身份證查詢姓名帶照片（信息數(shù)據(jù)從何處泄露？）

由姓名查身份證號(hào)（身份證查詢姓名帶照片）

近期，微博發(fā)生用戶數(shù)據(jù)泄露事件，引發(fā)監(jiān)管層問詢約談。新京報(bào)記者調(diào)查發(fā)現(xiàn)，實(shí)際上，被泄露的不止微博用戶數(shù)據(jù)，在黑灰產(chǎn)交易平臺(tái)上還可以查詢到QQ、貼吧甚至LOL游戲賬號(hào)的用戶數(shù)據(jù)信息?！叭巳馑阉鳌币呀?jīng)成為了一門灰色生意，花250元甚至可以根據(jù)名字查到你的戶口簿信息。

新京報(bào)記者發(fā)現(xiàn)，根據(jù)平臺(tái)、賣家不同，“人肉搜索”的種類、價(jià)格也從數(shù)百元到數(shù)千元不等，而這些信息均來自于黑灰產(chǎn)人士用于儲(chǔ)備個(gè)人信息的“社工庫(kù)”。

(相關(guān)資料圖)

“社工庫(kù)是長(zhǎng)期存在于黑市里的數(shù)據(jù)，來源很廣泛，有各種信息泄露事件中積累的個(gè)人信息，也有從爬蟲網(wǎng)絡(luò)上找得到的一些其他信息。社工庫(kù)及人肉搜索行為觸犯了《網(wǎng)絡(luò)安全法》及其他有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。但對(duì)其的打擊難點(diǎn)在于，這些庫(kù)很多都是歷史信息，已經(jīng)流轉(zhuǎn)多次，很難追尋源頭并封堵。”3月27日，梆梆安全高級(jí)咨詢專家貝松濤對(duì)新京報(bào)記者表示。

數(shù)據(jù)從何處泄露？

微博：手機(jī)號(hào)碼不來源于微博 專家：泄露來自社工庫(kù)

3月19日，微博被曝發(fā)生數(shù)據(jù)泄露。默安科技CTO魏興國(guó)發(fā)布一條微博（目前已刪除）稱，通過技術(shù)查詢發(fā)現(xiàn)不少人手機(jī)號(hào)已經(jīng)泄露。3月20日，新京報(bào)記者調(diào)查發(fā)現(xiàn)，在多個(gè)網(wǎng)絡(luò)平臺(tái)上確實(shí)出現(xiàn)了相關(guān)的數(shù)據(jù)買賣，只要繳費(fèi)即可通過微博賬號(hào)查詢到用戶的手機(jī)號(hào)碼及其他更詳細(xì)個(gè)人私密信息。

對(duì)于這次用戶數(shù)據(jù)泄露，微博方面對(duì)新京報(bào)記者表示，外部流傳的“微博用戶資料庫(kù)”中的手機(jī)號(hào)碼并不來源于微博，而是黑客從其他渠道非法獲取，再通過微博相關(guān)接口批量上傳手機(jī)通訊錄匹配賬號(hào)昵稱。黑客同時(shí)利用非法獲取的手機(jī)號(hào)在其他渠道獲取信息，組成所謂的“微博用戶資料庫(kù)”對(duì)外出售。

3月24日，工信部在官網(wǎng)發(fā)布消息稱，針對(duì)媒體報(bào)道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)新浪微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談，要求其按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求，對(duì)照工信部等四部門制定的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，進(jìn)一步采取有效措施，消除數(shù)據(jù)安全隱患。并要求微博盡快完善隱私政策，規(guī)范用戶個(gè)人信息收集使用行為，強(qiáng)化用戶查詢接口風(fēng)險(xiǎn)控制等安全保護(hù)策略等。

新京報(bào)記者注意到，工信部與微博都提到了“接口”。那么，什么是“接口”？其在此次信息泄露中起到了什么作用呢？

貝松濤表示，App的用戶查詢接口指的是一個(gè)應(yīng)用系統(tǒng)可能開放了某個(gè)API（應(yīng)用程序接口），來做個(gè)人信息的查詢，這種API很關(guān)鍵，需要加強(qiáng)安全保護(hù)。對(duì)發(fā)起的請(qǐng)求方做身份驗(yàn)證，IP地址鑒別、證書校驗(yàn)都是可選的安全方式。

