尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
竊取個人隱私已成黑色產業鏈
信息泄露的第一道防線多處「破圍」
隨著移動互聯網的發展,移動互聯網的安全問題也日益凸顯。網路軟件使用權限和隱私問題一直是用戶關注的焦點,惡意程序、各類釣魚和欺詐層出不窮,黑客攻擊和大規模的個人信息泄露事件頻發。我們的信息是如何被悄然竊取的?用戶要如何規範自身的線上行為,確保個人信息安全?如何營造乾淨、清潔的互聯網環境?化解這些問題,需要用戶、軟件開發商、平台經營方、相關監管部門共同參與,善意配合,積極推動。同時,網路信息安全的立法須盡快跟上,相關部門也應加大對網路刑事犯罪打擊的執法力度,切實保障網路用戶的合法權益。
2019年春運即將開始,12306等搶票平台基本上處於數據高速運轉、超載服務狀態。隨著12306巨量的信息資源不斷湧入,形成了龐大的用戶數據庫,有網友爆料,60萬個12306帳號和410萬條聯繫人數據在暗網低價出售。
在網友上傳的一張交易截圖中,賣家聲稱掌握了12306中60萬個帳戶信息以及這些信息人的關聯關係。賣家以兩份Excel表格形式出售用戶隱私,其中帳號表包含的數據有ID、手機號、用戶名、明文密碼、姓名、身份證號、郵箱、問題及其答案,另一張表格則含有帳號姓名和身份證。
為了證明其兜售信息的真實性,賣家特意展示出50個用戶的詳細帳號信息,及兩名用戶的常用聯繫人。而另一張上傳的截圖顯示,隨意選取50個帳戶中的一個進行登錄,12306官網即刻顯現出其常用聯繫人的姓名、身份證、部分手機號和旅客類型。
隨後,有媒體嘗試撥打被公開信息人的電話,有4人確認了帳號、密碼、身份證號的真實性。部分號碼是空號或者錯號,接聽機主的姓名、帳號、身份證號等信息與被披露的信息並不一致。
針對此事,中國鐵路總公司官方微博回應稱網傳消息不實,12306網站未發生信息泄露事件。業內專業人士分析,由於12306數據量遠遠大於400萬,這些數據可能是官網以前泄露的,或者是第三方泄露,比如一些熱門的搶票軟件。
隨著移動互聯網的發展,網路軟件使用權限和隱私問題一直是用戶關注的焦點,信息數據在無形的流量中遊走,成為各大互聯網巨頭爭搶的「法寶」,大數據是王道,流量即變現。然而,個體隱私信息的泄露、竊取和販賣也正在野蠻生長,甚至生成了驚人的黑色產業鏈。
我們的信息如何被悄然竊取?作為用戶,如何規範自身的線上行為,確保個人信息安全?如何營造乾淨、清潔的互聯網環境?化解這些問題,需要用戶、軟件開發商、平台經營方、相關監管部門共同參與,善意配合,積極推動。
信息泄露的第一道防線多處「破圍」
在PC端和移動端還未普及之前,個人信息如銀行密碼、身份證號、家庭地址等,泄露的規模和速度呈分散式小口徑。而互聯網出現以後,與用戶身份認定、金融信息、生活服務等數據緊密綁定,個人隱私信息泄露呈幾何倍增加。
用戶隱私泄露,首先歸因於線上用戶諸多不良習慣。作為個人的隱私信息,沒有主動泄露一說,要麼是被用戶無意識流出,要麼是被不法分子刻意竊取。
企鵝智酷通發布《中國網民個人隱私狀況調查報告》,報告指出:以「幾個密碼通用於大多數帳號」的中國網民占比達到50.8%。對自己擁有的所有帳號都採取同一套密碼的人占14.9%。在信息泄露時,接近六成人選擇僅修改泄露平台的密碼。
用戶對於個人密碼的通用是大環境影響,越來越多的服務平台鎖定用戶的專屬信息,「遊客登錄」方式逐漸淘汰。20多歲的李女士接受中國婦女報·中國女網記者採訪時表示,「常用的密碼有兩三個,其他密碼雖然不一樣,但構造相同,方便記憶。」
被問及是否更傾向於採用指紋登錄代替密碼登錄時,李女士坦言不會過多使用指紋輸入方式,「一是指紋不安全,害怕別人在自己無意識的情況下進行操作,二是針對一些付款指令,指紋操作太快,很容易出錯。」
其次,《2018數字消費者洞察報告》顯示,在與新企業進行交易時,94%的中國大陸消費者對企業共享其個人數據持開放態度,以獲得更便捷的服務或消費體驗。
百度董事長李彥宏曾在公開場合表示,中國用戶在個人隱私方面更加開放,一定程度上願用隱私換取方便和效率。雖然說法較為武斷,不能作為真實的調研性結論,但也說明了眾多網民在進行線上服務交易時仍處於被動地位。
我們的信息如何被竊取?
