3月19日,微博用戶“@安全_雲舒”發文稱很多人手機號碼被洩露,根據微博賬號可以查到手機號。隨後微博方面回應稱,確實存在手機號洩露,但沒有密碼洩露。事件發生後,佟林(Phala隱私協議創始人)以臥底的方式進入洩露數據的“地下”交易環境,摸清了灰產的整個服務架構,並公開發文披露。發文不到24小時,他本人的身份信息也遭到惡意散播。我們聯繫到佟林,他講述了這次的臥底調查以及目前的信息灰產問題。
▌關鍵信息的洩露大大降低了“人肉”的門檻
南都觀察 :3月19日爆出微博信息洩露事件後,你通過臥底的方式去還原了整個信息交易的灰產架構,當時為什麼會決定做這麼一個事情呢?
佟 林 :研究生畢業後,我在互聯網行業工作了三年,先後就職於騰訊和滴滴。後來我接觸到Web3.0的概念——一種建立於開放、去信任化、尊重網絡公民權利的未來網絡形態。雖然它還只是一個概念,但比起之前在互聯網公司的工作,這件事更符合我心中的價值觀和理想,於是我開始創業,主要方向就是Web3.0的數據隱私保護解決方案。所以我一直在觀察這個領域的市場,做一些調研,也輸出一些產品和技術解決方案。掃描到微博洩露這個事件後,我個人比較好奇這次洩露是否涉及微博密碼,還想知道具體情況如何,於是就臥底進入了這樣一個交易環境。
在整個交易環境摸索了一圈之後,我發現整個事件比我想象的還要可怕。雖然我不能確認微博密碼是否被洩露,但可以確認的是,通過微博賬號就可以查到對應的手機號,而且它的數據準確度、交易流程已經進化得非常厲害了,可以完成自動交易,就像是“黑市的淘寶”。我本身從事於隱私保護領域,平常也會呼籲大家重視隱私安全,所以在搞清楚整個交易環節後,我決定把它發出來,向公眾披露。
南都觀察 :對於你剛剛提到的“Web3.0的數據隱私保護解決方案”,它是怎樣的一種解決路徑或產品形態?
佟 林 :簡單來說,這種解決方案的思路是基於“我不信任任何公司或個人”的假設。比如在這次事件中,我是因為相信微博所以才輸入我的賬號和密碼,交給微博保管,但微博“辜負”了我。而Web3.0想要做的就是一套去信任化的數據保護與使用的解決方案,它的核心假設就是不相信任何人,而是選擇相信數學或是密碼,然後基於這種假設去設計互聯網底層的設施和架構。不過這種方案避免不了用戶自己安全意識弱導致的密碼洩露,也無法讓已經洩露的數據被挽回。
南都觀察 :在你看來這次信息洩露是偶然事件嗎?
佟 林 :信息洩露或者說信息安全問題是必然存在的,在安全界就不存在“無風險”。這次微博洩露應該是微博接口的安全問題被暴露,而不是更嚴重的“拖庫”(指從數據庫中導出數據,如今多指黑客入侵網站竊取數據庫的行為)。可只要我們信任互聯網公司提供的服務,把賬號密碼輸入進去,就只能指望他們不出事,然而事實是人在管理數據,出事是必然的。
南都觀察 :據說這次信息洩露涉及5億多用戶,這些被洩露了信息的用戶會有什麼安全隱患嗎?
佟 林 :因為微博的用戶量非常大,所以即使暴露的只是手機號也非常可怕。我在調查整個產業鏈時發現,這次涉及的“社工庫”(大量外洩的用戶隱私數據集合地)已經將大部分歷史上的黑產數據融合在一起了,而且交易體驗相當順滑且隱秘,工具鏈也很齊全。
這就意味著,雖然這次微博洩露只是涉及微博ID和手機號這樣一個關聯信息,不涉及其他信息,但只要有了手機號,就可以不斷使用工具查出對方的戶口本、定位軌跡、銀行流水等信息。之前我想要查你的信息,可能得先想辦法查到你的手機號,但因為這次洩露,我通過你的微博ID就能查到你的手機號,相當於大大降低了人肉的門檻。我自己在試驗時就發現,很多公眾人物的手機號都能直接通過微博ID查到。所以說,這些用戶因為手機號被洩露,其他私人信息也能很容易地用手機號關聯出來。
▌信息安全面前,每個人都在“裸奔”
南都觀察 :在發文揭露了這一事件後,你的個人信息很快被其他人公開出來,包括手機號、身份證等信息都被散播在一些網絡群組中,可隨後你主動站出來公開了更多的個人信息,包括你所從事的行業,為什麼會做這樣一個決定?
