文/鄭凱

這大概是中國互聯網隱私泄露史上，重量級最重的一次。

今年5月，Twitter上發生了這樣一件令人震驚的隱私泄露案。馬云、馬化騰和雷軍這些的中國互聯網巨頭的個人身份證信息被Twitter上，一位ID為“shenfenzheng”的用戶泄露了。這個標志性的事件，雖然影響并不大，但轟動的效果卻十分驚人。

根據公開信息顯示，2011年至今，全球已有11.27億用戶隱私信息被泄露，你和我的身份信息也可能隨時處于泄露的狀態。個人的信息安全備受威脅，可是卻似乎總有一股力量，讓隱私安全屢打不盡。可以說，有利益的地方就有江湖，隱私安全背后的黑色產業鏈，也正是在暴利的驅使下形成的。

黑色產業鏈在利益中形成

必須承認，科技和互聯網的發展，帶來更多的生活便利，也同時造成了隱私泄露的困擾。各種網絡漏洞和黑客行為，形成了隱私泄露的源頭。可以說，我們離互聯網越近，受到的威脅就越大。

在國內，由隱私泄露造成的事件也比比皆是，比如在去年8月，線上票務營銷平臺大麥網被發現存在安全漏洞，600余萬用戶賬戶密碼遭到泄露。同年11月，黑客利用申通快遞公司的管理系統漏洞，侵入該公司服務器，非法獲取了3萬余條個人信息，之后非法出售。

不難發現，每一次的隱私泄露之后，都會伴隨著發生個人信息的售賣。這就是所謂的黑色產業鏈的形成。目前這個鏈條的發展已經到了非常龐大的地步。

比如在2015年全國碩士研究生招生考試開考前的一個月，網上出現了兜售130萬考研用戶信息的叫賣。據了解，所銷售的數據不僅包括考研者姓名、性別，還有手機號碼、座機號碼、身份證號、家庭地址、郵編、學校、報考的專業等敏感信息。如此龐大的私人信息數據，賣家的打包價是1.5萬元。

同時，由于幾乎沒有門檻，販賣個人信息的從業者越來越多，產業鏈也越來越龐大。去年，張家口市公安局抓獲的一名犯罪嫌疑人手中，警方發現他一個人就擁有300多萬條個人信息，姓名、電話、住址、愛好、家庭成員狀況等都有不同程度的標注。

正是在巨大的利益驅使下，有隱私泄露蔓延到個人信息售賣，形成了一整套黑色的產業鏈。而且，還有愈演愈烈之勢。根據安全公司Gemalto的報告顯示：，在2014年發生了超過1500起數據泄漏事件，導致將近10億數據被曝光，數據泄漏事件相比較2013年增長了49%。

有數據顯示，在2015年這種信息泄露的范圍和事件仍然在不斷增加。到底是什么原因導致了，隱私泄露變成了屢推不到的多米諾骨牌？

掛著羊頭賣狗肉的“訪客營銷”

太多的隱私泄露事件把矛頭指向了黑客或是搜索引擎，我認為，這不過是因為事故中的企業或是網站，對自身的安全防范不作為之后的托辭。很多網站并不具備網絡防護的能力，對自己的漏洞多數情況也是在發生了數據泄露之后才亡羊補牢的。

其實，現在就有很多不法分子，利用各大搜索引擎收錄的合法網站，植入惡意代碼，并用以用戶隱私信息的竊取和售賣。更離譜的是，某些這種非法的竊取行為，時常冠以“訪客營銷”的名義，堂而皇之的，對用戶的個人信息進行技術抓取。

我們都會類似的一些體會，比如收到莫名其妙的推銷電話，它們不僅拿到了我們的電話，甚至還知道，我們瀏覽過哪些理財或是房地產的項目；我們也會在QQ或是郵箱中發現一些毫不相干的推銷廣告，他們不僅知道了我們的準確的QQ號碼和郵件地址，還明顯了解了我們去過哪些電商，瀏覽過的某些商品。