App的附加信息錯綜複雜,留痕操作導致信息泄露成大概率事件。美劇《你》中,男主人公偷窺女主在Facebook、twitter的隱私信息,通過女主曬出的照片定位,社交關係,順藤搜尋出了女主的成長經歷、家庭情況、情感狀況、消費習慣以及家庭住址和工作單位,並根據這些信息對女主進行跟蹤,設計偶遇陷阱。該劇旨在表現,信息爆炸時代來臨後,個人信息的竊取輕而易舉,熱門社交軟件中大量隱私的泄露將威脅用戶人身財產安全。
據《App個人信息泄露情況調查報告》稱,讀取位置信息權限和訪問聯繫人權限是安裝和使用手機App時最常出現的情況,分別占86.8%和62.3%。受訪者被要求讀取通話記錄權限(47.5%)、讀取簡訊記錄權限(39.3%)、打開錄影頭權限(39.3%)、話筒錄音權限(24.6%)的比例也相對較高。
南都個人信息保護研究中心負責人娜迪婭表示,軟件商應該區分核心功能信息和非核心功能信息,地圖App的核心功能就是定位,但如果這個App的衍生服務不涉及定位導航,仍需要強行開啟用戶的位置信息,這是不合理的,用戶在授權時應當謹慎選擇。
「目前,黑客攻擊造成的信息泄露,是線上個人信息被竊取的主要方式之一。另外就是內部工作人員的刻意泄露,客觀上由於系統管理漏洞導致,主觀上則是涉及信息的竊取、販賣。」娜迪婭介紹。
娜迪婭強調,「撞庫」現象近年來也越發嚴重。根據之前描述的「用戶帳戶密碼同一或相似」問題,一旦黑客方獲悉了用戶的一個登錄密碼,就會用這些「料」嘗試批量登錄其他網站,連帶搜尋用戶其他的個人網上信息,造成用戶信息大量被竊取。
例如,在國內多起盜刷金融卡案件中,騙子先通過在網上買來的受害人金融卡帳號、身份證號碼等信息,再用軟件「撞庫」,相匹配的金融卡帳號和密碼就會顯示出來,之後通過用電商平台給買家充手機費等手段,將錢一筆一筆從金融卡中轉移出來。
娜迪婭給出建議,在進行網上交易活動時,盡量不要給出精確的個人信息,更不要使用單一的帳戶密碼。並且,一般大型的互聯網公司,技術能力較強,對用戶信息的監管能力要優於小企業,用戶在選擇同質化服務時,需要考慮到這一點。
完善立法保護是重中之重
2016年12月發布的《國家網路空間安全戰略》對「個人信息保護」提出了明確要求:保護本國信息系統和信息資源免受侵入、干擾、攻擊和破壞,保障公民在網路空間的合法權益。這是大陸第一次發布關於網路空間安全的戰略性文件。
此後,關於網路信息安全的相關政策法規陸續出台,網路安全的法規體系和相關制度體系正在逐漸完善中。中央民族大學法學院二級教授宋才發表示,從法律層面保護網路合法權益,可以從三個維度著手,一是各級政府必須加強對關鍵信息基礎設施的安全保護,二是加強政府對網路空間秩序的管控和引導,三是加大對網路刑事犯罪打擊的立法和執法力度。
「首先,各級政府是主要責任人並承擔主要責任,要引導和鼓勵公眾通過互聯網參與公共事務,讓人民群眾有條件和機會監督政府,促使公權力運行更加公開透明。」宋才發表示,政府主管部門必須清醒地認識到,要守護公民隱私保護與合理利用的邊界,不能僅靠應用商「妥善保護用戶信息」的承諾,也不能僅僅依靠企業自律解決問題。
同時,加大對網路刑事犯罪打擊的執法力度是遏制個人隱私販賣的必要措施。宋才發教授建議,對於出賣用戶信息,倒賣個人隱私的非法行為,國家立法機關要根據網路犯罪的技術特點增設資格刑,推動網路非法行為的入罪進程;檢察機關和執法機關要著力構建互聯網風險防控體系,加大對網路刑事犯罪打擊的執法力度。
去年11月1日起施行的《公安機關互聯網安全監督檢查規定》,標誌著互聯網安全將進入規範化執法、流程化監管的新階段。其中明確規定,「公安機關在互聯網安全監督檢查中,發現互聯網服務提供者和聯網使用單位,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。」
同時,公安機關及其工作人員對依法履行互聯網安全監督檢查職責中知悉的個人信息和商業秘密,應當嚴格保密,不得泄露、出售或者非法向他人提供,構成犯罪的,要依法追究刑事責任。把獲取的信息用於其他用途的,要對直接負責的主管人員和其他直接責任人員依法給予處分。
這意味著,一旦個人信息泄露即將受到處罰,這對於許多因個人信息泄露,長期遭受電話行銷、電信詐騙困擾的民眾來說,無疑又增加了一道自我權益保護防線。