數據庫「裸奔」，個人資訊屢被竊後在「暗網」掛售

首發：11月2日《新華每日電訊》調查·觀察周刊

作者：新華每日電訊記者顏之宏、關桂峰

在「黑色產業圈」，拖庫意指將機構數據庫中的重要數據竊走。由於拖庫與「脫褲」發音接近，且重要數據中包含了大量用戶隱私信息，因此這個詞還暗喻被竊取隱私信息的用戶被扒得「一絲不掛」。

今年以來，多家機構的用戶數據庫發生拖庫事件，包括網購商品信息、學籍信息、個人從業經歷甚至開房記錄等高度敏感信息均在「暗網」上掛售。不少人提出質疑：我們究竟還有什麼隱私沒有被泄露?把隱私交給互聯網企業究竟安全嗎?

漫畫：曹一

「大門敞開」的數據庫與黑產的狂歡盛宴

「出售華住集團旗下所有酒店數據(漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友)，附件當中為測試數據，各提供10000條數據供大佬測試……」8月28日，一張經由「暗網」流出的截圖在社交媒體上瘋轉，有地下黑產從業者聲稱掌握了華住集團旗下酒店近5億條數據信息，並以打包價8比特幣或520門羅幣(當時折合人民幣約37萬元)公開出售。

一石激起千層浪，不少人開始在朋友圈感嘆「在互聯網時代毫無隱私可言」，也有人質疑在「暗網」出售的數據並非真實信息。然而，第三方網路安全團隊對「暗網」公布的3萬條數據樣本進行技術鑒定後認定「樣本數據準確」。

更讓人惶恐的是，在「暗網」掛售數據的地下黑產還表示，「以上數據獲取時間為2018年8月14日，如果權限不丟失，後續數據還可以免費發給已購買上述數據的買家」。也就是說，地下黑產對數據庫的入侵行為並非「一次性」行為，而是獲取了訪問數據庫的權限，如果有關方面不採取進一步補救措施，po文者甚至可以做到在數據庫中「來去自如」。

「一些機構認為自己的主業不在線上，也非互聯網行業的主要參與者，因此認為自己遭黑客入侵的可能性不大，從而降低了對網路安全防護的要求，甚至不配齊相應IT部門的人員，從而成為網路攻擊的受害者。」資深網路安全專家Mystery向新華每日電訊記者表示，酒店、航空、教育培訓等傳統行業的數據信息恰恰是地下黑產的最愛，「由於線下強制實名制的要求，這些領域的數據真實度很高，也可以更精準地繪制出用戶畫像，從而給不法分子進一步侵害用戶提供機會。」

有業內人士認為，僅就目前在「暗網」掛售的數據來看，黑色產業鏈從業者自己就可以很精準地做出用戶畫像——你從什麼學校畢業、學的什麼專業、曾在哪些機構工作過、喜歡去哪里玩、喜歡買什麼、愛看什麼類型的電影，甚至和誰住過一間房，都能被大數據精準地「畫」出來。

獲得上述這些數據並非難事，甚至都不用花費太多的時間和金錢成本。南方都市報個人信息保護研究中心發布的《2017個人信息保護年度報告》顯示，黑市上可以輕易買到搜尋對象的個人信息，其中包含近半年來的通話記錄、出行信息、帳單消費以及人脈關係等，甚至還有針對搜尋對象詳細的量化評分。而獲取上述詳細信息的金錢成本，僅僅需要3.8元。

「與其說是地下黑產猖獗，倒不如說這是黑產們的一場狂歡。」Mystery認為，在互聯網時代，用戶數據變得越來越「值錢」，如果有關機構再不把好數據庫的安全關，未來「暗網」上將有越來越多的用戶隱私被「明碼標價」地售賣。

