王勇

圖/視覺中國

3月19日，陸續(xù)有微博用戶發(fā)消息稱，出現(xiàn)了疑似用戶個人信息泄露的情況，表現(xiàn)為不少人的手機號已經(jīng)泄露，根據(jù)微博賬號可以查詢到手機號。

對此，微博方面公開回應(yīng)稱，此次數(shù)據(jù)泄露應(yīng)該追溯到2018年底。當時，有用戶利用微博相關(guān)接口通過手機批量上傳通訊錄，匹配出幾百萬個賬號昵稱，再加上其他渠道獲取的信息一起對外出售。

但是，《財經(jīng)》記者深入調(diào)查后發(fā)現(xiàn)，微博用戶信息泄露只是個人信息販賣這一網(wǎng)絡(luò)黑灰產(chǎn)的冰山一角。個人信息販賣已形成一條完整的產(chǎn)業(yè)鏈，且已由國內(nèi)轉(zhuǎn)向國外的網(wǎng)絡(luò)空間。

在這個網(wǎng)絡(luò)空間里，一個人重要的隱私信息幾乎全部暴露。賣家個個“神通廣大”，身份證號、家庭住址、車牌號、手機號，甚至賓館住宿記錄，全部“上架”待售。

而且這條黑色產(chǎn)業(yè)鏈的交易體系也已升級，從使用傳統(tǒng)網(wǎng)絡(luò)平臺及工具轉(zhuǎn)向使用比特幣等新型數(shù)字貨幣為代表的新型網(wǎng)絡(luò)技術(shù)。

外網(wǎng)平臺和虛擬貨幣支付，使得整個交易更加隱蔽和難以溯源。

根據(jù)調(diào)查情況來看，每個人的隱私信息都可能成為待價而沽的商品，這并不是危言聳聽。

有關(guān)業(yè)內(nèi)專家在接受《財經(jīng)》記者采訪時表示，個人信息泄露一般源于黑客攻擊等技術(shù)手段、內(nèi)部人員利用職務(wù)便利竊取并流出。存儲數(shù)據(jù)的機構(gòu)采取各種防范手段，但依然不能保證完全沒有漏洞。

黑灰產(chǎn)業(yè)鏈轉(zhuǎn)移

對于這次的微博用戶信息泄露事件，微博方面表示，微博一直提供根據(jù)通訊錄手機號查詢微博好友昵稱的服務(wù)，用戶授權(quán)后可以使用該服務(wù)。但是，微博并不提供查詢用戶性別和身份證號等信息，也不提供根據(jù)用戶昵稱查詢手機號的服務(wù)。3月的這起數(shù)據(jù)泄露事件，對微博服務(wù)沒有影響。

同時微博方面強調(diào)，此次非法調(diào)用微博接口匹配出的信息僅為微博賬號昵稱，并不涉及身份證、密碼等其他隱私數(shù)據(jù)。目前微博已經(jīng)及時加強了安全策略，并將不斷強化。

3月24日，工業(yè)和信息化部發(fā)布消息稱，工信部網(wǎng)絡(luò)安全管理局在3月21日對新浪微博相關(guān)負責(zé)人進行了問詢約談，要求其按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求，對照工信部等四部門制定的《App違法違規(guī)收集使用個人信息行為認定方法》，進一步采取有效措施，消除數(shù)據(jù)安全隱患。

主管部門和企業(yè)分別采取措施，使得這起泄露事件暫告段落。

但是《財經(jīng)》記者循著此次泄露的線索深入調(diào)查后發(fā)現(xiàn)，這次泄露事件實際只是龐大的個人信息買賣黑灰產(chǎn)市場的冰山一角。

原來出沒于國內(nèi)網(wǎng)絡(luò)平臺的黑灰產(chǎn)人士，紛紛轉(zhuǎn)入以Telegram為代表的國外網(wǎng)絡(luò)平臺，形成了更加隱蔽、更難溯源的新型產(chǎn)業(yè)鏈。

多名知情人士告訴《財經(jīng)》記者，早先，個人信息販子一般使用QQ、微信、貼吧等國內(nèi)網(wǎng)絡(luò)平臺，主要使用微信支付、支付寶等支付工具。但隨著騰訊、阿里巴巴等平臺企業(yè)對黑灰產(chǎn)的打擊力度持續(xù)加大，黑灰產(chǎn)業(yè)在國內(nèi)的傳統(tǒng)平臺已難以立足。

