12月28日消息,從CSDN公告部分用戶數據遭泄露,到天涯社區承認用戶賬戶被泄,用戶信息泄露成了2011年年終中文互聯網上最大的話題。
一條隱匿多年龐大產業鏈被順勢挖開,互聯網上每個人的數據與隱私最終都被層層盤剝、打包瓜分,黑客亦是這個產業鏈的打工者。
中國鷹派聯盟網的創立者、鷹派代表萬濤向騰訊科技透露,CSDN這樣的明文庫,如果不是定向銷售,估值也僅會在數千到幾萬元人民幣。整個產業鏈并不復雜,但最終被榨取的除了用戶賬戶內的有限財富外,還有用戶本身的隱私和數據。
重現個人隱私全面泄密過程 可多重盤剝銷售
那么如何由點到面榨干一個用戶的最終價值呢?一位匿名黑客從筆者已被泄露的天涯賬戶開始,理想化的重現了這一過程:
1 在獲取筆者的天涯賬戶后,黑客首先嘗試了關聯的網易郵箱,由于筆者的網易郵箱密碼與天涯賬戶相同,對方毫不費力進入了郵箱。
2 進入郵箱后,對方獲得筆者歷年來注冊開心網、智聯招聘、中華英才網、前程無憂、快錢、百度、百付寶、校內、京東、新浪微博的確認郵件。
其中智聯招聘、中華英才網、前程無憂、京東的注冊確認郵件中直接顯示會員名及密碼。其余幾個網站除開心網及快錢外均與天涯賬戶密碼相同。但因開心網及快錢密碼與京東密碼相同,也被猜中,至此以上網站密碼全被攻破。
3 通過前程無憂,獲知筆者QQ號碼,真實姓名,身份證信息,收入情況和生日等重要信息。
4 嘗試破解QQ號碼,盡管筆者的QQ密碼與以上各網站密碼完全不同,但黑客依據真實姓名全拼、生日、手機和之前各類密碼的組合方式,迅速暴力破解成功。進入QQ郵箱,獲得筆者在豆瓣、淘寶、網易戰網的注冊確認郵件,暴力破解淘寶及支付寶密碼成功。
至此,一個天涯賬號的泄密變成了一個自然人從虛擬到現實全方位的泄密,據匿名黑客介紹,已經從筆者身上獲得的信息可以反復銷售數次:虛擬貨幣的賬戶賣給專人直接變現;網絡游戲的賬號賣給專人將虛擬物品變現;個人資料賣給各個推廣公司、調研機構(根據性別、年齡、收入、地域可賣給不同行業);私密關系賬戶可賣給騙子集團牟利(QQ、人人網或朋友網);天涯及微博早年注冊的ID可賣給網絡水軍公司……
該匿名黑客稱,除非有高價人肉搜索的單子,否則自己不會人工去做這些工作。但天涯和CSDN的數據庫曝光太久,恐怕其中大部分人的隱私早已被窺探出售過。
產業鏈非黑客主導 隱私權不被重視恐難制止
在萬濤看來,上面這個產業鏈條并非是黑客主導。直接獲取賬號內的虛擬貨幣或盜取賬號只是小買賣,市場對隱私和數據的需求才是黑客不斷刷庫的主因。在如今的細分市場,隱私買賣早已泛濫。雖然用戶可以不斷修改自己的密碼,但郵件、ID與對應的真實身份等信息永遠不會改變。
他透露,很多國內的數據庫也被賣到海外,海外也有很多生意被放到大陸,整個隱私及數據的買賣都已經放在海外,如前兩年被打掉的俄羅斯的RBN,黑色產業鏈正在云化,而目前治理卻還在強調屬地管理。
黑客教父龔蔚亦表示,虛擬幣市場、賬號交易市場、裝備、特點用戶群體的廣告投放,都是獲利的方式,最簡單的就算賣給發垃圾郵件的人,只要用戶群體精準。
“有需求就會有市場”,萬濤認為,各大網站一味呼吁用戶修改密碼是舍本逐末,更多的關注應該放在個人隱私的保護,也許相關部門明年會有一輪打擊風暴,但治標不治本是運動式治理的常態,隱私法不出臺難以解決問題。任何投機者都會看風險成本與收益。
據悉,目前個人信息的司法保護并不完善,僅有2009年通過的《刑法修正案(七)》有相關規定。但在實際操作中卻并未起到對個人隱私的充分保護,有業內專家認為,只對隱私信息買賣產業鏈的提供方進行管制并不治本,必須要對需求方加大監管力度才能真正減少類似事件的發生。
京公網安備 11010502049343號