网络“黑灰产”规模已达千亿,阿里放话:让坏人付出足够的代价
仅4个月时间就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。
阿里成立数据安全研究院,要像治理雾霾一样打击黑灰产。
✎ 文|网商君
最近,一起被称为“史上最大规模数据盗窃案”引发舆论极大关注。据办案方浙江绍兴越城警方透露,该案涉嫌30亿条用户个人信息被盗,涉及包括BAT在内的96家互联网公司。作案者为三家关联公司,实际控制人为同一人,三家公司中的瑞智华胜(872382.OC),为去年12月刚上新三板的上市公司。
“这个案例告诉我们,所有的人、所有互联网公司、包括运营商在内的网络基础设施建设者、参与者,如果不联合铲除这些网络黑灰产,让他们恣意运作在互联网中,我们都可能是受害者,” 8月21日,阿里巴巴集团首席风险官郑俊芳在“2018网络安全生态峰会”上,正式宣布成立阿里巴巴数据安全研究院,愿将阿里在数据保护方面的经验分享出来,为大数据产业和数字经济的发展献计献策,与多方联合共同提升网络安全水位。
阿里巴巴集团首席风险官郑俊芳
据了解,阿里数据安全研究院将围绕DT时代数字经济的业务特点以及全球化需求和国家战略,与阿里内部的阿里健康、阿里云、蚂蚁金服、钉钉、阿里研究院等展开合作,也会联合国内外专家学者、智库、研究机构、产业实践代表、高校等机构相关力量,构建起前沿技术、产业实践和政策法规三方相互促进、支撑的互助机制。
“今天的数据安全已经成为一个独立而极端重要的领域,在政策法律、产业实践、前沿技术等方面都急需创新,”阿里巴巴集团首席安全专家、阿里巴巴数据安全研究院负责人杜跃进指出,将持续研究并探索数据安全相关的政策法规、实践方法和前沿技术,也将持续推广DSMM (全称“Data Security capability Maturity Model”,即大数据安全能力成熟度模型),让更多企业更清楚自身的安全水位,不断提升,进而有效保护企业数据安全。
阿里巴巴集团首席安全专家杜跃进
中国数据安全的复杂性
“随着互联网技术和应用的快速普及,传统的社会问题向互联网延伸,网络问题社会化,社会问题网络化;网上网下的问题交织,网络安全问题不但发生着新的变化,也已经成为了互联网发展的瓶颈。”中国互联网协会副理事长黄澄清在峰会开幕致辞中说。
研究机构的公开资料也显示,“黑灰产”规模已达千亿,从各个主要国家的统计数据看,各种利用互联网技术实施偷盗、诈骗、敲诈的案件数每年以超过30%的增速在增长。
图片来源: 《 2018网络黑灰产治理研究报告》
阿里巴巴集团首席安全专家、阿里巴巴数据安全研究院负责人杜跃进向《天下网商》表示,成立阿里数据安全研究院的想法成型于几个月前,“就是觉得数据安全问题越来越重要,而且远比很多人预想的复杂,涉及很多方面。”
杜跃进曾担任国家网络信息安全技术研究所所长。2014年加入阿里后,就一直在研究安全生态问题,尤其侧重在数据安全,网络黑灰产与新型网络犯罪,物联网安全这三个议题。
网络数据安全和用户信息保护是全球面临的一个挑战。今年3月,美国社交网络巨头Facebook上超过5000万用户信息遭泄露的新闻,引爆了世界舆论。5月25日,欧盟正式实施通用数据保护条例(General Data Protection Regulation,GDPR),面向所有收集、处理、储存、管理欧盟公民个人数据的企业,该条例通过限制这些企业收集与处理用户个人信息的权限,试图将个人信息的最终控制权交还给用户本人。企业违规可能会面临高达2000万欧元(约合人民币1.28亿元)或企业全球年收入的4%的罚款(取两者中最高的)。
中国电子技术标准化研究院信息安全研究中心主任刘贤刚认为,中国的数据安全相比其他国家更加复杂,也面临更加复杂的挑战,主要基于几个特点:第一,中国是世界第一网络大国,网民数量众多,超过第二、第三名的总和;第二,中国已步入成为高度网络化、数据化的发展阶段,大量的工作生活依靠网络和数据来实现,一旦出现数据安全问题会产生较大的影响;第三,中国面临的网络黑灰产、网络诈骗等问题比较凸出。
以上述绍兴警方抓获的“史上最大规模数据盗窃案”为例,作案者为新媒体营销公司,通过操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000万元。具体操作手法,则是与覆盖十余省市的运营商签订营销广告系统服务合同,钻运营商监管不力的空子,在运营商服务器中布置恶意采集信息程序,从运营商流量池中非法获取用户数据,为逃避监管追查,还将部分数据存储于日本的服务器上。
而掌握上述全面的用户信息,“黑灰产”团伙还可通过对用户进行“人物画像”,实施精准的电信诈骗等多种犯罪行为。今年陕西警方抓获的电信诈骗团伙,仅以更改考试成绩为幌子骗钱,就设计了380个剧本,进行精准诈骗。
近年来侵犯公民个人信息案件的高发。去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月时间就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。