揭信息贩子黑色利益链:入侵教育局网站 打包出售3角/条
山东准大学生徐玉玉遭诈骗猝死一案仍在发酵。随着该案数名嫌犯陆续落网,这起电信诈骗案的内幕似乎也在逐渐揭开。据媒体报道,诈骗分子实施诈骗前已经掌握徐玉玉个人信息,而对于其信息泄露原因,当地教育局称“未曾泄露其个人信息”。
事实上,信息泄露已在网络上猖獗多年,因此造成的诈骗案件频发。如今,在网络上买到个人数据信息仍非难事。
近日,记者发现,仍有大量“信息贩子”活跃在 QQ 群内,记者与群内成员简单交流后便成功买到准大学生详细个人信息,个人信息甚至父母信息一应俱全,3毛/条,打包价1万元/10万条。经记者核实,信息准确度较高。而“信息贩子”自称数据信息是“入侵教育局”而来,“一次提取数万条数据信息后,转手能卖几万元”。而“信息贩子”往往不会过问购买者所做何用。
在记者与多位“信息贩子”交涉后,发现学生、新生儿、车主、业主、医院诊断等个人数据信息均被明码标价,除个人外,还有公司经营此类业务,这条黑色利益链似乎已根深蒂固。
“信息贩子”在对话
暗访
数据买卖一搜即现学生信息连带家长
徐玉玉经历的电信诈骗,让人最为震惊的一点就是骗子如何精准地掌握她的信息,把办理助学金的电话打到她家人的手机上。
新京报记者近日在网上浏览,发现有针对性地买到学生的信息并非难事,在信息贩子手中,学生们的入学时间、身份证号、父母姓名应有尽有。
记者通过QQ里查找功能,检索相关热词,随即得到了数百个相关QQ群,其中不少群名称就为“数据信息买卖”“学生、业主、车主数据信息交易”,这些让人一目了然的关键词即在群公告内展示。
记者申请加入“学生老师家长信息出售”、“信息买卖交易”、“业主数据/信息/号码”等多个QQ群,几分钟后便加入了群聊。
在这些群内的成员有买有卖,人数在几十至数百人不等,群中不时有人发布“出售最新学生数据信息,可私聊”、“求购XX地学生信息”等消息。
就在记者寻找相关信息时,群友“卡佛落”发出一则消息:“出售最新学生数据,新生儿数据!车主数据!可测试!需要的联系。”
“什么样的学生信息?”卡佛落回复道,自己有最新的高三毕业生也就是准大学生的数据在售。为了方便验证信息的准确度,他向记者传送了一份学生数据信息“测试版”文件。让记者去核实其中的真伪。
这份文件内填写着湖北某县一所中学今年参加高考的35名学生信息,内容涵盖姓名、性别、出生年月、入学时间、身份证号码、手机号码、家庭住址以及父母姓名和联系方式等。内容如此详细让人感到吃惊。
记者随机拨通了其中3位家长电话验证,发现文件内的信息完全准确。在记者提醒其中一位家长自己孩子的信息已经被泄露时,这位家长称“真想不到网上能买到如此详细的信息。”而另一位家长在接到记者电话核实信息后直呼要“举报”,随即便挂断了电话。
来源
自称侵入教育局网站“玩”一下就能搞到
此前有媒体报道称,教育部门的网站非常容易攻破,而且大部分的教育部门网站并没有很好的防范措施。最近,一所大学舞蹈系50多名同学家长都接到了“自己孩子的求救电话”,而这些所谓的“求救”却是骗子的骗局。而如此多孩子家长的信息集体泄露令人吃惊。
卡佛落自称,自己侵入了教育局的网站,“靠吃这碗饭,数据绝对一手。”
当记者问起如何侵入网站提取时,对方立刻警觉,“多的不便说。”连互留姓名、联系方式的请求也拒绝了。
但当天下午,在收到记者转账后,卡佛落便将一个有500条学生信息的表格发了过来,这些数据填写整齐,为湖北某市一中学高三年级学生信息。
信息栏依次为年级、学校、学生信息识别码、学号、姓名、性别、出生日期、入学年月、身份证号、独生子女、户口所在地、家庭住址以及家庭主要成员的联系方式等个人详细信息,无一人漏填。
经记者再次抽样验证,这些信息同样真实。
黑客技术实现获利
在卡佛落的描述中,从教育部门的网站拿到学生信息似乎十分简单。他称,如果能长期合作,“你们可以指定全国随便哪个地方的学生信息,然后我去搞。”而自己每次盗取信息,都是花几天时间去相关网站“玩”一下。
事实上,教育部门网站被入侵的案例不在少数,并且看似并不复杂。
广州媒体报道,2015年6月,刘某为了看看女儿幼儿园报名情况,利用自己网络系统维护员的知识,在登录学生招生报名网时,发现有另外一个内部登录窗口,其登录的账号和普通登录的账号基本一致,刘某便通过简单密码,以系统用户名侵入到后台,非法获取了广州市小学招生报名的34209条数据,并修改了下载得来的信息,然后上传到网上。
一位反黑客业内人士提到这样一个案例,曾有一个11岁的小孩报告称自己可以到学校网站改所有人的成绩,原因是大量老师使用了弱密码,密码太简单,很容易试开。这位业内人士表示,很多网站黑客只要试几个密码就攻破了,这样的漏洞不计其数,大部分改个密码就好了,但网站没有这个安全意识,而且个人信息泄露对网站往往没有直接的影响。而相关的案例和许多人的疑惑在“卡佛落”的口中似乎得到了验证。那就是这些信息可以轻而易举地通过技术手段得到。
获利
“风声较紧,赶紧出手”
今年8月份,在南昌破获的一起侵犯公民个人信息案中,犯罪嫌疑人尹某以2元一条的价格在上海王某处购买快递客户信息后,再以高价在互联网上寻找买家转卖,两人共交易客户面单信息14000余条。警方从其支付宝了解到,从去年至今,因买卖个人信息收入为数万元。
而在记者的探访中,个人信息买卖的价格也并非“一成不变”。随着徐玉玉事件的升温,“风声越来越紧”,价格也发生了变化。在记者试图购买个人信息时,对方也透露这方面信息。
卡佛落称,今年刚入学的大学生数据,3毛/条,500元起批,自己手中有10万条,微信、银行卡交易都行。
这与记者从其他卖家处问到的情况类似,每条学生信息,被以2-3毛钱出售。记者随后向“卡佛落”提出电话交流,卡佛落称“电话能定位”,随后向记者发送了微信语音邀请。
语音中,卡佛落是略带口音的男声,他告诉记者,因为山东大学生被骗的案子死了人,全国各省都成立调查组,现在很多人都不敢卖。卡佛落称自己出售数据并不会问对方的用处,“但是也能感觉到,用于犯罪的人出价高,一次几万条,因为他们有钱。”“卡佛落”表示,由于最近查得比较严,大家也不太敢卖了, 因此自己已经把这些个人信息降价,希望赶紧把这批数据出手。当记者表示可能一次性买不了太多的数据时,“卡佛落”表示:“没关系,你可以转手卖给别人啊!”
