70亿条数据叫价2万揭开App用户数据泄露背后的黑产
近期,微博发生用户数据泄露事件,引发监管层问询约谈。新京报记者调查发现,实际上,被泄露的不止微博用户数据,在黑灰产交易平台上还可以查询到QQ、贴吧甚至LOL游戏账号的用户数据信息。“人肉搜索”已经成为了一门灰色生意,花250元甚至可以根据名字查到你的户口簿信息。
新京报记者发现,根据平台、卖家不同,“人肉搜索”的种类、价格也从数百元到数千元不等,而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。
“社工库是长期存在于黑市里的数据,来源很广泛,有各种信息泄露事件中积累的个人信息,也有从爬虫网络上找得到的一些其他信息。社工库及人肉搜索行为触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。但对其的打击难点在于,这些库很多都是历史信息,已经流转多次,很难追寻源头并封堵。”3月27日,梆梆安全高级咨询专家贝松涛对新京报记者表示。
数据从何处泄露?
微博:手机号码不来源于微博 专家:泄露来自社工库
3月19日,微博被曝发生数据泄露。默安科技CTO魏兴国发布一条微博(目前已删除)称,通过技术查询发现不少人手机号已经泄露。3月20日,新京报记者调查发现,在多个网络平台上确实出现了相关的数据买卖,只要缴费即可通过微博账号查询到用户的手机号码及其他更详细个人私密信息。
对于这次用户数据泄露,微博方面对新京报记者表示,外部流传的“微博用户资料库”中的手机号码并不来源于微博,而是黑客从其他渠道非法获取,再通过微博相关接口批量上传手机通讯录匹配账号昵称。黑客同时利用非法获取的手机号在其他渠道获取信息,组成所谓的“微博用户资料库”对外出售。
3月24日,工信部在官网发布消息称,针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。并要求微博尽快完善隐私政策,规范用户个人信息收集使用行为,强化用户查询接口风险控制等安全保护策略等。
新京报记者注意到,工信部与微博都提到了“接口”。那么,什么是“接口”?其在此次信息泄露中起到了什么作用呢?
贝松涛表示,App的用户查询接口指的是一个应用系统可能开放了某个API(应用程序接口),来做个人信息的查询,这种API很关键,需要加强安全保护。对发起的请求方做身份验证,IP地址鉴别、证书校验都是可选的安全方式。
熟悉黑产运作方式的人士李环(化名)告诉记者,使用App账号反查用户身份的一个关键环节是,取得账号与注册手机号的对应关系,此后再通过手机号与身份证的对应关系确定用户身份,其中,手机号与身份的对应关系并非App泄露,但账号与手机号的对应关系极有可能是通过App开放的接口获得。
李环举例称,此前微博与脉脉就曾因接口问题“闹崩”:脉脉在和微博合作期间,脉脉用户可以在该App的“一度人脉”功能中直接看到非脉脉用户的微博头像和名称,这正是微博向脉脉开放了其API接口。后来微博提起诉讼,认为脉脉存在非法抓取、使用微博用户信息,非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系等行为,双方对簿公堂,最终微博方面胜诉。
此外,新京报记者发现包括微博在内,不少App都会要求用户开启通讯录权限。对此,贝松涛表示,开启通信录权限只是获取用户的联系人信息,和账号与手机号对应本身没有必然关系。但是通过获取联系人信息,得到了手机号和姓名的对应,黑客再根据姓名-账号库就可以把这些信息关联起来。“所以获取通讯录权限可能会助涨这样的泄露事件发生。”
有安全人士称,此次微博数据泄露事件与用户通讯录权限的关系不大,用户手机号与用户真实身份的联系并非从微博泄露,而是来源于已有的“社工库”,真正需要微博负责的可能就是其对接口的安全保护策略。
在被工信部约谈后,微博表示,公司高度重视数据安全和个人信息保护,针对此次事件已采取了升级接口安全策略等措施,后续将按照工信部要求,落实企业数据安全主体责任,切实做好用户个人信息保护工作。
贝松涛表示,账号和手机号的对应关系,可以由任何一次信息泄露事件引发,例如过去发生过的华住泄露事件。而一个人通常都是用同样的账号和手机号来注册多个信息系统。
源头“社工库”?
100元买4G邮箱数据,70亿条数据叫价2万
那么,包括微博在内的各个平台,其泄露的数据是如何与用户真实身份联系起来的呢?