而且，在原來的國內(nèi)平臺上，既有真正出售個人信息的販子，也有以此為幌子的騙子。“有人做廣告說有海量且準確的各類個人信息，購買者付了費后卻直接被拉黑，這種事情多如牛毛?！庇兄槿耸空f。于是，這個產(chǎn)業(yè)鏈開始向外轉(zhuǎn)移，以Telegram為代表的國外軟件使用方便，而且引入了虛擬貨幣等“安全”支付方式，使得個人信息販賣產(chǎn)業(yè)逐漸轉(zhuǎn)至外網(wǎng)平臺，并逐漸擴大規(guī)模且穩(wěn)定下來。

從國內(nèi)轉(zhuǎn)向國外，支付方式更為安全，提供信息和服務(wù)越來越可靠，是產(chǎn)業(yè)鏈轉(zhuǎn)移后的新形態(tài)?！?/p>

這次微博用戶信息泄露事件，確實是由來已久，在群組出售查詢這些信息，已經(jīng)不是新鮮事?！鼻笆鲋槿耸扛嬖V《財經(jīng)》記者。

個人信息應(yīng)有盡有

從3月27日起，《財經(jīng)》記者登錄Telegram賬號，找到了用于出售個人信息的機器人。通過機器人界面，可以加入一個群組。3月28日，這個群組的人數(shù)顯示為4萬人左右，此后，人數(shù)一直在持續(xù)增長。

在群組里，不斷有各類賣家發(fā)布消息出售各類個人信息，涵蓋了個人戶口、家庭戶口、手機號查機主、名下銀行卡、淘寶收貨地址、微博反查、微信反查、快遞單號查詢收貨地址、住宿記錄、出行記錄等等各類個人信息，幾乎無所不包。

形象地說，Telegram平臺上的機器人實際就是眾多賣家將手中的個人信息建成一個可自動檢索的數(shù)據(jù)庫。如果有人想購買或查詢信息，一般使用BTC（比特幣）或ETH數(shù)字貨幣向機器人提供贊助，相當于充值。最低贊助320元人民幣，可折合為260積分。群內(nèi)提示的積分與數(shù)字貨幣換算率大致為0.358ETH=260積分。

按照規(guī)則，10積分可做一次普通查詢，大約等于10元人民幣可查詢一次。如果沒有比特幣，群組里還有專門的代充值服務(wù)。

《財經(jīng)》記者還在Telegram找到了5個其他類似群組，群組所出售和提供查詢的信息與前述群組幾乎沒有區(qū)別，里面打包出售的個人信息價格從幾十元到上萬元不等，涉及數(shù)據(jù)動輒大小有幾個G。

那么，這些只要付費就可以隨意查詢的個人信息都是從哪里來的呢？

《財經(jīng)》記者詢問一些賣家，對方稱，信息是從互聯(lián)網(wǎng)各處“收集”而來。前述知情人士則認為，這些信息有不少是從歷次泄露事件中整合而來，也有黑客會繼續(xù)竊取，使得數(shù)據(jù)庫的規(guī)模不斷擴大。

《財經(jīng)》記者經(jīng)過親身體驗發(fā)現(xiàn)，具體交易流程并不復(fù)雜，找到機器人，買家充值獲得積分后，可以直接用積分進行自動查詢。

《財經(jīng)》記者購買一些比特幣，向機器人支付獲取了積分。為了測試信息的準確性，《財經(jīng)》記者向機器人發(fā)送了10個近親屬及朋友的手機號碼，并支付10個或20個積分進行“綁定查詢”，僅3秒左右時間，機器人提供出查詢結(jié)果。在這10個號碼中，有9個手機機主的名字準確無誤。其中還有一個號碼查詢到準確的微信賬號名和微博賬號名，另有一個號碼則準確查詢到一位朋友使用過的郵箱密碼和家庭住址。

Telegram 平臺上出售個人信息的群組截圖。

在Telegram的此類群組中，手機機主信息只是一個入門級別的查詢?！敦斀?jīng)》記者使用機器人提供的“獵魔查詢”（模糊搜索）功能，向其發(fā)送一個親友的名字，隨即機器人提示選擇男女和省份。在支付100積分后，得到近30條與這名親友同名的身份證號碼信息，記者的親友也位列其中，且身份證號碼準確。

前述知情人士稱，“獵魔查詢”可以被用于“人肉搜索”，只需要提供被“人肉”的人的名字，就可以通過不同的信息，一步步精準鎖定搜索對象。

除了查詢和出售業(yè)務(wù)，《財經(jīng)》記者還聯(lián)絡(luò)了群組中一些出售信息的賣家。記者向一名賣家提供身份證號，表示想查詢這個身份證號的住宿信息。賣家表示，此類信息是以一個數(shù)據(jù)包的形式出售，數(shù)據(jù)包中包括少則數(shù)萬條，多則幾百萬條信息，價格也從幾百到幾千元不等。

