京东“泄密门”背后 地下买卖不绝信息泄露不止
【摘要】爆发在“双十二”之前的京东“泄密门”,还很难说是京东的又一次躺枪,还是有人刻意为之,尽管京东随后也做了回应声明,但其背后反映出互联网安全漏洞的问题,值得深思。
刚刚过去的周末,京东被曝有12G的用户数据在黑市被交易。由于曝出信息的为一并不为大多数人知晓的自媒体,加上曝光的时间特殊,而曝光的所谓京东被交易的数据,在当事人——京东的声明中,已言明是源于2013年的一起互联网企业大范围的信息泄露。
一时间,该曝光事件的网络热度迅速飙升,不管事件最终处理情况如何,但对每个用户来说,更多的是担心自己的个人信息是否被卖,账户是否安好。
人人都在网络中“裸奔”用隐私换取便利
伴随着京东“泄密门”的发生,近日还有媒体曝光的另一个事件,令人十分关注。该媒体记者在网上只花700元就买到了同事的所有隐私信息,包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要付钱,就可以轻易被查到,而且声称7天×24小时不间断服务。更可怕的是,竟然有第三方软件为这样的服务提供担保,整个交易已跃升到了“平台化”的地步。
客观来看,在目前开放的互联网环境下,每个用户想保护自己的隐私是比较困难的。互联网和智能设备已经改变了我们连接社会的生活方式,我们的吃穿住用行,几乎都通过手机登陆各种APP来完成,如果完全舍弃互联网,对于绝大多数人来说是不可能的。
从某种意义上说,我们用自己的个人隐私信息,换取了互联网生活的便利。在遭遇黑客攻击或者互联网平台内部有人泄露信息时,我们的个人信息就会被扒掉“皇帝的新衣”,呈现在别人面前。可惜的是,像支付宝、京东这样的互联网企业都难以避免用户信息泄露,那些新兴的互联网金融平台的系统安全就更加令人忧心。
今年上半年,有互联网安全平台发布了《2016年第一季度互联网金融行业网络安全报告》(以下简称“报告”),其中指出,通过采样336家互联网金融平台,发现样本中,网络安全良好率为54%,刚刚过半。有业内人士表示,信息泄露风险、薅羊毛和拒绝服务等问题成互联网金融行业主要安全风险。其中信息泄露风险包括平台域名未进行隐私保护,使得任何人都可公开查询到用户信息,以及第三方平台发布的安全漏洞和经常受到web攻击。报告指出,在报告制作期间,近90天内共发现208条第三方安全社区上的安全漏洞记录,平均每个公司30天内被披露1.5个漏洞。
黑色利益链条催热数据买卖
在动物保护领域,有句著名的广告语叫“没有买卖就没有杀害”,套用到互联网用户信息泄露上就是“没有需求就没有买卖”。遗憾的是,地下市场对用户个人信息的需求,有增无减,这就使得信息买卖不仅屡禁不止,反而愈演愈烈。
深8君周围的朋友,有一天突然收到某共享单车平台发来的促销短信。朋友疑惑,自己从未登陆或者下载过该平台的网站或者APP,没有发送过自己的个人信息给这个平台,平台又是从哪得到自己的手机号的呢?
类似这样的事情,早已屡见不鲜。黑客或者企业“内鬼”盗取的数据不会自己直接用来盗取用户资金,而是转卖,并因此形成庞大的黑色利益链条。
例如今年10月,“某上海第一阵容互联网金融公司数据,超百万份客户资料,打包价95万元”的消息在业内各大微信圈转发,引起关注。据广州互联网金融协会会长方颂透露,随着互联网金融的高速发展,我国互联网金融用户人数已经超过5亿,这5亿的用户信息除了自然人姓名、出生日期、身份证件号码、住址等外,还涉及到用户手机、银行账号、资金流转的个人关键财务信息,互金企业的用户信息商业价值更加直接,已成为盗取倒卖用户信息不法分子伸手的重地,并已形成黑色利益链。
从盗取来的信息,去处大致有三类:电信欺诈、商业推销、大数据公司。前两类大家都不陌生,上面朋友遇到的情况就是个人信息被卖给了那家共享单车平台,其它如保险推销、理财产品、房产推销,以及向老人推销保键品等,大家都不陌生。而大数据公司,因为不会与普通人产生直接关联,人们很难有直观的感受。
目前有一些所谓的大数据公司,可以通过各种渠道获得用户数据,再通过数据拼接,形成大数据库,然后封装成查询接口向外出售,而这都是有着合法的外衣的。业内人士介绍,数据在经过这些大数据公司拼接之后,形成了一个威力更加强大的数据库,能够把一个人关联拼接出一个宽表,而这个宽表可能会涉及当事人多项隐私数据,从收入到房产、社保、亲属关系、照片、银行卡余额、贷款记录、近期活动位置、常用手机设备、家庭详细住址、网购记录、账号密码。然后分开或完整出售单条数据,每条售价可达几百元。这个收入十分惊人,而且每条数据都可重复出售,定期更新出售。
数据是核心 取之需有道
正是有着强烈的需求,用户信息泄露才会愈加猖獗。
互联网时代,一切皆可数据化,而数据即核心竞争力,也成为互联网公司的共识。对互金企业来说,大数据不仅关乎平台规模的增长,更关系着平台风控的成效。
互联网企业获取数据需要合规合法,一切通不合法途径获得的用户数据,将涉嫌刑事犯罪。2015年,《刑法修正案(九)》第十七条将刑法第二百五十三条之一修改为“侵犯公民个人信息罪”。该法条规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
国家有关部门对公民个人信息买卖行为进行立法约束,为维权提供了法律依据。但在具体实践中,由于很多数据交易是地下进行,监督起来并不容易,而受害人的维权过程又十分漫长。所以,想要不因个人信息泄露而蒙受损失,一方面,我们自己要提高安全意识,少登陆注册不明网站、APP,以减少个人信息泄露的风险,另一方面,则是寄希望于掌握大量用户信息和对数据有需求的企业,守住道德底线,通过合法途径收集、整理、调研数据,切忌侵害公民个人信息,防止刑事法律风险。