3月20日至3月27日,新京报记者在多个黑灰产平台调查发现,提供姓名查询身份证,或提供App账号查询对应手机号码的业务已经形成了产业链,而根据平台、卖家的不同,这类“人肉搜索”的价格也不尽相同。
如有黑灰产卖家提供“全自动”的人肉搜索服务,买家只要支付320元成为VIP就可以享受该人肉搜索服务,服务内容包括查询微博、QQ、贴吧、LOL游戏账号的对应手机号等信息。
3月20日,新京报记者为调查向黑产人士购买了价值约12元人民币的积分,获得了201条微博用户信息,其中不少信息包括用户身份证号、手机号、密码、生日等私密信息。对于其提供的微博定向查询手机号服务,记者测试查询了3个已绑定手机的微博账号,结果有2个微博账号显示为正确的关联手机号码,其中1个还给出了微博绑定的QQ等更详细的信息,另一个微博账号的查询结果显示“无信息”。
李环告诉记者,能够查询到的信息均来自于该群组的“社工库”,而无法查询到的信息即该“社工库”尚未收集到的信息。令人惊讶的是,该社工库数据量极其庞大,记者随机查询了10条身份信息,均指向了正确的结果。
“黑灰产人士在这方面‘深耕’越久,数据量就越大,若有足够耐心的黑灰产人士将历史上各个时期泄露的数据都予以收集,其‘社工库’的数据量会达到惊人的地步。‘社工库’的拥有者往往是人肉搜索产业链的上游,不少数据掮客、私家侦探等查用户账号密码或查开房记录时,其实都是从这些‘社工库’中购买信息,再加价对客户进行‘二倒手’售卖。”李环表示。
3月25日,新京报记者从多个网络平台上搜索到不少直接售卖社工库数据的黑灰产项目,价格从50元到2万元不等。其中,一个售价100元的“老密邮箱数据库”信息,足足有4个G,里面全部都是曾经泄露过的用户邮箱地址及密码。对于这些数据的来源,卖家表示是“网上收集”的。
记者浏览到的数据量最大的是一个号称包括70亿有效数据的“已知全部泄露数据库”。卖家声称该数据库内含28.93亿条邮箱信息,4.26亿条身份证信息,8.27亿条手机信息,售价2万元人民币。
号称有70亿条数据的社工库售价2万元。
贝松涛表示,社工库是长期存在于黑市里的数据,来源很广泛,有各种信息泄露事件中积累的个人信息,也有从爬虫网络上找得到的一些其他信息。“这些库很多都是历史信息,已经流转多次,很难追寻源头并封堵。”
在“社工库”下游的,就是依托社工库查询各类私人信息的人肉搜索黑产。
在各类黑灰产平台中,记者发现由于直接购买社工库的海量数据价格昂贵,最为活跃的交易是人肉搜索。
如在某黑产相关的QQ群中,有人咨询已知身份证号查询开房记录,有卖家报价2000元,而同等的“业务”在某平台上一般报价700至1000元。对已知姓名查询户口簿页面的“查全户”业务,网上报价则在250元至400元不等。面对不同的买家,同一个卖家也经常抬价。
黑产人士表示250元可以提供户口信息。
3月26日,记者使用某平台发现,可通过姓名直接查询到身份证号,花费固定为123元。而若使用社交平台账号查手机号服务,其会根据该账号关联到精确信息进行报价,例如查询微博数据,若只能关联到手机号码信息,其收费37元,若还能关联到QQ号等其他信息,则收费98元。
北京盈科(杭州)律师事务所律师方超强对新京报记者表示,非法获取,买卖或者向他人提供公民个人信息情节严重的,构成侵犯公民个人信息罪。达到情节严重的,可处以三年以下有期徒刑;达到情节特别严重的,可以处三年以上七年以下有期徒刑。“当然,并非所有与个人有关的信息都属于构成该罪的信息,必须是能够结合识别特定个人的信息,如果是处理过的,无法识别特定个人且不能复原的信息则不属于。”
贝松涛则表示,社工库主要触犯了《网络安全法》,例如第二十二条:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序等规定;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
根据国家计算机网络应急技术处理协调中心提供的数据,近年来,攻击篡改、植入后门、数据窃取等危害互联网网站安全的行为呈现快速增长趋势。国家计算机网络应急技术处理协调中心抽样监测发现,2019年前4个月中国境内被植入后门的网站10010个,同比增长22.5%,由于运营者安全配置不当,很多数据库直接暴露在互联网上,导致大量用户个人信息泄露。
新京报记者注意到,对违法违规买卖个人信息的网络黑产,政府一直采取严厉打击的态度。如中央网信办、工业和信息化部、公安部、市场监管总局四部门于2019年5月至2019年12月联合开展全国范围的互联网网站安全专项整治工作,专项治理期间,各地通信管理局、公安机关将根据《网络安全法》,对落实网络安全义务不到位,发生网页篡改、被植入后门木马、大量公民个人信息被窃取等网络安全事件,以及存在非法获取、出售或提供个人信息等行为的网站,依据情节严重程度,采取约谈主要负责人、停业整顿、关闭网站、注销备案等措施并公开曝光,涉企行政处罚信息将依法纳入市场监管总局国家企业信用信息公示系统予以公示。