那些年,搜索引擎为隐私泄露背过的黑锅
文/郑凯
这 大概是中国互联网隐私泄露史上,重量级最重的一次。
今年5月,Twitter上发生了这样一件令人震惊的隐私泄露案。马云、马化腾和雷军这些的中国互联网巨头的个人身份证信息被Twitter上,一位ID为“shenfenzheng”的用户泄露了。这个标志性的事件,虽然影响并不大,但轰动的效果却十分惊人。
根据公开信息显示,2011年至今,全球已有11.27亿用户隐私信息被泄露,你和我的身份信息也可能随时处于泄露的状态。个人的信息安全备受威胁,可是却似乎总有一股力量,让隐私安全屡打不尽。可以说,有利益的地方就有江湖,隐私安全背后的黑色产业链,也正是在暴利的驱使下形成的。
黑色产业链在利益中形成
必须承认,科技和互联网的发展,带来更多的生活便利,也同时造成了隐私泄露的困扰。各种网络漏洞和黑客行为,形成了隐私泄露的源头。可以说,我们离互联网越近,受到的威胁就越大。
在国内,由隐私泄露造成的事件也比比皆是,比如在去年8月,线上票务营销平台大麦网被发现存在安全漏洞,600余万用户账户密码遭到泄露。同年11月,黑客利用申通快递公司的管理系统漏洞,侵入该公司服务器,非法获取了3万余条个人信息,之后非法出售。
不难发现,每一次的隐私泄露之后,都会伴随着发生个人信息的售卖。这就是所谓的黑色产业链的形成。目前这个链条的发展已经到了非常庞大的地步。
比如在2015年全国硕士研究生招生考试开考前的一个月,网上出现了兜售130万考研用户信息的叫卖。据了解,所销售的数据不仅包括考研者姓名、性别,还有手机号码、座机号码、身份证号、家庭地址、邮编、学校、报考的专业等敏感信息。如此庞大的私人信息数据,卖家的打包价是1.5万元。
同时,由于几乎没有门槛,贩卖个人信息的从业者越来越多,产业链也越来越庞大。去年,张家口市公安局抓获的一名犯罪嫌疑人手中,警方发现他一个人就拥有300多万条个人信息,姓名、电话、住址、爱好、家庭成员状况等都有不同程度的标注。
正是在巨大的利益驱使下,有隐私泄露蔓延到个人信息售卖,形成了一整套黑色的产业链。而且,还有愈演愈烈之势。根据安全公司Gemalto的报告显示:,在2014年发生了超过1500起数据泄漏事件,导致将近10亿数据被曝光,数据泄漏事件相比较2013年增长了49%。
有数据显示,在2015年这种信息泄露的范围和事件仍然在不断增加。到底是什么原因导致了,隐私泄露变成了屡推不到的多米诺骨牌?
挂着羊头卖狗肉的“访客营销”
太多的隐私泄露事件把矛头指向了黑客或是搜索引擎,我认为,这不过是因为事故中的企业或是网站,对自身的安全防范不作为之后的托辞。很多网站并不具备网络防护的能力,对自己的漏洞多数情况也是在发生了数据泄露之后才亡羊补牢的。
其实,现在就有很多不法分子,利用各大搜索引擎收录的合法网站,植入恶意代码,并用以用户隐私信息的窃取和售卖。更离谱的是,某些这种非法的窃取行为,时常冠以“访客营销”的名义,堂而皇之的,对用户的个人信息进行技术抓取。
我们都会类似的一些体会,比如收到莫名其妙的推销电话,它们不仅拿到了我们的电话,甚至还知道,我们浏览过哪些理财或是房地产的项目;我们也会在QQ或是邮箱中发现一些毫不相干的推销广告,他们不仅知道了我们的准确的QQ号码和邮件地址,还明显了解了我们去过哪些电商,浏览过的某些商品。
再比如,当我们打开一家理财网站,自己的手机马上就会会接到网站客服电话。不注册、不登陆为什么他们会知道我们的手机号码?这就是所谓“访客营销”在背后捣的鬼。这些打着“网站访客营销”网站,通常以提供搜索引擎优化、营销技术支持等服务的为幌子,但实际上是以售卖恶意代码为主。
笔者找到了一些“专业”的做访客营销的网站,发现这类网站上都明确的写着:在不经过用户告知的前提下,获取用户的QQ号或是手机号,包括实现的效果也写得一清二楚。
而这些所谓的“专业软件”,本质上是利用QQ、运营平台漏洞编写代码,售卖并植入一些企业网站之中。只要有网友访问该网站,即使不注册、不登陆QQ号或者手机号信息就会被窃取传送到对方的服务器之中,再由这些做“访客营销”的网站转卖给企业网站,形成了所谓的访客营销。
据了解,如果访客QQ号在线状态,那么窃取成功率接近100%。如果是手机号窃取成功率中,中国移动用户接近80%。相关的代码是以租售的方式售卖,一个月就要198元,而且抓取到的手机号还要单独收费,一个手机号售价1到2毛不等,所以这个黑色的非法行业也做到了“日进斗金”,能不让非法分子趋之若鹜?
谁该为“屡推不倒”负责?
到底谁该为隐私泄露的“屡推不倒”负责?在我看来,这是一个系统性的问题,绝不是产业链中的任何一个独立的环节可以完全改变的。
首先,搜索引擎对这类非法网站也在不断的进行打击,以百度为例,不久前百度就对全网的非法网站进行了严打,并关闭了数十万家非法网站。针对于搜索生态的寄生虫网站,只要发现存在收集用户信息的情况,百度都会通过检测直接关掉。作为国内互联网的三大领头羊,BAT都在不同程度的收到隐私泄露的伤害,对打击隐私泄露,这是国内有责任的互联网公司应该共尽的责任。
其次,国家也隐私售卖有立法支持,我国刑法规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”但问题是,个人信息不可能有明确的价格标准,也就很难对“情节严重”做出认定。法律法规,还需要随着市场的进程逐步完善。
第三,互联网安全的挑战还在加剧。云服务和互联网应用的普及。云服务可以让用户方便地将资料存储于互联网服务器中,但一旦出现漏洞,黑客就可以轻松查看你的数据,而互联网应用,则让用户离互联网越来越近,并主动或被动的分享了个人信息。互联网发展的大趋势不可逆转,这需要有技术能力的安全公司,投入更多的精力,服务于社会,比如百度就有针对伪基站的检测及定位,一些公安部门已经采取这个解决方案。
第四,对于漏洞弥补的响应机制,需要更快速。事实上大量的个人隐私泄露与网站的漏洞修补不及时有着直接的关系,在国内《2015中国网站安全报告》中指出国内网站漏洞修补率不到百分之十,而其中大部分高危漏洞都可能造成用户的信息泄露。对网站漏洞的快速响应机制的建立,会改善很多隐私泄露的现状。百度云安全,在去年推出的针对0day漏洞制订的应急响应流程,包括从漏洞挖掘、漏洞分析,到第一时间向站长及企业级用户发出通告,目前百度基于oday的修补计划及预警解决方案处于业界领先地位。
最后,互联网安全,人人有责。互联网就是我们新的精神家园,除了目的是窃取个人信息的不法分子,没有谁应该真的为隐私的泄露负责。我们所要做到的就是保持一份谨慎的心态,不轻易泄露个人信息,作为企业或是网站,不去购买非法渠道来的用户数据,让黑色的产业链不再有生存的土壤。