”。

對此,他有一種深深的無力感:我很注重隱私安全,想保護隱私,但我的信息在很多企業的服務器裏,你還得寄期望於存放數據的這些公司能保護好它們。

聊天過程中,盧聖龍在五秒鍾之內查到了我的身份證信息,以及一個十年前的、詳細到門牌號碼的住址。“剛才我沒有花精力調查你,沒有花錢查詢,我就做了一個檢索。因為有人將之前所有泄露過的信息進行收集,免費或付費提供查詢服務,甚至泛濫到包括很基礎的信息。”

我們是如何在不經意間成為一個透明人的?是誰偷走了我們的隱私?個人信息如何成為地下論壇的商品?背後是怎樣一個龐大又隱秘的市場?

以下為盧聖龍的講述:

“黑產團隊對深度偽造的利用,可能是會爆發的一點”

從業經曆中,我印象最深的信息泄露事件是發生在2011年的CSDN數據泄露。

有兩個原因。首先,這件事和我的生活和工作強相關,它是一個技術論壇,用戶都是像我一樣的IT人。當時,我的信息也被泄露了,對我的生活有很大影響,那段時間,我瘋狂改密碼、改賬戶昵稱、更換郵箱。

第二個原因是,黑產團隊發現,原來數據有這麽大價值,後續引起了一連串數據泄露事件。

我個人認為,數據泄露開始泛濫就是從“CSDN事件”開始,至今過了14年,我可以從影響層麵對數據泄露的現狀做一個概括。

第一,規模越來越大。CSDN泄露的數據有數百萬,後來天涯論壇信息泄露時,有數千萬的數據,國外一些機構甚至涉及上億數據泄露。

2016年,京東數據泄露,有12G左右的一個壓縮包流通售賣,包括用戶的名稱、電話號碼、注冊郵箱、密碼,有些有身份證信息,還有購買商品的收件人信息。這是一件影響非常惡劣的事情,直到今天,你在很多所謂的“開盒”工具裏能查到個人信息,可能很多就來自於當初的京東數據泄露事件。(注:開盒是指公開曝光他人隱私的行為,是一種網絡暴力。)

第二,頻率在增加,幾乎每年都有多起數據泄露的事件被曝光。

第三,泄露的方式越來越多樣化了。剛開始,主要是黑客攻擊,後來擴展到內部人員作案,現在還發展出一些新的攻擊手法,比如通過公鏈攻擊獲取數據。

第四,危害程度和影響範圍也越來越大。比如京東的數據泄露更多受影響的是個人,後來擴展到企業層麵,比如針對企業的勒索攻擊;現在很多機構甚至政府單位,也會麵臨數據泄露的問題。大量的信息泄露,危害和影響範圍就會上升到社會層麵,增加社會治理成本,削弱公眾對社會機構的信心。

● “防範打擊電信網絡詐騙宣傳體驗展”上,觀眾在參觀電信網絡詐騙手段。圖源:視覺中國

現在,隨著AI的發展,黑產團隊也在應用相關技術。

有些黑產團隊已經在使用AI做數據的關聯和分析。比如通過AI打標簽、出詐騙劇本。另外的一種可能,是通過AI發現安全漏洞,但我感覺在短期內還不太可能發生,可能未來有這個趨勢。

對於黑產團隊來說,AI目前主要是提高效率,技術手段還沒有特別多的創新。但黑產團隊對深度偽造的利用,可能是會爆發的一點,如果黑產團隊有你的人臉信息,和其他足夠多的數據,可以生成足夠逼真的視頻或音頻詐騙。

當然,技術的發展也會驅動網絡安全的AI化建設,可以相應提高安全防護水平。在我們領域,相信魔高一尺道高一丈。有一句話叫沒有絕對安全的係統,網絡攻防的對抗,本質是成本的對抗,我們建設網絡安全體係,目的不是保證係統100%安全,是阻止那些低水平的攻擊者,繼續投入,就能阻止中水平的攻擊者。我們投入防守,是去提高攻擊者的攻擊成本。

最容易被盯上的四類人群

泄露的個人信息大概可以分為五類。

最常見的是基礎信息,姓名、地址、身份證等;其次是應用數據,有很多企業會對用戶做分析打標簽,比如喜歡吃什麽食物、消費水平怎麽樣、有怎樣的資產,這些標簽數據就屬於應用數據。還有設備信息,比如手機設備的數據;還有網絡信息,包括IP信息;還有就是關聯出來的家庭、好友圈信息等。