熟悉黑產(chǎn)運(yùn)作方式的人士李環(huán)（化名）告訴記者，使用App賬號(hào)反查用戶身份的一個(gè)關(guān)鍵環(huán)節(jié)是，取得賬號(hào)與注冊(cè)手機(jī)號(hào)的對(duì)應(yīng)關(guān)系，此后再通過手機(jī)號(hào)與身份證的對(duì)應(yīng)關(guān)系確定用戶身份，其中，手機(jī)號(hào)與身份的對(duì)應(yīng)關(guān)系并非App泄露，但賬號(hào)與手機(jī)號(hào)的對(duì)應(yīng)關(guān)系極有可能是通過App開放的接口獲得。

李環(huán)舉例稱，此前微博與脈脈就曾因接口問題“鬧崩”：脈脈在和微博合作期間，脈脈用戶可以在該App的“一度人脈”功能中直接看到非脈脈用戶的微博頭像和名稱，這正是微博向脈脈開放了其API接口。后來微博提起訴訟，認(rèn)為脈脈存在非法抓取、使用微博用戶信息，非法獲取并使用脈脈注冊(cè)用戶手機(jī)通訊錄聯(lián)系人與微博用戶的對(duì)應(yīng)關(guān)系等行為，雙方對(duì)簿公堂，最終微博方面勝訴。

此外，新京報(bào)記者發(fā)現(xiàn)包括微博在內(nèi)，不少App都會(huì)要求用戶開啟通訊錄權(quán)限。對(duì)此，貝松濤表示，開啟通信錄權(quán)限只是獲取用戶的聯(lián)系人信息，和賬號(hào)與手機(jī)號(hào)對(duì)應(yīng)本身沒有必然關(guān)系。但是通過獲取聯(lián)系人信息，得到了手機(jī)號(hào)和姓名的對(duì)應(yīng)，黑客再根據(jù)姓名-賬號(hào)庫(kù)就可以把這些信息關(guān)聯(lián)起來?！八垣@取通訊錄權(quán)限可能會(huì)助漲這樣的泄露事件發(fā)生?！?/p>

有安全人士稱，此次微博數(shù)據(jù)泄露事件與用戶通訊錄權(quán)限的關(guān)系不大，用戶手機(jī)號(hào)與用戶真實(shí)身份的聯(lián)系并非從微博泄露，而是來源于已有的“社工庫(kù)”，真正需要微博負(fù)責(zé)的可能就是其對(duì)接口的安全保護(hù)策略。

在被工信部約談后，微博表示，公司高度重視數(shù)據(jù)安全和個(gè)人信息保護(hù)，針對(duì)此次事件已采取了升級(jí)接口安全策略等措施，后續(xù)將按照工信部要求，落實(shí)企業(yè)數(shù)據(jù)安全主體責(zé)任，切實(shí)做好用戶個(gè)人信息保護(hù)工作。

貝松濤表示，賬號(hào)和手機(jī)號(hào)的對(duì)應(yīng)關(guān)系，可以由任何一次信息泄露事件引發(fā)，例如過去發(fā)生過的華住泄露事件。而一個(gè)人通常都是用同樣的賬號(hào)和手機(jī)號(hào)來注冊(cè)多個(gè)信息系統(tǒng)。

源頭“社工庫(kù)”？

100元買4G郵箱數(shù)據(jù)，70億條數(shù)據(jù)叫價(jià)2萬

那么，包括微博在內(nèi)的各個(gè)平臺(tái)，其泄露的數(shù)據(jù)是如何與用戶真實(shí)身份聯(lián)系起來的呢？

3月20日至3月27日，新京報(bào)記者在多個(gè)黑灰產(chǎn)平臺(tái)調(diào)查發(fā)現(xiàn)，提供姓名查詢身份證，或提供App賬號(hào)查詢對(duì)應(yīng)手機(jī)號(hào)碼的業(yè)務(wù)已經(jīng)形成了產(chǎn)業(yè)鏈，而根據(jù)平臺(tái)、賣家的不同，這類“人肉搜索”的價(jià)格也不盡相同。

