倒卖250万微信号获利8000万元揭秘数据泄露背后的灰色链条
倒卖微信号250万个,非法获利8000万元。这是最近央视曝光的一起盗取用户信息的“丰厚”获利。涉案团伙成员有9人,其中有5人是某通讯运营商公司的内部员工。
记者调查发现,这个背后是一条贩卖电信运营商数据的产业链。
“他们惯用DPI技术采集数据。”DPI是一种通过运营商端口实现数据采集、归纳、筛选并转化成精准获客数据的技术手段。而该技术是从运营商流量出口做数据采集,知情人士高卓(化名)表示,“在这基础上,他们完全可以知道用户详细的数据”。
这些数据有的流向电销产品;有的流向超利贷、借条等金融产品;甚至还有的流向电信诈骗团伙……
这些泄露的数据在黑产链条上只有两种命运:要么第一次被贩卖,要么被无数次贩卖。
01:倒卖数据的江湖
“买料的。”对完暗号,4月23日,记者顺利加入一个微信群。这是一个买卖数据的微信群,群成员有490人,其中包含了大量贷款机构和贷款超市的玩家。
这里“料”主要指用户数据,维度包括这些人的姓名、身份证、银行卡、借款金额等隐私。
知情人士刘欣然(化名)告诉记者:“买料市场的黑话非常多,不懂这些黑话根本无法买料。”譬如,“水果”是指同业用户,如果是在贷款领域,它就是已经放过款的用户;博彩领域就是充过值的用户。
这是存在于虚拟空间的一个倒卖数据江湖。
“出各种一手水果,客户信息齐全,一条对不上全赔”“出QP(指棋牌)、BC(指博彩)。”进群不久,记者就被卖料广告刷屏。
记者以买家的身份向一位经常在群里发卖料广告的群成员询价,他介绍,出售多家消费金融产品的用户数据,“数据实时价格1.5元/条,隔天0.7元/条,量大价格可谈。”他提供了20条一家知名消金机构的用户数据。为了核实数据真实性,记者随机拨通了其中一位用户的电话,确认是该消金机构用户。
这些数据泄露的源头在哪?
一位业界人士告诉记者,正规平台很少通过交易数据获利,“监管成本太高了,更多数据泄露来自员工或合作方等层面,比如,短信、催收等。”多位从业者告诉记者,很多用户数据是从短信渠道泄露,“这些短信渠道商可能还会有合作方,也有泄露数据的嫌疑”。
另外,用户自己也可能是泄露源头。比如,一些老赖投奔反催收联盟后,会主动将自己数据上交。所以,数据到底是从哪个层面泄露追查难度极大。
02:虚虚实实的数据
除了网贷数据在黑市交易,电商数据也在其中明码标价。
卖料微信群的截图
一位卖料商称他手上有一些宝妈料,0.5元/条,量大就可以降到0.3元/条,“京东、淘宝都有,每条包含姓名、电话、购买产品、价格、地址等维度”。
卖料商提供的电商数据
然而,记者根据其提供的数据随机拨通了四位用户电话,发现姓名、电话以及地址都是真实的,但购物记录都对不上。
“这有可能是他们拿别的数据做的假购物数据,这种定向(宝妈)数据更值钱。”高卓表示,挂羊头卖狗肉在这个行业太常见了。
尽管黑市数据有虚有实,但丝毫不影响到地下数据交易市场的“繁荣”,市面上充斥着大量这样数据交易的微信群、QQ群。
除此之外,地下数据交易还有一个重要的据点——论坛。在论坛中还聚集着大量黑客,他们将数据打包、明码标价、发帖揽客,其中包含着国内外大量用户隐私数据。
一个账户在交易网站论坛表示,“我正在销售来自中国贷款领域的数据库,用户总数超过5000万条记录,每天更新和提供实时贷款记录。”
论坛中,也有账户在销售腾讯的QQ账号(未经证实),“我有8亿条腾讯QQ记录,其中包含QQ ID和电话号码。如果有人有兴趣购买或交易此数据,请留言联系我或通过电报发送消息。”
泄露数据交易网站截图
需要注意的是,地下市场交易的很多数据都不是一手数据。
刘欣然坦言,这些数据或许被二次、三次……无数次被转手,比如,有些过去的P2P、现金贷的用户数据仍在被反复清洗。
用户数据一旦进入数据买卖的江湖,只有两种命运:要么第一次被贩卖,要么被无数次贩卖。
公开数据显示,2020年全球数据泄露的记录达到310亿条,超过了过去15年的总和。
这些数据可能流向母婴类电销产品;也可能流向超利贷、借条等金融产品;甚至流还有向电信诈骗团伙。
4月初,何温(化名)通过借款app 申请了一笔借款。可是,这笔贷款并未成功,他却接到来自显示为香港地区的电话。“那边可以准确说出我姓名及贷款需求”,何温表示,他们说我资质不好,要求我往账户里充值5000元。何温是一位行业资深从业者,他一眼便看出这是诈骗。
于是,他反复追问电话另一边,如何得知他有贷款需求,“当时我只在这个APP上申请了贷款,很奇怪,他们是怎么知道的”。