這位賣家稱，數(shù)據(jù)包越大，就能查到越多的準確信息。在買到的一個數(shù)據(jù)包中，《財經(jīng)》記者通過身份證號碼查詢，果真得到幾條準確的住宿信息。但住宿時間并不是最新的，基本為2018年以前的信息。

因為機器人充當了第三方的角色，透過機器人查詢購買，得到信息的準確性強、可靠性高，不存在傳統(tǒng)平臺上付款后被賣家拉黑的情況。這對于諸多買家來說，無疑是一種“高品質(zhì)”而又可靠的服務(wù)。

前述知情人士對《財經(jīng)》記者表示，新的銷售方式方便了黑灰產(chǎn)的從業(yè)者“開展業(yè)務(wù)”，這些信息販子隱匿于平臺背后，追蹤溯源的難度增大。同時，個人信息販子預(yù)先購置了大量黑灰產(chǎn)“四件套”——身份證、銀行卡、手機號、U盾，用以提現(xiàn)。

為了保證安全，“四件套”均非使用者本人信息，而是從另一批專業(yè)黑灰產(chǎn)人士那里購得。由此可見，個人信息販子已非單鏈條發(fā)展，已經(jīng)發(fā)展成為產(chǎn)業(yè)網(wǎng)絡(luò)。

同時，信息販子利用數(shù)字貨幣交易的特性，可以為每個賣家單獨生成地址，以便于交易“安全”和隱匿交易痕跡。

經(jīng)過多日調(diào)查，以及一些知情人士提供的信息，《財經(jīng)》記者初步掌握這一黑灰產(chǎn)業(yè)鏈條，上游為一些黑客為代表的技術(shù)人員，他們通過各類手段獲取海量數(shù)據(jù)。中游即為各類信息販子，他們從上游購買獲取數(shù)據(jù)，在群組內(nèi)出售。

購買者根據(jù)自身需求購買數(shù)據(jù)和信息。據(jù)知情人士透露，這些購買者主要為三類群體：網(wǎng)貸從業(yè)者，購買個人信息用于向借款者追討借款;私家偵探，購買查詢信息用于調(diào)查業(yè)務(wù);還有一部分散戶并無具體目的，把購買、查詢自己想要的某個個人的信息當作一種心理需求。

Telegram為何成黑灰產(chǎn)“溫床”？

令人覺得諷刺的是，在有眾多個人隱私信息被交易的網(wǎng)絡(luò)平臺——Telegram，原本是為保護用戶隱私而生的。

2006年，帕維爾·杜羅夫和哥哥一起創(chuàng)辦了俄羅斯最大的社交網(wǎng)站VKontakte，自此淘到了第一桶金。此后，有不少反政府人員把VKontakte當做宣傳平臺，這引起了俄羅斯政府的不滿，要求網(wǎng)站加強審查。

2013年，不甘被政府干預(yù)的兄弟倆退出VKontakte，前往美國，并創(chuàng)立了Telegram。

簡單來說，Telegram是一個加密的社交網(wǎng)絡(luò)平臺，提供秘密聊天、閱后即焚、賬戶定期刪除等功能。

起初，Telegram曾提供了一項功能，即允許用戶通過上傳電話號碼來搜索其他用戶，以便讓新用戶快速了解手機通訊錄中的人是否已經(jīng)在使用這款軟件。這項功能會自動將電話號碼與群組中的用戶名匹配起來，若執(zhí)法部門向當?shù)仉娦欧?wù)部門詢問電話號碼的持有者，就可以知道用戶的真實身份。

后來，Telegram發(fā)布更新，允許用戶禁用電話號碼匹配。這樣就增大了鎖定使用者身份的難度，以此增強了私密性。在這樣的平臺規(guī)則下，Telegram的群組可自由進入，但用戶信息全部很好地得到隱藏。

與之相對，Telegram強調(diào)，它的隱私理念中最重要的兩點分別是保護私人談話不被第三方窺探，以及保護個人數(shù)據(jù)不受第三方侵害。

符合用戶期待的隱私理念，安全快速的產(chǎn)品體驗，讓Telegram迅速得到發(fā)展。截至2019年8月，Telegram的用戶數(shù)量已超過3億。

然而，也正是基于這樣的私密特性，以及可提供虛擬貨幣交易的功能，致使大量非法交易紛紛在Telegram里出現(xiàn)，包括一些槍支彈藥交易、色情產(chǎn)業(yè)交易，甚至被恐怖主義組織利用。也就能夠理解，Telegram為什么會成為個人信息販子們的樂土。