如有黑灰產(chǎn)賣家提供“全自動(dòng)”的人肉搜索服務(wù)，買家只要支付320元成為VIP就可以享受該人肉搜索服務(wù)，服務(wù)內(nèi)容包括查詢微博、QQ、貼吧、LOL游戲賬號(hào)的對(duì)應(yīng)手機(jī)號(hào)等信息。

3月20日，新京報(bào)記者為調(diào)查向黑產(chǎn)人士購(gòu)買了價(jià)值約12元人民幣的積分，獲得了201條微博用戶信息，其中不少信息包括用戶身份證號(hào)、手機(jī)號(hào)、密碼、生日等私密信息。對(duì)于其提供的微博定向查詢手機(jī)號(hào)服務(wù)，記者測(cè)試查詢了3個(gè)已綁定手機(jī)的微博賬號(hào)，結(jié)果有2個(gè)微博賬號(hào)顯示為正確的關(guān)聯(lián)手機(jī)號(hào)碼，其中1個(gè)還給出了微博綁定的QQ等更詳細(xì)的信息，另一個(gè)微博賬號(hào)的查詢結(jié)果顯示“無信息”。

李環(huán)告訴記者，能夠查詢到的信息均來自于該群組的“社工庫(kù)”，而無法查詢到的信息即該“社工庫(kù)”尚未收集到的信息。令人驚訝的是，該社工庫(kù)數(shù)據(jù)量極其龐大，記者隨機(jī)查詢了10條身份信息，均指向了正確的結(jié)果。

“黑灰產(chǎn)人士在這方面‘深耕’越久，數(shù)據(jù)量就越大，若有足夠耐心的黑灰產(chǎn)人士將歷史上各個(gè)時(shí)期泄露的數(shù)據(jù)都予以收集，其‘社工庫(kù)’的數(shù)據(jù)量會(huì)達(dá)到驚人的地步?！绻?kù)’的擁有者往往是人肉搜索產(chǎn)業(yè)鏈的上游，不少數(shù)據(jù)掮客、私家偵探等查用戶賬號(hào)密碼或查開房記錄時(shí)，其實(shí)都是從這些‘社工庫(kù)’中購(gòu)買信息，再加價(jià)對(duì)客戶進(jìn)行‘二倒手’售賣?！崩瞽h(huán)表示。

3月25日，新京報(bào)記者從多個(gè)網(wǎng)絡(luò)平臺(tái)上搜索到不少直接售賣社工庫(kù)數(shù)據(jù)的黑灰產(chǎn)項(xiàng)目，價(jià)格從50元到2萬元不等。其中，一個(gè)售價(jià)100元的“老密郵箱數(shù)據(jù)庫(kù)”信息，足足有4個(gè)G，里面全部都是曾經(jīng)泄露過的用戶郵箱地址及密碼。對(duì)于這些數(shù)據(jù)的來源，賣家表示是“網(wǎng)上收集”的。

記者瀏覽到的數(shù)據(jù)量最大的是一個(gè)號(hào)稱包括70億有效數(shù)據(jù)的“已知全部泄露數(shù)據(jù)庫(kù)”。賣家聲稱該數(shù)據(jù)庫(kù)內(nèi)含28.93億條郵箱信息，4.26億條身份證信息，8.27億條手機(jī)信息，售價(jià)2萬元人民幣。

號(hào)稱有70億條數(shù)據(jù)的社工庫(kù)售價(jià)2萬元。

貝松濤表示，社工庫(kù)是長(zhǎng)期存在于黑市里的數(shù)據(jù)，來源很廣泛，有各種信息泄露事件中積累的個(gè)人信息，也有從爬蟲網(wǎng)絡(luò)上找得到的一些其他信息?！斑@些庫(kù)很多都是歷史信息，已經(jīng)流轉(zhuǎn)多次，很難追尋源頭并封堵?！?/p>

在“社工庫(kù)”下游的，就是依托社工庫(kù)查詢各類私人信息的人肉搜索黑產(chǎn)。

在各類黑灰產(chǎn)平臺(tái)中，記者發(fā)現(xiàn)由于直接購(gòu)買社工庫(kù)的海量數(shù)據(jù)價(jià)格昂貴，最為活躍的交易是人肉搜索。