佟 林 :我已經被掛出來了,也就不可能再隱匿,只要他們想查肯定能查到。那既然已經這樣了,我就想著不如藉此機會向公眾揭露更多的事情,所以我又發了第二篇文章公開了更多的信息。
南都觀察 :還有人在黑市上眾籌你親友的信息,這件事情對他們產生影響了嗎?
佟 林 :目前還沒有,但隨時有可能。因為現在的手段很齊全,這只是他們想不想的問題。不過我也和身邊的人都同步了消息,請他們做好準備。
南都觀察 :我們這些普通用戶要如何知道自己的信息是否被洩露了呢?有沒有什麼預防或彌補的方法?
佟 林 :目前國內沒有很好的自查工具,國外有一些,可以查你的密碼是否已經被洩露。但老實講,我認為大家不用假設自己的信息沒有被洩露,因為我身邊的人的信息都能在“社工庫”裡查到。信息洩露的問題比大家想象中的要嚴重得多。只是說目前你的信息對其他人沒有什麼價值,所以沒有人會去查你。也正是如此,很多人也就沒有什麼防範心理,不會去修改自己的密碼,或者去做更多的安全動作。可一旦哪天有人想查你了,你什麼防範措施都沒有,這是最可怕的。至於彌補的措施,黑產有一個特徵就是隻要你的數據流入到庫裡,那就永遠不可能抹除。
南都觀察 :能不能給我們簡單介紹一下你提到的“社工庫”?
佟 林 :這是利用社會工程學的一種數據庫,歷史悠久,基本上開發者入門時都瞭解過,而且很多數據都是開源的,隨便下載。
比如我有3個數據庫,一個是微博的手機號+微博ID,一個是手機號+身份證號,一個是手機號+QQ號,我可以通過寫代碼和社會工程的思路,用手機號把你的身份都串起來。再利用QQ群關係庫,找到你的好友,而在2013年發生了QQ群關係洩露事件之後,基本上你前半生的興趣愛好、好友記錄這些信息,在黑市裡可以隨便查。通過一次又一次的關聯,最終這批人手裡就可以掌握非常詳細的用戶檔案。
南都觀察 :所以每個人在“社工庫”中都有信息“裸奔”的風險嗎?
佟 林 :對,即使這個庫裡沒有你的信息,另一個庫裡也會有。比如這次我被報復,有人想查我的信息,很輕易就能查到,即使他個人沒有這個技術,花個幾十塊錢也能買到。
▲ 佟林找到了購買隱私數據其中一個根據地,通過電報按圖索驥、購買服務,摸清了灰產的整個服務架構和運作流程。 © Phala可信網絡
▌猖獗的信息灰產
南都觀察 :所以如今信息灰產已經是一個很普遍的產業了嗎?
佟 林 :是的,舉一個很宏觀的例子,貴陽大數據交易所的創始人曾經說過,黑市數據交易額大概是合法數據交易額的100倍。
南都觀察 :都有哪些類型的信息會被用來買賣交易呢?
佟 林 :一切信息,線上線下的都可以。包括身份證號、姓名、家庭地址、手機號、曾經用過的賬號密碼、QQ群關係等,還有一些線下的信息,比如手機定位軌跡、銀行流水、消費記錄,都能查到,只不過看你願意付幾塊錢還是幾百塊錢。最貴的是銀行流水,花1000多塊錢也能查到。
南都觀察 :整個信息灰產大概是怎樣運行的?產業上下游有哪些主要主體?