在近期轟動韓國的“N號房”事件中，同樣涉及Telegram。運營者在Telegram上開設(shè)直播間和聊天室，脅迫受害者拍攝強奸、性虐待的照片和視頻，并有償提供給會員。雙方用虛擬貨幣進行交易，聊天內(nèi)容會被定期銷毀，難以取證和追蹤。

事件發(fā)生后，Telegram在韓國警方的要求下，刪除非法視頻。不過，最終沒有滿足警方提供非法視頻上傳者個人信息的要求。

出于絕對保護用戶隱私理念，Telegram拒絕接受政府監(jiān)管，于2018年在俄羅斯境內(nèi)被屏蔽。此外，伊朗、印尼、巴基斯坦等多個國家也已經(jīng)禁用Telegram。

被“人肉”的調(diào)查者

今年29歲的佟林，長期從事數(shù)字貨幣、網(wǎng)絡(luò)安全等業(yè)務(wù)，對這些領(lǐng)域的情況輕車熟路。

3月20日左右，微博用戶個人信息泄露的消息發(fā)出后不久，出于公益目的，佟林立刻潛入前述Telegram群組，觀察群組內(nèi)的活動動態(tài)。

佟林接受《財經(jīng)》記者采訪時表示，他其實早已聽說，網(wǎng)絡(luò)黑灰產(chǎn)人士從國內(nèi)網(wǎng)絡(luò)平臺轉(zhuǎn)往國外平臺，這在圈子里并不是秘密，只是普通公眾一直尚不知情。

在“潛伏”多日，并嘗試著與賣家交易后，佟林將這一類系列情況發(fā)布在自己的自媒體平臺上，很短時間就獲得將近10萬的閱讀量。

就在佟林繼續(xù)“潛伏”時，他發(fā)現(xiàn)了一個叫“佟林粉絲”的群組，他進群后發(fā)現(xiàn)，自己已經(jīng)被里面的諸多賣家“人肉”了。他的名字、電話、家庭住址、工作機構(gòu)等個人信息被準確無誤地公布出來。連他的身份證原件圖片也被曬了出來。有人還威脅要使用電話、短信騷擾軟件對他進行“狂轟濫炸”，徹底“廢”了他。

面對這樣的報復(fù)，佟林沒有選擇沉默，將自己被“人肉”的情況繼續(xù)發(fā)布在自媒體中，并根據(jù)自己的互聯(lián)網(wǎng)安全經(jīng)驗，提示普通公眾在使用互聯(lián)網(wǎng)時，可以采取一些辦法保護自己的個人信息。例如，盡量少使用同一個密碼或密碼關(guān)鍵詞;使用強密碼管理工具，為賬號開啟二次驗證;注冊使用多個郵箱，有時也可以使用一次性郵箱等等。

佟林告訴《財經(jīng)》記者，前述Telegram群組中的賣家所提供的個人信息中，很多都是被用于“人肉搜索”。而在這些群組中，真實個人信息公開被稱為“出道”。在佟林看來，自己個人信息的完全泄露，已經(jīng)意味著任何一個個人都可能已經(jīng)失去了應(yīng)有的隱私空間。

佟林對《財經(jīng)》記者表示，自己既然已經(jīng)“出道”，就愿意用自己的經(jīng)歷將這些侵犯個人信息的情況更大范圍地讓公眾知曉。但有一點最讓他始終難以理解，那就是自己的身份證原件照片也被泄露出來了，“這種應(yīng)該是管理最為嚴格的信息，怎么也就這么泄露出來？”

《財經(jīng)》記者在上述群組中注意到，群內(nèi)成員對于各類揭露類似個人信息販賣的報道反應(yīng)速度極快，報道刊發(fā)后不久就會被轉(zhuǎn)到群內(nèi)，群內(nèi)成員對這些報道不以為然，發(fā)表各類嘲諷，甚至聲稱會去“人肉”記者。

信息泄露的源頭能堵住嗎？

個人信息泄露事件近年來屢有發(fā)生，已對普通公眾產(chǎn)生滋擾，最常見的是很多人經(jīng)常會接到各類精準營銷。而一些由于電信詐騙案件引發(fā)的惡性事件更是讓公眾感到不安。

很多人都存在疑問：個人信息究竟是如何泄露的？究竟有沒有辦法防止泄露？

中國電子技術(shù)標準化研究院信安中心審查部總監(jiān)何延哲告訴《財經(jīng)》記者，近幾年的個人信息泄露，一般有三個來源。一是“黑客”等外部力量攻擊數(shù)據(jù)庫，用技術(shù)手段把內(nèi)部信息盜走;二是存儲有海量數(shù)據(jù)的機構(gòu)，有內(nèi)部人員利用系統(tǒng)管理權(quán)限將數(shù)據(jù)獲取后流出;三是在使用第三方網(wǎng)絡(luò)平臺時，用戶將個人信息提交給平臺，但這些平臺的防護措施不到位或沒有按照約定存儲使用數(shù)據(jù)，導(dǎo)致泄露。