另一位诈骗受害人告诉记者,对方可以准确说出他曾在淘宝购买过多芬洗发水,“因此,我被骗走了4万多元”。
03:为攫取数据不择手段
数据泄露之所以如此猖獗,黑客组织在其中“功不可没”。
曾就职阿里的数据安全专家凯撒(化名)表示,黑客惯用盗数据手段是拖库与撞库,其中,最为常见的是拖库。“拖库需要黑客扫描网页、服务器等找漏洞,然后通过这些漏洞建立一个webshell(黑客经常使用的一种恶意脚本),从而获取到服务器系统权限,然后导出数据就可以了。”
其实,这些都只是技术层面的操作。为了盗取数据,黑产数据玩家还会采取卧底公司、策反员工等各种手段,堪比“谍战片”。
一位网友在脉脉上表示,“有黑产应聘数据工程师,先找机会后台拖库,搞了好几家公司。”凯撒透露,曾有办案人员告诉他,这是最简单的方式,“有一黑产团伙直接应聘公司去拿数据”。
“为了防止这样的事件发生,一些公司专门建立了自己黑灰产名单,入职背景调查时发现,应聘者有黑灰产背景,就直接pass了。”凯撒透露。
实际上,“很多淘宝用户的数据是从商户层面泄露的,它们数据安全意识和技术都很薄弱。”一位知情人士透露。
对小公司而言,黑客攻击防不胜防。一方面,线上岗位权限控制不到位;另一方面,防黑客攻击能力弱,终端没做防数据泄露,凯撒直言,“黑客有上百种方式可以把数据偷出去”。
盗数据贩卖的风险成本低,收益却是极大。按现在数据商的价格计算,每条0.7元—1.5元计算,1万条数据能赚7000元-15000元。多位从业者告诉记者,“这些数据可以反复卖,是个一本万利的生意。”
在暴利驱使下,也有企业内部员工监守自盗。一家贷款超市的员工曾告诉记者,他就往外导手数据,“一个就能赚一元钱”。
然而,与此相对的是,数据泄露的防守方却陷入重重困局。
04:数据安全意识薄弱
在很多数据安全从业者看来,数据泄露事件频发的核心原因是企业数据安全意识薄弱。
“很多公司的数据安全还是处在行政法规推动阶段。”一位数据研发安全总监说:“各行业对数据安全的投资跟前几年没什么变化,还是偏保守,预算有限。”
甚至,有些公司会将数据大门钥匙“主动”交给黑客。凯撒告诉记者,他曾发现过一些公司将含有系统账密的代码、或者内部数据泄露的开源的代码仓库上,如github或者gitee等。
“很多小公司没有自建代码仓库,开发人员会把代码放到这种开源网站上。”凯撒表示,然而,这些开发者在存放代码托管平台时,却忘了设置必要的权限。也就是说,该公司管理员的账号密码、API连接方式和密钥等敏感信息能被任何人看见。这意味着,黑客在上面挖到这些数据,就可以轻松入侵公司后台。
当然,数据泄露还有客观原因。
一是,业务发展快,数据安全技术跟不上。
“对比小公司,传统大企、互联网平台算做得比较好的。”凯撒直言,阿里、美团、腾讯等大厂都是有自己的数据安全团队,以及研发数据安全产品的能力。
尽管如此,这张安全网难免有漏洞。一位从业者坦言,“现在,基础安全做了好几十年,每年护网,但仍有企业被打穿,业务发展太快了。”
数据安全是建立在IT基础建设上,凯撒表示,很多公司IT能力弱,它们的安全能力肯定也弱。因为,相比技术安全,数据安全要求更加深入业务。
多位从业者表示,整个行业的现状是,很多公司技术安全都做不好,更加不用说数据安全。”
二是,缺乏数据安全核心人才。
凯撒透露,他这边2-3个空位,招了好几个月,都没面到合适人选。“做数据安全的需要在数据安全技术、落地经验、规范解读或者安全事件分析中有专长。”
小公司同样招不到人才,他们本身就没有多余的钱去做数据安全。凯撒直言,“但是,预算、人才、基础建设是数据安全必不可少的三要素。”
进入数字经济时代,数据开采和数据安全已经成为各方不可回避的问题。
奇安信集团董事长齐向东在“第四届数字中国建设峰会”中提及,“‘数据富矿’的开采,网络空间是土壤,数字技术是工具,这个过程危机四伏,稍不留神就会导致严重的安全事故。”
“目前,我们在个人隐私保护方面非常缺失。监管也正在由保护金融消费者的财产权,向保护金融消费者隐私权和其他的信息权过渡。”社科院金融所副所长胡滨在首届“金融科技指数论坛”中指出。
而金融科技专家苏筱芮也表示,个人信息保护法草案、数据安全法草案将迎二审,表明国内信息保护、数据安全相关的法律法规完善的进度持续提速,从修改内容来看,有助于金融行业个人信息保护建立基本框架,便于金融机构按照要求搭建起信息保护的“防火墙”,切实维护金融消费者的合法权益。
魔高一尺,道高一丈,未来,以保护数据泄露为主轴的变革,将在曲折中不断前行。
