來源標題:接口隨意調用、數據花錢可買……為什么總有人能夠“輕易”獲取我們的隱私信息
近年來,隨著數據安全法、個人信息保護法等一系列法律法規相繼出臺實施,我國信息安全事業取得長足發展。但是,一些掌握大量用戶數據的機構在網絡安全防護中措施不足,導致用戶數據被不法分子竊取。不法分子將獲取的用戶數據分門別類打上標簽,再以諸如“婚戀報告”“風險報告”等形式對外出售,破壞網絡安全生態。
相較于過去“打包販賣”用戶敏感數據的方式,當前網絡黑市以買家實際需求為導向,以“生成報告”的形式出賣個人信息。為什么我們的個人隱私總能被不法分子“輕易”獲取?記者就此展開調查。
網絡安全形勢仍不容樂觀
“提供身份證號,可查指定人征信、戶籍信息。”“婚姻狀態可查,USDT(一種虛擬貨幣)、微信、支付寶均可支付。”剛剛加入某境外通訊軟件的聊天群,就有群成員迫不及待發來招徠私信。
在一位賣家發來的“個人信用報告”的預覽版中,除姓名、性別、手機號等信息外,還細致記錄了每個人的工作崗位、公積金和社保繳納記錄、借貸額度等高度隱私內容。“這些報告可用于精準電話營銷。”該賣家說。
來自奇安信的數據顯示,2024年全年境內政企機構共發生個人信息泄露風險事件112起,涉及個人信息數據266.9億條,盡管這一數據較2023年減少54.5%,但是海量的數據泄露問題反映出政企機構的網絡安全形勢仍不容樂觀。
個人信息數據的頻繁泄露,不僅嚴重侵害公民隱私,帶來網絡詐騙風險,還可能對國家安全帶來威脅。“大量個人信息數據的匯聚、關聯和再組織,可以形成精準的人物畫像,還可以將人與人之間的關系網絡描繪出來。這就讓不法分子更容易鎖定目標群體、找到突破口。”奇安信安全專家裴智勇說。
此外,一些黑灰產還利用大數據和人工智能等技術,抓取和匹配個人的隱私圖片和視頻。有不法分子聲稱“只要一張照片就能查詢你的另一半有沒有外遇”,以此牟取不法利益。“通過網絡爬蟲技術獲取一些網站上的公開視頻和圖片資料,再進行人臉識別比對,這實際上侵害了當事人的隱私權。”中國科學技術大學網絡空間安全學院教授左曉棟說,不法分子有可能利用泄露的個人信息和肖像進行惡意匹配,由此形成的所謂“婚戀報告”也觸及法律紅線。
不法分子利用“數據接口”等渠道竊取數據
在落實網絡安全主體責任過程中,過去常見的“拖庫”漸漸少了,取而代之的是利用數據接口等渠道進行“螞蟻搬家”式的個人信息竊取。
姓名、身份證號、手機號、常用地址……在中國電子技術標準化研究院網安中心的一例安全測評中,測試人員發現有6萬份訂單數據有可能來自某平臺的數據接口泄露。
所謂數據接口,就是機構傳輸、共享數據時輸入和輸出數據的對接口,也就是數據出入的“大門”。“如果把這扇門看住了,來來往往的數據就都能被調閱。”中國電子技術標準化研究院網安中心測評實驗室副主任何延哲告訴記者,一些機構在設置數據接口時缺少身份認證、訪問控制等安全措施,導致黑客能夠隨時“劫持”接口并獲取實時數據。
在何延哲及其技術團隊以往隨機測試的數據接口中,存在安全問題的不在少數。“相較于‘陳年數據’,通過數據接口獲取的實時數據更新,在黑灰產上售賣的價格也會更高。”何延哲說。
在某不法論壇網站中,有人開設了專門群組用以分享各類數據接口。通過其所分享的數據接口,不法分子可獲取指定人員的社保信息、生育信息、車險購買信息等敏感數據。
各類機構在打造數字化平臺時缺乏網絡安全思維,部分敏感數據缺乏高等級保護,而通過數據接口竊取數據等不法操作并不需要多高的技術門檻。“有的平臺存在安全問題的數據接口長期‘暴露’在外,掌握一些基礎攻擊手段的黑客就能通過不安全的數據接口直接獲取平臺最新用戶數據。”何延哲說,把數據接口“保護起來”并非難事,不過由于缺乏對數據接口的安全風險監測,機構在大多數情況下難以意識到自己的數據接口可能已經被網絡黑灰產惡意利用了。
此外,合作伙伴和機構“內鬼”也是數據泄露的重要渠道之一。2020年7月,某快遞企業員工私自向不法分子有償出借工作賬號,致使超過40萬條公民個人信息泄露。“各類機構在獲取用戶數據后,往往會和合作伙伴共享,以獲取數據的最大利用價值。”裴智勇說,在數據共享過程中,部分合作伙伴未完全遵守網絡安全協議,進而導致用戶數據泄露。同時,一些網絡黑灰產和機構“內鬼”相勾結,倒賣用戶數據。“在互聯網知識共享平臺上發生的數據泄露事件中,這兩種方式占比超過一半”。
一些機構在源頭端過度收集用戶數據,導致敏感數據過度集中。國內知名個人信息保護專家、清華大學法學院教授勞東燕認為,部分信息收集機構以包括“提升服務體驗”在內的各種理由要求用戶或消費者“一攬子授權”,是造成數據泄露的根本原因。2021年,個人信息保護法正式實施,其中明確規定“收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息”。“這個‘最小范圍’的解釋權目前看仍然在收集數據的機構,而不是在用戶或者消費者手上”。
徹底斬斷伸向個人隱私的黑手
隨著法律法規的日益完善,近年來我國打擊涉公民個人信息犯罪工作成效顯著,一批以兜售公民個人信息牟利的不法分子受到法律嚴懲。
2024年,四川成都警方偵破侵犯公民個人信息、非法控制計算機信息系統等網絡犯罪案件1201起,依法采取刑事強制措施1116人;山西長治警方在2024年輾轉多地,成功打掉一個特大侵犯公民個人信息及掩飾、隱瞞犯罪所得犯罪團伙,抓獲犯罪嫌疑人10名,扣押涉案資金500余萬元;同年,安徽合肥警方偵破特大侵犯公民個人信息案,抓獲犯罪嫌疑人11名,查獲涉案金額120余萬元,保護了公民個人信息百萬余條……
提升機構網絡安全防護能力,構筑數據安全防火墻。裴智勇等專家建議,政企機構應進一步完善網絡安全的制度建設,確保責任到崗、到人。在出現網絡安全事件后,及時向國家有關部門報告,盡可能減少因數據泄露給用戶和社會帶來的損失。
減少前端數據收集,從源頭降低數據泄露風險。“比如點外賣,有手機號、有地址,確保外賣能送到,就不應該獲取其他信息。”勞東燕建議,根據個人信息保護法等法律法規要求,數據收集應遵循“最小必要原則”,有關部門可根據數據實際使用場景,明確相應的數據收集范圍,為“最小必要”設定標準。
強化隱私保護意識,對過度收集、濫用數據等行為說“不”。何延哲建議,機構和網絡平臺等應從用戶和消費者角度出發,更加重視個人信息保護,決不能為了蠅頭小利出讓個人信息權益。對明顯存在過度收集用戶信息和潛在的侵犯公民個人信息的違法犯罪線索,網絡用戶可及時向互聯網管理部門和公安部門舉報。