並不神秘的「暗網」世界與松松垮垮的保護意識

不少人對前文反復提及的「暗網」並沒有特別具象化的概念，只是單純地認為「暗網」就是一個「地下黑市」。

據360行業安全研究中心主任裴智勇介紹，「暗網」的典型代表就是「洋蔥網路」，它由美國軍方研發並申請專利。簡單地說，「暗網」就是將傳輸的數據進行加密，並且在數據傳輸過程中，利用其他「暗網」節點進行多次隨機轉PO，從而做到了信息發布者身份信息的隱藏或保密。因此，最終的信息接收者雖然能收到信息，卻很難找到信息的發送源頭。

不過，裴智勇說：「基於現代網路技術和大數據技術，‘暗網’的追蹤溯源已從‘理論不可行’變為‘實際可行’。一些在‘暗網’上倒賣用戶數據的賣家已被警方追蹤並抓獲，這說明在‘暗網’上犯罪也不是絕對安全的。」

需要說明的是，「暗網」並非獨立存在的網路，它也是由運行在普通互聯網上的軟件或設備組成。只是這些軟件或設備遵守「暗網」的通信協議，可以各自獨立工作並互聯互通，不需要任何管理者就能組成一個「暗網」網路。

裴智勇認為：「從單純的技術角度看，很難說‘暗網’是好是壞，但從後來的實踐來看，‘暗網’並沒有像其原始設計者們所想的那樣被用於保護公民言論自由，而是被犯罪分子大量用於個人信息、人體器官、武器軍火和毒品等非法交易。」

但是，裴智勇也指出：「把‘暗網’等同於黑暗的網路也是片面的，因為實際上，通過普通互聯網進行的各類非法交易，規模遠遠大於‘暗網’交易。」

事實上，在哪里販賣用戶數據並不重要，地下黑產是如何獲得用戶信息更值得普通用戶深思。

「我們過去在辦案中發現，一些群眾尤其老年人防范意識薄弱，看到大街上在擺攤的有小禮品送就會去填寫手機號、身份證號等個人信息，還會在對方的指導下掃描二維碼，這都很容易造成個人信息泄露。」廈門市反詐騙中心民警洪恒亮告訴新華每日電訊記者，在一些電信網路詐騙案件中，不法分子冒充主管、親友或冒充「公檢法」查案，很容易就報出了當事人的身份信息，實際上這些信息都是大家在日常生活中無意泄露出去的。

還有一種套取用戶信息的方式，則更符合年輕人的生活習慣，那就是在朋友圈中參與「釣魚活動」。洪恒亮表示，一些行銷號會發布諸如「免費酒店試睡」「轉PO抽錦鯉」等「釣魚活動」，不少年輕用戶缺乏判斷力，容易跟風轉PO從而參與進去，除了填寫身份信息外，還「歡天喜地」地轉PO給朋友圈的其他好友，進一步擴大受害範圍。

「參與這類釣魚活動，輕則成為行銷號的‘僵屍粉’，重則接到精準的電信網路詐騙‘全家桶’。一些不法分子通過對用戶提供的身份信息的解讀重構，甚至還可以盜取其社交帳號。」洪恒亮說，這些被搜集走的個人信息還可能為犯罪分子利用簡訊嗅探設備進一步盜取金融帳戶餘額提供便利。

隱身「暗網」的幕後黑手與「上下失守」的防范措施

相較於開房記錄這類私密性極高的個人信息對當事人的「殺傷力」，被泄露出去的學生學籍信息則對家長的「錢袋子」更有威脅。

7月30日，一條題為《浙江省1000萬學籍數據出售》的帖子在「暗網」某中文論壇中引發關注。po文者稱，其所出售的數據包含學生姓名、身份證號、學籍號、學校名稱、學校序號、班級號、戶籍信息、監護人姓名、監護人手機號、居住地址和學生照片信息，作價0.02比特幣(當時折合人民幣約1000元)。

