信息泄露黑灰产业链滋生巨大非法获利空间

黑客内鬼致个人成“透明人” 信息泄露渠道“无孔不入”

信息泄露黑灰产业链滋生巨大非法获利空间

“李女士，您所购买的小区最近正在交房，您家装修公司选好了吗？”

“您好，我们银行最近有装修贷产品做活动，利率很优惠，您有需求吗？”

“您家房本快下来了，您有考虑卖房吗？”

……

自从李女士买了房，她的生活就像被跟踪一般，装修公司、银行、中介的各种推销电话每天各种轰炸。大多数人都有过和李女士类似的经历。究其原因，正是信息泄露让我们无形中变身“透明人”。

“黑客”难躲“内鬼” 频现泄露渠道“无孔不入”

个人信息究竟是怎么被泄露的呢？在诸多的信息泄露案背后，不乏“黑客”和“内鬼”的身影。

值得注意的是，现实生活中，一些信息泄露途径十分隐秘，无形之中我们就已然变身为“透明人”。

无处不在的摄像头已经成为获取个人生物信息的重要渠道。业内专家表示，个人生物特征数据具有唯一性和不可再生性，一旦被窃取，无法追回和变更，将对个人隐私保护带来极大的、不可逆的风险。人脸信息明文传输，每次刷脸解锁均会反复上传，很容易发生泄露，且识别可靠性差，使用翻拍照片即可轻易破解。

另外，电信运营商、短信通道、第三方平台等也已经成为近些年来不可忽视的泄露渠道。“用户访问客户 站/App的记录被运营商泄露、用户数据被第三方工具或平台泄露、企业下发给用户的短信被第三方短信通道泄露等，都时有发生。”业务情 安全企业永安在线产品经理邹洪志表示。

“黑灰产人员可以获取到访问过该证券公司官 的用户手机 码，有些还可以获取到用户姓名、运营商、省份、城市等相关数据。”他说，运营商能拿到用户的上 流量，可以通过用户手机 -设备-流量（访问 址）对应上，然后通过内鬼或者某个接口泄露到第三方“大数据营”公司之类去卖。邹洪志说，一些数据卖家明确表示只支持某一家电信运营商，也从侧面证明这些卖家是与运营商合作的。

专家指出，实名制的深入实施让个人信息常与设备、账 绑定，进一步放大了信息泄露的风险。360集团手机安全研究员俞奎表示，某种程度上，身份信息、支付等校验的是设备、账 ，而不是本人，即谁掌握了他人的信息，即可实现身份冒充。如果平台遭受黑客攻击，或有内鬼泄露，那么用户交付出去的个人信息用途并不可控。

层层加密无法追踪 暗 等平台成信息买卖“大本营”

在一些隐秘的角落，有关个人信息的非法交易“无时无刻”都在进行。“传统的泄露数据大都在QQ、微信以及地下论坛等交易。然而，随着国家对 络空间治理和打击力度的加大，越来越多的泄露数据在‘暗 ’这种匿名、匿踪的黑市交易平台出售。”姚磊说。

陈莹璐表示，“暗 ”被称为“隐藏的服务器”，其域名数量达到表层 络的400-500倍，运营环节具有全方位的程序保护和复杂的登录方式。犯罪分子借助暗 匿名、无法追踪等特点，并使用赌博平台、虚拟货币进行交易，层层加密为游走在“暗 ”的犯罪分子提供了技术上的“保护色”。

实际上，“暗 “已成个人信息买卖“大本营”。姚磊介绍，2020年以来，在“暗 ”出售的部分重要数据包括：2021年1月，印度支付公司Juspay超1亿用户的借记卡、信用卡信息在“暗 ”上销售；2020年8月，黑客在“暗 ”出售美国1.86亿选民数据；2020年4月，超50万Zoom用户账户在暗 出售；2020年3月，5.38亿条微博用户信息在“暗 ”出售，包括用户ID、微博数、粉丝数、关注数、地理位置、手机 等。

滋生诈骗、勒索 信息泄露成“精准”犯罪“助推器”

陈莹璐表示，随着经济的快速发展和信息 络的广泛普及，公民个人信息的经济价值日益凸显，导致侵犯公民个人信息的犯罪屡打不绝，且成为了滋生电信 络诈骗、绑架、敲诈勒索等下游犯罪的源头， 会危害日益突出并多发，已经史无前例地成为影响个人甚至国家安全的重要问题。

“囿于违法所得金额的限制，对于涉公民个人信息犯罪违法所得的追缴与罚金的财产性处罚，却远不足以填平公民个人信息泄露造成的次生危害。”北京市第三中级人民法院副院长辛尚民表示。实践中，行为人利用非法获取的公民个人信息实施的犯罪主要有诈骗罪，比如向不特定对象发送“中奖”信息；合同诈骗罪，比如利用某些理财软件漏洞骗取财物；敲诈勒索罪，比如利用酒店开房记录等住宿信息对相关人员进行勒索。

值得注意的是，数据泄露及贩卖正从单纯的交易数据演变到交易数据访问权限。 络犯罪分子已将注意力从个人信息转移到了更庞大的数据库——工业企业数据库。黑客利用漏洞窃取企业核心数据，并通过勒索软件加密企业相关设备。随后，这些数据将被进行“双重勒索”，如果不支付赎金不予解锁，同时会泄露被盗数据。尤其是在制造业智能化程度大幅提高的背景下，智能化工控系统（ICS）已成为黑客攻击的目标。

闪捷信息安全战略研究中心发布的《2020年度数据泄漏态势分析 告》显示，2020年受勒索攻击而造成数据泄露事件占所有数据安全事件的15%，成为常态化的数据安全事件。

据此前江苏省南通市警方通 ，在“净 2020”行动中，成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施 络敲诈勒索的案件，非法获利的比特币折合人民币500余万元。