精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

　　新京報記者買到的電商網購數據。

　　某QQ群大量收購網購信息。

5月9日，最高人民法院通報了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

這是兩高首次就打擊侵犯公民個人信息犯罪出臺司法解釋。根據此次司法解釋，非法獲取、出售公民個人信息，情節嚴重者可獲刑。

“近年來，侵犯公民個人信息犯罪仍處于高發態勢，而且與電信網絡詐騙、敲詐勒索、綁架等犯罪呈合流態勢，社會危害更加嚴重。”最高法相關人士稱。

我們幾乎每個人，都曾被推銷電話、詐騙短信騷擾過。去年發生的“徐玉玉案”，即是個人信息遭侵犯導致的“惡果”。

在此節點，新京報推出關于“個人信息泄露”的系列調查報道。我們將通過對航空、征信、銀行卡等領域的調查，以期找到個人信息泄露的源頭。

5月10日，家住天津的馬曉迪（化名）告訴新京報記者，她接到了號稱是1號店客服打來的詐騙電話。對方稱，因“后臺失誤”將賬號調整為批發用戶，要求她提供賬號等信息。“我馬上就掛機了，但又打來好幾個，說不改別后悔，后來我就不接了。”

馬曉迪之所以能接到這類詐騙電話，是因為她的網購信息已經遭到泄露，信息販子從各種渠道獲得網購信息后，會進行轉賣，而電話詐騙團伙就是買家之一。

有業內人士向新京報記者透露，用戶網購數據的獲得渠道有很多種，但大部分信息販子是通過“掃號”取得的網購數據。一名在QQ上出售各種網購信息的販子也稱，他們的數據是“掃號”得來。

“通過‘掃號撞庫’的方式，黑客可以拿到用戶在網購平臺上的數據，”游俠安全網創始人張百川表示，一些平臺的用戶信息之所以遭到泄露，就是因為缺少對這種“撞庫攻擊”的防范。

黑客盜取某些網站的數據庫售賣給信息販子，這些信息流到騙子手中后，一般會以冒充客服退款等方式進行詐騙。

網購信息2元一條，販子稱“掃號”得來

來自西安的小嚴不久前因小紅書網購信息泄露遭遇詐騙。

小嚴告訴新京報記者，她3月份在小紅書平臺購買過商品，之后接到了自稱是小紅書工作人員的電話，“說我所購買的商品存在質量問題，要收回并銷毀，因為他們掌握我所有的購物信息以及地址，我就相信了他們。”

小嚴說，對方讓她登錄支付寶查看退款。小嚴回答“沒有收到退款”后，對方便詢問了小嚴的芝麻信用，并要她在招聯好期貸、來分期等平臺嘗試貸款，并說這是小紅書與他們的合作，小嚴可以馬上從中提現，得到賠償，但需要將多余款項打回給對方。小嚴在招聯好期貸上提取了1100元，將其中1000元打了過去。

打完款，小嚴才覺得自己被騙了，隨即報警，截至目前還沒有結果。她之后聯系了小紅書平臺，小紅書平臺稱他們只負責追繳，不負責賠償。

在網上搜索公開報道和網友反映，可以發現，近年來有不少網購平臺用戶都有因網購信息泄露被詐騙或賬戶被盜的案例。例如2012年5月底，1號店被曝員工內外勾結泄露客戶信息，90萬個用戶信息竟被以500元的價格叫賣，部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。而2015年至2016年，陸陸續續有100多人被能準確說出購物信息的假冒“京東客服”詐騙，涉及金額達200多萬元，北京的一名受騙者韓先生甚至創辦了一個名為“京東盜刷維權群”的QQ群。

中國電子商務研究中心分析師姚建芳告訴新京報記者，僅在今年4月份，中國電子商務投訴與維權公共服務平臺就接到了包括小紅書、達令、當當網在內的多家網購平臺用戶反映個人信息泄露的舉報。

這些電商平臺的信息都是如何泄露的？有業內人士向新京報記者透露，網購數據的來源有很多種，例如電商內部員工倒賣、物流信息泄露、木馬病毒等，但大部分信息販子是通過“掃號”取得的網購數據。