佟 林 :分賣方和買方兩個部分說吧。賣方主要有三類人群,第一類是最上游的黑客,他們負責主動去扒新數據,比如這次微博洩露的信息就屬於新數據。黑客基本處在產業鏈的上游地位,掌握數據源,也掌握話語權。
黑客有時候會直接和一些企業合作,假如有一家主打醫療產品的互聯網公司想要融資,但缺少訓練數據(數據挖掘過程中用於數據挖掘模型構建的數據),便可能會委託黑客攻擊幾個醫院的數據庫。企業和黑客達成一個協議,付給黑客幾十萬,把數據扒下來,而且黑客要保證前幾個月這些數據不能流入黑市,只能供企業使用,接著企業就拿這些數據去找融資公司的VC(Venture Capital,風險投資)談生意。
與此同時,黑客手中還有一份數據的副本,如果他是一個講誠信的黑客,會等到協議期期滿,再把這些數據丟到黑市裡去進行關聯。所謂關聯,就是把這些新的數據和既有的數據庫結合在一起,以索引到更多的信息,相當於黑客在拿了客戶的錢之後將這些信息再進行二次轉賣,達到利益最大化。這就是黑客在乾的事,他們基本處於食物鏈頂端。
還有一部分人和黑客類似,但比較特殊,被稱之為“內鬼”。像我這次被人肉出來的信息顯然是一個執法機構後臺索引出來的結果。一般來說,身份證號、戶口本以及開房記錄、行程軌跡等信息,很可能是由一些執法機構或互聯網公司的“內鬼”所提供。
第二類是中間商,比如我這次調查的“社工庫”,它已經形成了一個平臺來連接買方和賣方,整個交易過程也非常自動化,和淘寶差不多,這個就屬於二次開發,也是中間商主要乾的工作。
最後一類則是銷售方,這些人會冒著極大的風險在QQ群、微信群、百度貼吧等地方去分發業務,碰到感興趣的人就會找他們購買。
至於買方,主要包括幾類,一種是剛剛說的有數據需求的普通公司,然後還有一些詐騙集團也會有數據需求,比如一個針對保健品的詐騙,這些騙子可能就需要60歲以上患有高血壓的老人的手機號,然後針對這些手機號去進行詐騙。這些是比較重要的一類買方。
而近幾年需求上升比較快的是追債公司,有些P2P公司收不回賬就會去找追債公司討債,這些追債公司就會去買欠債人的個人信息,包括軌跡定位,這樣就比較方便他去追債。還有一些比較散的需求,比如私家偵探以及一些有特殊需求的普通人。
南都觀察 :目前打擊信息灰產的力量主要來自哪裡?分別起到怎樣的作用?
佟 林 :主要是網警,我們叫“淨網計劃”,每年會集中打擊一兩次。以往幾年還能有一些收穫,可以抓一批下游的銷售方和買方。但我這次調查揭露的是比較偏中游的一個環節,老實講不太可能能抓到。幾個原因,第一是所有的信息交流都在Telegram(一款跨平臺的即時通訊軟件)上進行,它是端到端加密,沒法像微信、QQ一樣去獲取聊天記錄,也不可能去獲取身份;第二是因為所有交易使用的都是數字貨幣,無法關聯到真身;第三是銷售端普遍使用假身份,都是從黑市購買的“四件套”(包括身份證、這張身份證辦理的銀行卡、該銀行卡U盾以及綁定該銀行卡的手機SIM卡);最後還有VPN(Virtual Private Network,虛擬專用網絡)的原因,以前網警追查一個人,靠IP地址就能索引到你的位置,但普遍使用VPN後這種方法就不太可行了。
南都觀察 :聽起來現在很難有有效的方法去打擊信息灰產了。
佟 林 :如果說投入足夠的執法成本,也許能有一定的效果。比如有一些不法分子會因為不夠謹慎或想要耀武揚威而洩露一些信息,執法機關是有可能查出來的,像韓國的N號房事件,運營者使用的也是Telegram,但還是被找到了。其次,有一些虛擬貨幣的交易也有可能能查到,不過得依據具體情況。
南都觀察 :前面你也說到,幾乎每個人都在信息“裸奔”。從你的觀察來看,目前大眾對於信息安全的問題有足夠的瞭解和重視嗎?
佟 林 :我自己感覺這種隱私保護的意識是有所覺醒的,比如去年很火的換臉應用,因為有信息洩露的風險很快就引起了大眾反彈。但從產業的角度來講,保護意識不能靠大眾,而要靠國家的頂層設計來強制執行。舉個例子,在歐盟和美國,分別有GDPR(General Data Protection Regulation,通用數據保護條例)和CCPA(California Consumer Privacy Act,加州消費者隱私法案),只要互聯網公司不符合隱私保護法案的設計,每年會罰其最多4%的收入,可能達到數十億美元,因此被懲罰的公司非常有動力去改造自己的互聯網設計,真正去落實保護措施,也希望我國能儘快參考實施。
而對於大眾來說,最好的保護措施就是儘快改掉所有密碼,儘量使用不同的密碼,過於簡單的密碼非常容易被集體攻破。其他的也做不了什麼,已經洩露的數據你無能為力,而實名制會讓你更容易被人肉。因為實名制推行後,這些實名數據存放在各個互聯網公司中,但整體對實名數據的保護又不夠有力,就可能會演變成全民裸奔,無一例外,所以還是希望以後能加強管理。
閱讀更多 南都觀察 的文章