再比如，當我們打開一家理財網站，自己的手機馬上就會會接到網站客服電話。不注冊、不登陸為什么他們會知道我們的手機號碼？這就是所謂“訪客營銷”在背后搗的鬼。這些打著“網站訪客營銷”網站，通常以提供搜索引擎優化、營銷技術支持等服務的為幌子，但實際上是以售賣惡意代碼為主。

筆者找到了一些“專業”的做訪客營銷的網站，發現這類網站上都明確的寫著：在不經過用戶告知的前提下，獲取用戶的QQ號或是手機號，包括實現的效果也寫得一清二楚。

而這些所謂的“專業軟件”，本質上是利用QQ、運營平臺漏洞編寫代碼，售賣并植入一些企業網站之中。只要有網友訪問該網站，即使不注冊、不登陸QQ號或者手機號信息就會被竊取傳送到對方的服務器之中，再由這些做“訪客營銷”的網站轉賣給企業網站，形成了所謂的訪客營銷。

據了解，如果訪客QQ號在線狀態，那么竊取成功率接近100%。如果是手機號竊取成功率中，中國移動用戶接近80%。相關的代碼是以租售的方式售賣，一個月就要198元，而且抓取到的手機號還要單獨收費，一個手機號售價1到2毛不等，所以這個黑色的非法行業也做到了“日進斗金”，能不讓非法分子趨之若鶩？

誰該為“屢推不倒”負責？

到底誰該為隱私泄露的“屢推不倒”負責？在我看來，這是一個系統性的問題，絕不是產業鏈中的任何一個獨立的環節可以完全改變的。

首先，搜索引擎對這類非法網站也在不斷的進行打擊，以百度為例，不久前百度就對全網的非法網站進行了嚴打，并關閉了數十萬家非法網站。針對于搜索生態的寄生蟲網站，只要發現存在收集用戶信息的情況，百度都會通過檢測直接關掉。作為國內互聯網的三大領頭羊，BAT都在不同程度的收到隱私泄露的傷害，對打擊隱私泄露，這是國內有責任的互聯網公司應該共盡的責任。

其次，國家也隱私售賣有立法支持，我國刑法規定，“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。”但問題是，個人信息不可能有明確的價格標準，也就很難對“情節嚴重”做出認定。法律法規，還需要隨著市場的進程逐步完善。

第三，互聯網安全的挑戰還在加劇。云服務和互聯網應用的普及。云服務可以讓用戶方便地將資料存儲于互聯網服務器中，但一旦出現漏洞，黑客就可以輕松查看你的數據，而互聯網應用，則讓用戶離互聯網越來越近，并主動或被動的分享了個人信息。互聯網發展的大趨勢不可逆轉，這需要有技術能力的安全公司，投入更多的精力，服務于社會，比如百度就有針對偽基站的檢測及定位，一些公安部門已經采取這個解決方案。

第四，對于漏洞彌補的響應機制，需要更快速。事實上大量的個人隱私泄露與網站的漏洞修補不及時有著直接的關系，在國內《2015中國網站安全報告》中指出國內網站漏洞修補率不到百分之十，而其中大部分高危漏洞都可能造成用戶的信息泄露。對網站漏洞的快速響應機制的建立，會改善很多隱私泄露的現狀。百度云安全，在去年推出的針對0day漏洞制訂的應急響應流程，包括從漏洞挖掘、漏洞分析，到第一時間向站長及企業級用戶發出通告，目前百度基于oday的修補計劃及預警解決方案處于業界領先地位。

最后，互聯網安全，人人有責。互聯網就是我們新的精神家園，除了目的是竊取個人信息的不法分子，沒有誰應該真的為隱私的泄露負責。我們所要做到的就是保持一份謹慎的心態，不輕易泄露個人信息，作為企業或是網站，不去購買非法渠道來的用戶數據，讓黑色的產業鏈不再有生存的土壤。