新京報記者以購買網購資料為名聯系了一位QQ名為“AA收購數據”的信息販子，其稱擁有包括蘇寧易購、亞馬遜在內的多家平臺網購信息，并向記者以2元一人的價位“低價出售”了一份“已經用過的”包含100人網購信息的“數據”。上述信息販子也稱，他們的數據是“掃號”得來的。

5月10日，當接到新京報記者電話，被告知自己的真實姓名、住址以及購買過什么東西時，家住北京的孫喆麗（化名）第一反應是，遇到騙子了。

孫喆麗的網購信息就是記者花2元錢在上述信息販子手上買到的，包括孫喆麗的詳細購物信息以及她的住址、電話，網購的賬號密碼。

孫喆麗說，之前確實接到過騙子的電話。“有人打電話自稱是客服，跟我說我的商品有問題會退款給我，讓我登錄支付寶看有沒有收到退款，我說沒有，他們就問我的芝麻信用，我當時覺得不對勁就把電話掛掉了。”

在孫喆麗和小嚴遭遇詐騙電話的案例中，對方都準確說出了二人的購物信息以及個人信息。

新京報記者發現，在“AA收購數據”提供的網購信息名單上，大部分用戶的賬號仍然可以按照其提供的密碼登錄。新京報記者隨機聯系了5名用戶進行核實，發現名單上提供的個人信息全部屬實，而大部分用戶完全不知道自己的賬號已經被盜取。

被稱為“中國黑客教父”的現任益云（公益互聯網）社會創新中心創始人萬濤告訴新京報記者，網購用戶質量高低與否決定了出售數據價格的高低。“質量指的網購商品的客單價，比如衣服等普通物品客單價較低，數據可能就便宜，但如果購買電視、手機等相對貴重的物品，客單價比較高，用戶數據的價值也就更高一些。”

據業內人士介紹，根據客單價的不同，網購數據的價位也不同，被倒賣過多次的信息并不值錢，一些歷史數據甚至是黑客圈中公開的秘密，價值為零。而沒有被用過的“一手”信息則可以賣到幾塊錢一條。

5月16日，“AA收購數據”還向記者提供了30條蘇寧易購的網購數據“樣品”。記者發現，這些網購數據從4月27日到5月3日不等，均有賬戶和密碼。記者登錄了其中3條網購信息的賬戶，發現可以登錄成功。新京報記者隨即撥打了3名用戶的電話，3名用戶都表示，其電話和姓名均正確，并很疑惑地反問記者，“你是怎么知道我電話的。”

掃號產業鏈：黑客偷、販子倒、騙子買

“通過‘掃號撞庫’的方式，黑客可以拿到用戶在網購平臺上的數據，”游俠安全網創始人張百川向新京報記者表示，“而一些平臺的用戶信息之所以遭到泄露，就是因為缺少對這種‘撞庫攻擊’的防范。”

根據目前受騙者的案例，這些信息流向騙子的手中，當騙子掌握用戶的具體購物信息時，一般會以冒充客服退款等方式進行詐騙。

“所謂‘掃號撞庫’，簡單來說，就是黑客用技術手段入侵一些安全防范不是很高的網站，取得大量的用戶注冊名和密碼數據，有些網站的登錄名包括用戶的手機號、郵箱甚至身份證號，這些登錄名可以與其他網站關聯上，是信息泄露的載體，信息販子掌握這些信息后，可以用‘撞庫’方式嘗試登錄其他網站。”張百川說。

據他介紹，在實際操作中，信息販子往往是通過專門的“掃號”軟件，來批量驗證賬號密碼是否是有價值的。

5月2日，當新京報記者詢問“AA收購數據”有沒有淘寶的平臺賬號密碼時，“AA收購數據”回答稱做不了，因為“沒有軟件”。

5月2日，新京報記者以出售數據為名聯系到了一個網名為“四哥”的信息販子。“四哥”稱他們“大量收購所有網購歷史訂單，月內為優”。并稱，“拿貨價2元一個，囤貨多了再出手，隨便一天出3萬個左右，保證最新數據”。

至于數據來源，“四哥”稱“都是掃號得來的”，并詢問記者是不是“技術源頭”。

“這些信息販子的‘技術源頭’就是黑客平臺”。張百川告訴新京報記者，“這些在黑客圈子里都可以找到，黑客盜取某些網站的數據庫后就可以售賣給信息販子，根據數據價值的不同，售價也不同，但一般都是第一次出售價格最高，比如最開始這個數據庫可以賣一萬，‘二倒手’之后就只能賣6千，再倒手之后價格更低，直至最后沒有價值，向公眾公開。”