“客户”被抓数据被包两三年
山东准大学生徐玉玉遭诈骗猝死一案仍在发酵。随着该案数名嫌犯陆续落网,这起电信诈骗案的内幕似乎也在逐渐揭开。而这位“卡佛落”自称曾兜售过数据给相关嫌疑人。
“这件案子会影响到你吗?”卡佛落称,“我曾经把数据卖给福建那边,就是最近被抓的那几个诈骗的。”卡佛落说:“我叔在福建做工,他牵线我去那边认识了那帮人(诈骗犯),还跟他们一起喝过酒,后来那帮人拉我入行做数据,他们包我的数据得有两三年。”
卡佛落称,最近那边突然不要数据了,我手上的数据卖不出去,只好在群里散卖。“福建那帮人是一个集体,主要是在安溪。”当记者问起“山东徐玉玉的信息是不是你卖的”时,对方称“山东的我没卖过,就算卖了也不敢承认。”当记者追问时,卡佛落称“你问得越多我就不敢回你了!万一你要是警察,我明天不就得蹲监狱啊。”
昨天下午,记者在3个QQ群中以出售学生数据的名义发布虚拟信息,一个小时内先后有2名群内成员前来探问价格及数据内容。其中一人告诉记者自己是技校招生处工作人员,另一人则称自己是培训班负责人员。
“其他”
孩子一落地信息就被泄露
尽管电信诈骗案件并非新闻,但在记者暗访过程中,可购买到的个人信息数据范围之广,数据之庞大依然超过想象。
除了学生数据,“卡佛落”的“业务范围”还包括出售新生儿数据和车主数据。卡佛落称眼下自己手里还有1万条新生儿数据和3万条车主数据。“新生儿8毛,车主5毛。”昨天下午,记者向卡佛落购买了新生儿和车主数据各500条,付款后,对方同样以QQ文件的方式传送过来。
在记者获得的新生儿数据信息中,户籍均为湖北省巴东县,住址、家长姓名、电话、出生日期都详细填写,其中出生日期精确到分钟。而在卡佛落提供的车主信息中,车主姓名、车牌号、车型、住址、电话、购买时间等也填写完整。经记者电话核实,这两份表格信息准确真实。
此外,在“电销数据信息”QQ群内,记者与一位出售“最新医院诊断书数据”的成员取得联系。对方称自己有珠海各医院最新的诊断数据,5毛/条,“都是医院里的资料。”随后,该成员以1元/条的价格向记者出售100条数据,同样以QQ传送的方式“交货”。
在该成员传来的文件名为“慢病诊断名册”,除个人姓名、性别、出生日期、家庭住址外,这份文件详细记录了个人的最新就诊情况,就诊医院、就诊时间、病情诊断等信息一目了然。例如其中一条写着:珠海市香洲区人民医院,2016-8-21,诊断名称:1.急性上呼吸道感染,2.2型糖尿病,3.高血压。经文件中一位冷姓女士核实,其信息准确无误。
链接
六大领域漏洞可致11.5亿条信息泄露
根据某网络安全公司发布的《2015年中国互联网安全报告》显示,网站备案可以分为政府、事业单位、社会团体、企业、个人等五个类别。据某漏洞平台收录的备案网站漏洞中,涉及备案网站的漏洞总量为28050个(共涉及22084个网站),其中高危漏洞为18974个。
统计显示,IT/互联网行业网站被报告的漏洞最多,达到2330个,高危漏洞1463个;涉及教育培训、医疗卫生、 金融 理财、 汽车 交通、能源电力、电信运营商类网站分别为914个、328个、435个、625个、158个、285个。
经统计,这六个领域的网站存在的泄露信息漏洞共可导致约11.5亿条个人信息泄露,占到了企业/个人网站可能泄露信息总量(26.3亿条)的43.7%。其中,IT/互联网网站可能泄露的个人信息最多,为5.23亿条;其次是医疗卫生网站2.40亿条;电信运营商1.97亿条;金融理财网站1.10亿条;汽车交通网站5418万条;教育培训2462万条。