針對這三種情況，想防止數(shù)據(jù)泄露，掌握海量數(shù)據(jù)的機構(gòu)應(yīng)該加強技術(shù)防護，制定嚴格管理制度，同時嚴防“內(nèi)鬼”。出于對數(shù)據(jù)安全的考慮，各機構(gòu)也都在加強防護措施，但在現(xiàn)實中并不可能做到完全沒有漏洞。

何延哲向《財經(jīng)》記者舉例，從2019年開始，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合展開App個人信息保護治理，對不斷提升App個人信息保護水平起到了積極推動作用。但是只要出現(xiàn)一個“內(nèi)鬼”，大規(guī)模泄露立刻出現(xiàn)，防不勝防。

以酒店住宿信息為例，近兩年已有多起大規(guī)模泄露事件。

2018年8月，華住酒店集團發(fā)生泄露事件，涉及的個人信息數(shù)量超過5億條。華住旗下的酒店品牌包括漢庭、美爵、桔子、全季、宜必思等，門店數(shù)量數(shù)千家。

2018年12月，國際酒店巨頭萬豪對外披露，其旗下品牌酒店的客人入住信息系統(tǒng)遭黑客入侵，數(shù)億條個人入住信息和身份信息被泄露。

就在2020年3月末，萬豪再次公告稱，約520萬名客戶的資料可能被泄露。這次泄露的原因則為可能有人使用集團旗下一家特許經(jīng)營酒店的兩個員工的登錄憑據(jù)，訪問了數(shù)量眾多的客戶信息。萬豪方面發(fā)現(xiàn)后，已禁用相關(guān)登錄憑據(jù)，并通知有關(guān)部門展開調(diào)查。

檢索中國裁判文書網(wǎng)可知，順豐速運曾發(fā)生的一起內(nèi)部員工泄露個人信息的案件。這是近年來快遞行業(yè)涉及泄露個人信息的一起重大案件。

湖北省荊州中級法院2018年5月的一份判決書顯示，順豐速運員工杜立明、馮丹等11人分別就職于河北順豐速運有限公司和荊州順豐速運有限公司，職位涵蓋安保部主管、市場部專員、倉管、快遞員等。

2015年以來，杜、馮等人為謀取非法利益，利用微信、QQ等軟件平臺，出售、提供、非法獲取包含順豐快遞單號、面單（即包含順豐快遞單號、地址、電話號碼的圖片）中公民的個人信息。案件涉及被泄露的公民個人信息超過千萬條，涉案金額200余萬元。如果折合成單條信息，每條價格僅有約0.2元。

除了酒店業(yè)、快遞業(yè)，同樣掌握有海量數(shù)據(jù)的一些行政機關(guān)工作人員也成為個人信息泄露的“內(nèi)鬼”。

2020年4月初，湖南省衡陽市公安局刑偵支隊五大隊原民警肖某二審獲刑四年半。衡陽中院判決認定，2017年3月，肖某發(fā)現(xiàn)出售公民個人信息可以賺錢，便開始利用職務(wù)便利，出售個人信息牟利。

由于肖某自己的數(shù)字證書無高級查詢權(quán)限，他盜用同事的數(shù)字證書，通過登錄公安機關(guān)相關(guān)信息平臺，將查詢到的公民戶籍信息或行蹤軌跡信息出售。肖某先后出售過的個人信息包括公民戶籍信息、公民個人行蹤軌跡信息、車輛軌跡信息、住宿信息。他設(shè)定的價格為公民個人行蹤軌跡信息每條300元，車輛軌跡信息每條100元，住宿信息每條100元。

在交易過程中，肖某曾使用國內(nèi)軟件進行交易。出于安全考慮，他也改用一些國外軟件進行聯(lián)絡(luò)和交易。法院審理認定，自2017年3月至2018年12月，肖某盜取公民個人信息出售給他人，違法所得總計180余萬元。

正是由于國內(nèi)對于信息泄露和販賣等非法行為的治理，這些黑灰產(chǎn)從業(yè)者轉(zhuǎn)移到Telegram這樣的國外平臺，以逃避打擊。

截至發(fā)稿時，前述Telegram群組的參與人數(shù)仍處于不斷增長中，而各種個人信息交易依然活躍。