個人信息在買賣環節是明碼標價的,價格高低在於它的價值、數據完整程度,以及新鮮度等。

帶有行業屬性的信息比較值錢。金融數據有很高價值;投資網站泄露的信息,價格也會高一些,比較新的數據一條可能賣到幾塊錢。你肯定有錢才想去投資,對於詐騙的人來說,是比較好的目標。

另外就是外賣或者快遞數據,因為含有地址信息。大多數的信息注冊需要姓名、身份證、手機號,但不需要住址,所以這個信息相對來說比較稀缺。

地址有很多應用場景。比如說催收需要你的地址信息,網絡暴力需要地址信息,詐騙也需要地址信息。之前有一種詐騙,中秋節給你寄一張蟹卡,需要掃碼綁定一些信息,然後把你的錢轉走。

如果單純是姓名、身份證等基礎信息,就不太值錢,黑產團隊需要對這些數據進行深度挖掘才能拿來所用,這樣的數據幾萬條可能就幾塊錢。

我曾經見到過一份來自貸款網站的數據,它包含了姓名、身份證正反麵,手持照片人臉識別的認證視頻,包括念數字認證的聲音。這種數據賣得貴一些,一條可能要十幾二十塊。每個人的聲紋和人臉是具有唯一性的生物數據,他們可能會利用AI技術做人臉替換。

● 中國國際信息通信展覽會上,信息安全“網絡內容安全檢測平台,深度偽造檢測平台”展台。圖源:視覺中國

個人信息泄露之後,大多會用在這些場景:

一個是營銷,比如我們買房後收到裝修電話。

還有詐騙,冒充你的領導讓你轉錢。詐騙的很多場景是基於泄露的數據做的畫像構造,然後設置劇本,這樣的話成功率要高很多。

第三是競爭對手;第四是個人,比如“人肉開盒”,對應的是網絡暴力。

從信息泄露的主體來看,企業數據泄露是最多的,包含了我們常用的互聯網工具的公司;醫療機構、教育機構信息泄露相對來說也比較多;還有第三方的服務提供商。之前,有一份大概上億條的外賣訂單地址的數據泄露,泄露的源頭就是第三方的配送商。

企業、醫療、教育和供應鏈,有一個共同點,他們不像金融機構、大型互聯網公司在安全投入方麵這麽高,甚至有些第三方的服務提供商,幾乎沒有網絡安全建設。

從工作經驗來看,有四類人群的個人信息最容易被盯上。

第一類是高淨值人群,對於詐騙團夥或者推銷人員來說,都意味著很高價值。

第二類是在校學生,個人防護意識和能力比較弱,對於詐騙團隊來說是比較好下手的對象。

第三類是老年人,對應保健品推銷和詐騙。老人對於互聯網技術了解的不多,容易受騙;也有相當的經濟能力。

最後是患者信息,這也是比較高危的信息,因為大家都很在乎身體健康,對於黑產團隊來說,價值就比較高。

個人信息買賣產業鏈的上中下遊

個人信息泄露背後是一門生意,這個產業鏈條可以分為上遊、中遊和下遊。

上遊是黑客和“內鬼”。他們以批發或零售的形式快速獲利。

黑客群體也分三六九等,初級和中級黑客廣撒網,可能一次性攻擊1000家或者1萬家公司,高級黑客就選3到5家有價值的定向攻擊。

還有被業內稱為“腳本小子”的黑客,這些人不懂攻擊原理,也不懂漏洞挖掘,隻會用開源工具對一些幾乎沒有防護的網站進行傻瓜式攻擊。“腳本小子”的組成非常混亂,有社會不良分子,甚至有初中生、高中生,他們對黑客技術沒興趣,隻想掙錢。

現在很尷尬的一點是,有很多以往的安全防護人員,因為一些原因,在做攻擊類型的黑產。我之前團隊的一個兄弟離職之後,去了國外,我從其他渠道獲知,他就在做黑產相關工作。我當時很吃驚,曾經身邊很鮮活的一個人,讓我有些捉摸不透。

其實做技術,多多少少會對技術有敬畏,你知道什麽事做了之後就很難回頭了。

● 圖源:視覺中國

隨著個人、社會等各個層麵對數據安全的重視,我覺得“內鬼”是現在數據泄露源頭在增長的重要原因。

我們常見的很多信息都是內部人員泄露的。比如酒店相關的業務人員,有查詢開房記錄的權限,有可能一次查詢收費大幾百塊、一兩千塊,包括一些可以查資產信息、婚姻信息的人員。

我覺得這些人都不是很高職位,大多來自業務一線。我之前看到過新聞,有輔警查個人信息,有車管所的人往外傳遞新車的注冊信息。甚至房產售樓處的人也有可能成為“內鬼”,大家買房後經常接到各種電話,深受其害。