如在某黑產(chǎn)相關(guān)的QQ群中，有人咨詢已知身份證號(hào)查詢開房記錄，有賣家報(bào)價(jià)2000元，而同等的“業(yè)務(wù)”在某平臺(tái)上一般報(bào)價(jià)700至1000元。對(duì)已知姓名查詢戶口簿頁(yè)面的“查全戶”業(yè)務(wù)，網(wǎng)上報(bào)價(jià)則在250元至400元不等。面對(duì)不同的買家，同一個(gè)賣家也經(jīng)常抬價(jià)。

黑產(chǎn)人士表示250元可以提供戶口信息。

3月26日，記者使用某平臺(tái)發(fā)現(xiàn)，可通過姓名直接查詢到身份證號(hào)，花費(fèi)固定為123元。而若使用社交平臺(tái)賬號(hào)查手機(jī)號(hào)服務(wù)，其會(huì)根據(jù)該賬號(hào)關(guān)聯(lián)到精確信息進(jìn)行報(bào)價(jià)，例如查詢微博數(shù)據(jù)，若只能關(guān)聯(lián)到手機(jī)號(hào)碼信息，其收費(fèi)37元，若還能關(guān)聯(lián)到QQ號(hào)等其他信息，則收費(fèi)98元。

北京盈科(杭州)律師事務(wù)所律師方超強(qiáng)對(duì)新京報(bào)記者表示，非法獲取，買賣或者向他人提供公民個(gè)人信息情節(jié)嚴(yán)重的，構(gòu)成侵犯公民個(gè)人信息罪。達(dá)到情節(jié)嚴(yán)重的，可處以三年以下有期徒刑；達(dá)到情節(jié)特別嚴(yán)重的，可以處三年以上七年以下有期徒刑?！爱?dāng)然，并非所有與個(gè)人有關(guān)的信息都屬于構(gòu)成該罪的信息，必須是能夠結(jié)合識(shí)別特定個(gè)人的信息，如果是處理過的，無法識(shí)別特定個(gè)人且不能復(fù)原的信息則不屬于?！?/p>

貝松濤則表示，社工庫(kù)主要觸犯了《網(wǎng)絡(luò)安全法》，例如第二十二條：網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序等規(guī)定；涉及用戶個(gè)人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心提供的數(shù)據(jù)，近年來，攻擊篡改、植入后門、數(shù)據(jù)竊取等危害互聯(lián)網(wǎng)網(wǎng)站安全的行為呈現(xiàn)快速增長(zhǎng)趨勢(shì)。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心抽樣監(jiān)測(cè)發(fā)現(xiàn)，2019年前4個(gè)月我國(guó)境內(nèi)被植入后門的網(wǎng)站10010個(gè)，同比增長(zhǎng)22.5%，由于運(yùn)營(yíng)者安全配置不當(dāng)，很多數(shù)據(jù)庫(kù)直接暴露在互聯(lián)網(wǎng)上，導(dǎo)致大量用戶個(gè)人信息泄露。

新京報(bào)記者注意到，對(duì)違法違規(guī)買賣個(gè)人信息的網(wǎng)絡(luò)黑產(chǎn)，政府一直采取嚴(yán)厲打擊的態(tài)度。如中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局四部門于2019年5月至2019年12月聯(lián)合開展全國(guó)范圍的互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治工作，專項(xiàng)治理期間，各地通信管理局、公安機(jī)關(guān)將根據(jù)《網(wǎng)絡(luò)安全法》，對(duì)落實(shí)網(wǎng)絡(luò)安全義務(wù)不到位，發(fā)生網(wǎng)頁(yè)篡改、被植入后門木馬、大量公民個(gè)人信息被竊取等網(wǎng)絡(luò)安全事件，以及存在非法獲取、出售或提供個(gè)人信息等行為的網(wǎng)站，依據(jù)情節(jié)嚴(yán)重程度，采取約談主要負(fù)責(zé)人、停業(yè)整頓、關(guān)閉網(wǎng)站、注銷備案等措施并公開曝光，涉企行政處罰信息將依法納入市場(chǎng)監(jiān)管總局國(guó)家企業(yè)信用信息公示系統(tǒng)予以公示。

標(biāo)簽： 個(gè)人信息