一條黑客盜竊數據庫信息，信息販子通過掃號軟件“撞庫”取得網購平臺賬戶密碼，騙子再以幾元一條的價格購買信息并進行電話詐騙的“掃號”黑色產業鏈浮出水面。“這個產業鏈存在至少有七八年了。”張百川表示。

新京報記者發現，一些QQ群是這些信息倒賣者的“大本營”。例如在某個以“網路安全”為名的QQ群里，不少人公開發廣告稱“求能拿指定站的大牛，價格以萬為基數，長期合作，另誠意收購金融網站數據庫”、“收帶名字、電話、身份證號、地址的一手個人數據，價格包你滿意”。

獵網在2015年11月曾發布《現代網絡詐騙產業鏈分析報告》，報告顯示：基于對網民舉報的近9萬起網絡詐騙案件的追蹤研究，該平臺發現網絡詐騙已形成一條完整且分工明確、多達15個工種的地下黑色產業鏈；初步統計，網絡詐騙從業者至少有160萬人，“年產值”超過1100億元，而涉嫌泄露用戶信息量已超過千萬級。

獵網平臺反網絡詐騙專家裴智勇介紹，即便是手法最簡單的網絡詐騙，也至少需要10人的犯罪團伙：從開發制作、批發零售到詐騙實施、分贓銷贓，網絡詐騙可劃分出多達盜庫黑客、電話詐騙經理、短信群發商等多個不同工種，其分工明確，協同作案，形成了完整的網絡詐騙地下產業鏈，其中盜庫黑客是這條產業鏈的源頭。

有“漏洞”平臺更易被“撞庫”

“說白了，撞庫攻擊就是不斷地嘗試錯誤的密碼。”張百川表示，“對于大型平臺來說，往往可以利用技術手段限制這一‘撞庫攻擊’。比如登錄錯誤幾次后直接封掉登錄者的IP地址，一個賬戶一天之內只允許輸入三次，一個IP地址如果輸入了兩個賬戶或者輸錯了5次以上，24小時內就不允許再登錄等。”

5月10日，新京報記者在某互聯網平臺多次以錯誤密碼登錄同一賬號后，登錄界面出現了“您今日只能再輸入三次”的提示。

新京報記者同日在1號店網站上多次試驗登錄同一賬號，多次輸錯賬號密碼后，1號店要求輸入驗證碼，但除此之外并無其他防范手段。

5月16日，新京報記者嘗試以錯誤密碼登錄蘇寧易購，發現輸錯3次密碼后，蘇寧易購開啟了移動滑塊的防護措施，并在輸錯10次后鎖死了賬戶信息，顯示只有1小時之后才可以再次嘗試。而在以錯誤密碼登錄小紅書的試驗時，小紅書方面表示需要以接收手機驗證碼的方式登錄。

“1號店的驗證碼模式并不算是防御撞庫攻擊的有效方式，現在在網上搜索驗證碼識別、驗證碼繞過，可以得到相應的破解軟件。移動滑塊相應高端一些，但目前市場上也出現了破解移動滑塊的軟件。”張百川表示。而對于手機驗證碼，萬濤表示，現在有專門的打碼平臺可以幫忙快速破解驗證碼。

有業內人士稱，當盜號者取得了一家網站的數據并通過撞庫攻擊“撞出”其他網站的用戶名和密碼后，被“撞出”的用戶名和密碼也會成為新的“數據庫”再用以“撞”其他的網站。

5月10日，新京報記者致電一位信息已遭泄露的電商用戶時，該用戶告訴新京報記者，她接到了冒充1號店客服打來的詐騙電話。這名用戶在兩家電商平臺上的登錄名為同一個手機號。