為了取信買家，po文者還放出一張20多條由上述信息構成的「樣本截圖」，生源地分別為浙江的杭州、嘉興、溫州等地。新華每日電訊記者隨機抽選了3條信息進行電話核實，證實信息準確無誤。

或許是信息過於準確翔實，其中一位家長在通話中「執著」地認定記者就是其孩子的班主任，將要對其進行家訪。在反復說明後對方仍存疑的情況下，記者不得已要求對方以信息泄露為由報警。

幸運的是，公安機關9月發布通報稱，金華市公安局江南分局已於8月10日成功抓獲了非法侵入浙江省學籍管理系統的王某禾等犯罪嫌疑人3名，查獲公民個人信息1100餘萬條。

今年6月以來，「暗網」上針對大陸各政企機構的數據倒賣事件呈多發態勢，且多發於敏感事件節點，有專家認為，此類事件背後的問題值得關注。

在諸多機構被拖庫事件中，泄露數據準確率較高，所涉數據庫種類繁多，其中所展現的黑客挖掘能力較強。北京郵電大學網路空間安全學院副教授蘆效峰認為，「暗網」集中出現針對大陸政企機構的用戶數據倒賣事件可能有外部勢力支持。蘆效峰表示，一些西方國家過去曾在國際場合中多次對大陸網路安全環境「指指點點」，在當前複雜多變的國際局勢下，有必要提防一些外部勢力有組織有計劃地實施網路攻擊行為。

部分機構數據庫維護權責不清，責任主體思想懈怠情況突出。裴智勇表示，對攻擊預警不在乎，對管理規定不遵守，對應急方案不執行，對風險提示不滿意，部分機構安全團隊在思想上麻痹懈怠，甚至在數據庫泄露後仍不執行應急預案，在築牢防范網路攻擊意識關上「上下失守」。

行政處罰措施落實不及時，在行業中易形成消極氛圍。新華每日電訊記者在查閱公開資料後發現，自今年6月A站(AcFun)用戶數據庫被拖庫以來，尚未發現有行政主管部門對有關機構進行行政處罰的通報。專家認為，如行政處罰措施不及時跟進，類似事件可能將反復發生。

急需明確的責任主體與亟待建立的應急機制

專家建議，針對暗網上日益頻繁、規模愈發龐大的用戶數據倒賣情況，有關部門應建立響應機制，同時厘清權責關係，讓廣大群眾在享受互聯網技術的同時更多收獲安全感。

「無論是擁有法律強制力的網路安全法，還是對行業起約束作用的《信息安全技術個人信息安全規範》，我們針對用戶數據保護的法律法規是有的，但是這卻沒有阻擋住猖獗的倒賣數據的行為，這背後的原因值得有關方面深思。」中國信息安全研究院副院長左曉棟認為，大陸在公民個人信息保護上的立法已相對完善，現在需要看到相應部門來落實法律執行。

左曉棟表示，在當前環境下，有多個部門對個人信息保護負有責任，「九龍治水」情況較為突出。他建議，可設立專門機構來應對個人信息泄露問題，對此類專門機構賦予相應的司法和行政權力，對數據保護不力者形成震懾，促使行業內形成「用戶數據就是機構生命」的良性氛圍。

一些第三方網路安全機構在問卷調查中發現，不少機構並沒有建立相應的網路安全應急機制，在極端環境下缺乏應對措施。裴智勇建議，有關部門應督促相關涉事機構加快建立針對數據庫泄露的網路安全應急機制，加大對一些網路安全防護能力不足的機構的指導，倒逼其「防有所指、防有所用」。

此外，部分網路安全專家向記者表示，國內一些機構為壓縮成本，未按要求配齊網路安全團隊，導致數據庫長期處在「放養」甚至「裸奔」狀態，危險系數較高。專家建議，有關部門要有針對性地對傳統行業的數據庫進行排查摸底，對不符合信息安全等級保護規範的機構開出負面清單，並責令其限期整改，切實保護用戶數據安全。