网络图片
近日,数据泄露事件频发挑动着用户的神经,万豪、陌陌等企业更是深陷其中。
不过,现实情况或许比这更糟糕。记者调查发现,提供一个手机号码或者身份证号,就能查到被调查人的全国开房记录、通话记录、微信聊天记录甚至名下资产等十几项个人重要隐私数据。
更匪夷所思的是,这些数据或许正被人以500-900元的价格随意买卖着。
“500元可查开房记录”
12月3日,记者通过QQ添加了一位名为小武(化名)的服务商。当记者提出有个人信息查询的需求时,对方立即发来了一张图片,上面列举了18项可查询的项目,包括全国开房记录、手机定位找人、通话记录查询、快递收货地址、个人户籍、名下资产等。
与小武的QQ聊天截图
小武称,个人开房记录和淘宝收货地址都可以查,大概两个小时左右能出结果。“我们这边统一价格,查开房880(元)一次,查淘宝收货地址680(元)一次,先付一半定金下单,出结果验证信息后付尾款。”小武说。
另一位名为柯南(化名)的服务商介绍,查开房记录只需提供对方姓名及身份证号,30分钟内即可查出对方3-5年的开房信息。“查单人开房记录500元,查同住记录800元,不过要先付100元定金。”
柯南还表示,付800块他们也可以恢复调取指定用户的微信聊天记录。“先支付定金100元,提供对方账号和现使用手机号码,30分钟内我们完单,导出记录给你,包括已删除的信息。”柯南说,“查询别的项目也可以,比如手机定位、机主信息、火车航班信息、淘宝收货地址等,具体看你需要什么,我们配合。”
服务商云海(化名)则对记者表示,除了微信聊天记录,他们还可以查到好友列表和朋友圈信息。“查一次780块,40-70分钟出结果,只需要提供微信号、手机号,可以查一年以内的记录。”云海透露,他们是一个团队,有专门的技术人员和后台渠道,可以放心。
为了证实情况,记者向柯南提供了一个手机号码,要求查询该手机号码机主的淘宝收货地址。柯南称,查淘宝收货地址也是800元,预计30分钟出单,需先付100元定金,避免跑单。
大约45分钟后,柯南发来一个压缩包,不过该文件需要输入密码才能打开。柯南称,付完尾款才能把密码发过来。为了证明文件的可信度,柯南准确说出了上述手机号码的机主姓名。
不过,当记者继续质疑文件的真实性时,柯南称他们的数据绝对靠谱。“你要查的信息是我们从各大快递公司联网的数据拿的,有内部人员配合。”柯南说,“告诉你太多了。”随后,记者拒绝了付清尾款。
数据泄露危害远超想象
记者注意到,2016年12月和2017年2月,《南方都市报》、中央电视台曾分别报道个人信息如开房记录、位置信息被随意买卖的情况。如今两年过去了,这一情形并未得到明显改善。
不仅是个人信息被随意买卖,今年以来,尤其是近期,用户数据泄露事件频繁发生,Facebook、Uber、华住、顺丰、万豪、陌陌等企业深陷其中。
在此次万豪信息泄露事件中,根据万豪公布的信息,泄露的房客信息包括名字、邮寄地址、邮箱地址、电话号码、护照号码、出生日期、性别、到达和离店信息等,其实已经构成一种完整意义上的个人大数据。
对于频频被曝光的数据泄露事件,360一位安全专家在接受记者采访时表示,事件背后有一定的经济或情报利益动机存在,但更应考虑的问题是这些数据在后面的环节是如何被利用的,买家购买这些隐私数据后是否有进一步的应用场景,如电信诈骗、金融账号攻击等,这些危害比直接的数据买卖更具危险性。
上述360安全专家表示,用户数据泄露事件频发背后体现的是攻防失衡的现实。数据泄露事件大多是在过了很长一段时间后才曝光出来,攻击者可能用几分钟就攻破了网络,几分钟到一小时就可以窃取企业留存的用户隐私数据;而安全人员可能是在数月或者一年后才能发现已经发生了数据泄露事件。
个人信息如何保护?
频发的数据泄露事件,引发人们对个人信息保护的担忧和思考。那么,个人信息该如何保护?
一位不愿具名的网络安全专家对记者表示,对于个人用户,需要定期更换并使用较长(10位以上)的复杂(大小写字母、数字、特殊字符)密码外,并分级管理自身的密码,如一级金融账号密码、二级重要账号密码、三级普通网站密码。遇到数据泄露事件,应及时修改密码并同时修改和泄露相关的其他账号密码。
360集团董事长兼CEO周鸿祎此前在接受记者采访时曾表示,互联网用户信息的保护,一方面要靠互联网公司的自觉自律,但更重要的是需要立法进行规范。他认为,要进一步完善网络安全法,对用户数据保护进行更清晰的定义,制定用户隐私信息保护“三原则”。
周鸿祎指出,上述“三原则”包括:一是国家应尽快立法明确用户使用互联网公司软硬件产品、服务产生的数据信息,是属于用户的个人资产;二是保障用户对数据信息使用的知情权、选择权;三是明确互联网公司保护用户数据信息安全的责任,用户与互联网公司存在服务契约关系,互联网公司有义务、有责任保护用户数据信息安全。
中国互联网协会法工委副秘书长胡钢在接受记者采访时表示,我国已经建立了个人信息保护的刑事、民事与行政法律框架,并开始就个人信息保护推进专门立法工作。
依据我国刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,最高可处七年以下有期徒刑,并处罚金。
同时,依据我国《侵权责任法》《关于加强网络信息保护的决定》《消费者权益保护法》和《网络安全法》等,非法出售公民个人信息者,还需要承担相应行政责任与民事责任。目前,《个人信息保护法》也正在制定中。