“事實上，對撞庫攻擊進行防御的成本并不高，但除支付寶等大型平臺外，小平臺對這一攻擊手段進行防范的驅動力不太大。”張百川直言。

對于因信息泄露遭受詐騙而形成的損失，電商平臺應承擔怎樣的責任至今仍不明確。大部分電商平臺對于此類事件的回應一般為“配合警方調查”。1號店昨日向新京報記者回復稱，需要對信息泄露一事再核實。1號店的后臺安全系統會24小時不間斷監測顧客登錄和購物行為，一旦發現頻繁異常登錄等高風險情況，將采取鎖定賬戶等緊急手段，顧客需要修改密碼或通過身份驗證再次使用。如果顧客遭遇信息泄露后的財產損失情況，將全力配合警方提供所需要的信息。

蘇寧方面表示，蘇寧基于用戶信息安全防范成立的安全團隊，以網絡安全攻擊、Web安全攻擊的安全風險發現識別為基礎，可以通過可視化網絡與Web攻擊事件，發現內部網絡高級持續性威脅，挖掘與檢測針對蘇寧消費者與商家的釣魚網站，并予以及時處理。對于涉及消費者信息安全問題，將第一時間核實處理，確保用戶購物支付環境的安全與穩定。

根據今年3月補天平臺發布的《2016年網站泄露個人信息形勢分析報告》，2016年有超過一半的網站漏洞會導致泄露實名信息和行為信息，分別占58.5%和62.4%（某些漏洞可能同時泄露2類信息），可能泄露的數量多達42.3億條和40.1億條。

電商平臺是否擔責？律師稱難判斷

“電商平臺在獲取個人信息的同時，就有保護個人信息的義務。”北京盈科律師事務所方超強律師向新京報記者表示，“信息泄露存在不同的情況，如果電商平臺提供了符合其規模的保護措施，但在這種情況之下還是被黑客入侵了系統，這種情況屬于不可抗力，電商不用承擔責任，但如果最終發現因平臺存在漏洞而導致信息泄露，那么平臺就要負責。”

他進一步解釋稱，若盜號者是利用技術手段從電商平臺上盜取數據，獲得相關賬號密碼，則需要進一步考慮電商平臺在數據保密層面上技術保護水平是否足夠高，有無明顯漏洞；若一些初學者黑客也可以攻破平臺的安全保護措施，可以認為平臺沒有給予與其規模相匹配的保護，這樣的情況下可以認為平臺存在漏洞，需要承擔責任。

根據《網絡交易管理辦法》第25條第二款規定：第三方交易平臺經營者應當采取必要的技術手段和管理措施保證平臺的正常運行，提供必要、可靠的交易環境和交易服務，維護網絡交易秩序。

但方超強直言，在現實中很難有一個標準去判斷什么叫做“平臺存在漏洞導致信息泄露”，若消費者向法院投訴平臺，平臺只要舉證證明其盡到了安全責任保護義務，就很難對平臺進行追責。同時，對于消費者因為在不同電商平臺使用相同的賬號密碼，以致遭到“撞庫”盜號，所有賬號密碼一同被盜，造成自身重大損失，此類情形，應當由誰承擔責任要視賬號泄密的不同情況分而論之。

萬濤表示，實際上判斷電商安全等級的相關標準有很多，包括國家信息安全等級保護制度和ISO27001信息管理認證，這要看電商能拿到哪些安全標準認定。比如在國家信息安全保護等級上，網約車必須拿到三級等級保護。但現在用戶的信息泄露渠道實在太多，有大量的用戶隱私數據已經處于泄露狀態，以此判斷電商責任并不全面。

萬濤認為，核心問題是發生信息泄露之后，往往很難判斷是哪一個環節出了問題，對責任的界定和處罰不明確，導致信息泄露從取證到用戶的維權成本都過高。“電商有物流、第三方等多個環節，有很多訂單泄露與其內部數據的管理和安全手段能不能覆蓋到業務是有關聯的。”

5月16日，“AA收購數據”還以2.6元一條的價格向新京報記者提供了一份淘寶網購用戶數據，這份用戶數據并沒有賬號密碼。“這份數據的來源并非掃號，是我向開淘寶店的朋友直接拿到的。”

“一般而言，賣家在電商平臺上出售商品，是要與平臺簽訂協議的，在注冊條款里平臺需要盡到告知義務，即賣家不能買賣買家的個人信息獲利，這種行為本身構成侵權，買賣達到一定數量也構成犯罪。但若平臺盡到了告知義務，是沒有責任的。”上海市百良律師事務所主任王冰告訴新京報記者。