從行業上來分,掌握個人信息的行業裏都有可能有內部人員做這樣的事情,酒店、外賣、快遞、行政機關的工作人員等等。根據經驗,酒店行業“內鬼”相對多一些,可能查詢的需求會比較強烈,還有就是有辦法接觸到戶籍信息的行業。

暗網裏麵售賣源頭信息的這些人,會提供快查和慢查服務。慢查基本就是“內鬼”去查,他們絲毫不會掩飾“內鬼”這件事情,會把“內鬼”作為宣傳的手段和獲客能力。

中遊分為信息加工者和數據分銷者,兩者也可能是一體的,主要賺取信息差。他們將買到的數據清洗和整合,提高數據的價值,也可能針對下遊需求向上遊定製數據。打個比方,如果上遊是菜市場,下遊是消費者,中遊就是飯館,起到一個烹飪的角色。

上遊隱匿性很強,很難溯源。中遊相對來說更好定位,但中遊現在基本都是通過數字貨幣進行分銷,如果反偵察意識足夠高的話,也很難定位到他的信息了。

下遊就是信息購買者和使用者,比如常見的詐騙團夥,發垃圾短信的營銷公司,獲取商業情報做不正當競爭的對手。還有就是個人,主要的目的可能是想追蹤某個人、報複某個人,或者網絡暴力。

“大家都在賭,賭我不會被攻擊”

有一種觀點認為,信息泄露和個人或社會層麵對隱私的漠視有關,我是不認同的。以我個人為例,我很注重隱私安全,但是我的信息泄露的也很多,我想去保護隱私,但是我做不到。

我的信息托管在很多公司的服務器中,自己肯定是自己數據的第一責任人,但是你保護好的同時,還得寄期望於存放數據的這些單位或公司。所以說,我有一種無力感。

我在點外賣、寄快遞的時候起一個不是真名的名字,比如京東收件人叫盧京東,淘寶叫盧淘寶,如果有人打電話問是不是盧淘寶,我知道是在淘寶泄露的。有些軟件我也會用小號登錄,其實背後就是一種無奈和無力。

現在APP收集個人信息,我認為是過度收集違規收集的。我們使用的這些APP,有一個隱私收集協議,標明了會獲取哪些數據,那個很長,好多頁,很多人可能不太會去關注。

個人隱私保護很大的一個痛點,就是大家對於數據的流向沒有知情權,不清楚你的數據做什麽用了,比如輸入法數據,或者一些聊天數據可能會被用來做大數據的推廣。

關於信息泄露的治理,其實我們國家一直在出台一些法律,比如《網絡安全法》、《個人信息保護法》,還有《數據安全法》,包括近兩年數據安全的需求也越來越大,總體來看肯定是向好的。

● 新華書店內的《中華人民共和國個人信息保護法》。圖源:視覺中國

但是屢禁不止的原因主要有這麽幾個:

數據泄露很難監控。比如企業不會主動上報,不會通知用戶,你不知道他的數據泄露了。比如有些數據可能在暗網流通,但也有可能沒有到外部渠道,他們內部就有流轉需求,等數據流通出來,可能是兩年或者三、四年之後了。

從企業安全治理來說,國內很多公司對於數據安全的投入還不大,很多企業甚至剛開始做基礎安全,它都沒有安全部門,甚至對於安全漠不關心。安全是一個成本部門,不是盈利部門,大家都在賭,賭我不會被攻擊,賭我今年不花這錢也沒什麽影響。他們的意識也不高,甚至很多企業會把我們的數據當做一種商品,拿來售賣或者加工。

這裏還要提一下暗網,它是導致信息泄露更泛濫、治理難度加劇的一個重要原因。

伴隨著加密貨幣的興起,交易環節開始遷移到暗網。它是匿名化的,想要追蹤交易者的身份,成本很高;它有一定的技術壁壘;另外,交易很複雜,可能涉及很多國家,法律監管和執法協作相對來說也比較困難。

在我十幾年的從業經曆中,個人信息泄露之後,我從沒有見過維權的案例。我知道數據泄露不好,但也知道沒有辦法,維權成本太高,就是剛才提到的那種無力感。

現在的生活很智能化,我們的數據不停地在各種APP流轉。有人提過一個觀點,隱私就是一種幻想,我現在是認可這句話的。大家一定要有意識,不必要的權限不開,盡量避免太多的信息被收集。我電腦裏很多軟件,如果我認為它沒必要聯網,會用防火牆軟件禁止聯網;我基本不會把通訊錄授權給他們。作為個人,隻能盡量減少暴露的可能性。