克劳中尉的作品
首发于微信ID“鸦小伟”
微信号:CaptainWuya
这两天,不少网友反映自己的QQ账号被盗,Crow的一些好友也成为了受害者。
不少网友表示,自己的QQ账号被盗后,向好友、群聊发送一些不雅信息、色情图片,一度造成其人际圈子人格崩溃、社交死亡。
由于受害者人数众多,影响如此恶劣,腾讯QQ第二天就此事作出回应,称主要原因是用户扫描了不法分子伪造的游戏登录二维码并授权登录。
然而,许多账户被盗的账户所有者表示,他们没有扫描过任何二维码,没有访问过不良网站,也没有向他人透露自己的密码。他们的账户莫名被盗。
不过,经过多位网友举报和记者调查发现,本次账号被盗的账号所有者大多是大学生或应届毕业生。因此,大家怀疑这起QQ账号被盗事件与之前曝光的学通学生信息泄露事件有关。有关的。
日前,大学生学习软件学通发生信息泄露事件。
6月20日,一个名为“M78安全团队”的公众号发表文章称,学通的数据库信息正被黑客通过非法渠道出售。被出售的数据包括姓名、手机号码、性别、学校、学号、电子邮件地址等信息。共计17273万项。
消息一出,在网络上,尤其是大学生中引起了巨大的热议和恐慌。
学都通是一款在高校中普及度非常高的APP。尤其是疫情期间,高校线下课程改为线上。许多学生和老师都使用学都通来报到、上网课、监考。
事件发生后,不少学生登录学通账号发现,即使自己不经常使用该软件,数据显示却有数万甚至数十万次的使用记录。
那么,学通信息泄露与QQ用户账号被盗之间是否存在关联呢?
6月27日,记者上网搜索发现,在网络上的一个隐藏平台上输入关键词“学通”后,可以获得一个QQ邮箱和一组加密密码。
业内人士表示,此类密码属于乱码,可以通过按键转换成对应的数字和字母。如果犯罪分子获得了相关密钥,就可以直接获取真实密码。
目前,部分学校也发布提醒称,由于学通数据库泄露,目前怀疑学通数据库已被利用进行数据库填充。他们呼吁大家,如果QQ密码与超星平台一致,请立即更改密码,以保护帐号安全。
什么是“撞库”?
在登录不同的网站时,很多人喜欢使用相同的用户名和密码,以方便记忆。
许多不法分子利用这一习惯,通过泄露的用户和密码信息,利用自动化工具,批量向其他网站界面提交账户和密码组合。如果登录成功,则撞库攻击就会成功。
不过,面对大家的各种接触和猜想,学童却表示:“到目前为止,我们确实没有发现泄密的证据。对于网上流传的信息泄露的情况,鉴于事情的严重性,我们已经报案了。”目前已向公安机关举报,警方正在配合深入调查。”
一方面,公司坚称用户密码不会泄露。另一边则是经历过各种账号被盗、对信息安全感到焦虑的用户。
无论是否有直接联系,大量QQ被盗和学都通信息泄露这两起事件,实际上已经敲响了警钟——个人信息泄露已经严重到必须认真对待的地步。
目前个人信息泄露的情况有多严重?
这么说吧,大多数人在互联网上是没有隐私的。
事实上,早在几年前,各种专门出售个人信息的QQ群就非常普遍和猖獗。
公民个人信息在各类QQ群中公开出售。基本上你能想到的各种个人信息都可以查询、买卖。
无论你想查看对方的通讯录、滴滴打车记录、订房记录、通话记录、淘宝购物记录,还是购物送货地址,你只需要提供手机号码并支付足够的钱就可以查到。
早在几年前,就有记者卧底到一个专门出售个人信息的QQ群。他只提供了一个手机号码,信息贩子在几个小时内就能快速找到此人的照片、身份证号码、户口本等信息。该人的住址、国籍、所属派出所等信息与实际信息完全一致。
提供手机号码,还可以查询对方名下的车辆信息,包括车辆型号、车牌号、车架号、发动机号等;以及所有淘宝购买的收货地址,无论是过去的还是现在的收货地址。收货地址,无论是给别人购买的还是我自己的收货地址,都列出来了,而且信息已经经过我确认完全一致。
信息贩子知道的远不止这些。只需一个手机号码,他们就可以查看您多年来的详细出租车记录,包括每次乘坐出租车的时间、您在哪里上车、在哪里下车、您订的出租车类型。车辆类型和票价清晰可见。
它还可以检查您的数千条通话记录。每次通话的呼入、呼出号码、通话时间、通话时长以及每次通话的费用清晰显示。
更可怕的是,你只需要提供手机号码,信息贩子就能准确定位到你的地址。它不仅有实时位置地图,还有平面地图和卫星地图,还能清晰标注经度和纬度,实际误差不超过50%。米。
看到这里,你是不是想想都觉得无比后怕呢?
敌人在黑暗中,我们在光明中。只需一个手机号码,对方就可以查到你的一切:你是谁、你在哪里、你做过什么、你开什么车、你住在哪里、你的消费习惯。什么事,你通常和谁交流...
只要你提供手机号码,任何人都可以购买你的隐私。可想而知,这背后隐藏着多么令人毛骨悚然的危险。
这也是近年来个人信息泄露相关话题热度不减的重要原因。
但好消息是,国家和各大平台显然早就注意到了这个问题。近年来,对此类黑灰色行业的打击力度不断加大。目前,这些黑灰产业很难在国内传统平台立足。
随之而来的坏消息是,这条黑色产业链并没有消失,而是开始向国外转移,逐渐转移到以暗网、Telegram为代表的国外网络平台。
支付方式也从原来的微信支付宝改为虚拟货币等更“安全”的支付方式。这就形成了一条更加隐蔽、难以追踪的新产业链。
如今,你可以在Telegram上出售信息的各个社交群中看到大量包括户籍、手机号码、位置、寻人、房产调查、开房记录、交易记录等用户信息被公开出售,这是非常猖獗的。 。
暗网上的数据交易量更大。
每年有数以万计的各类泄露数据在暗网平台上出售。每年泄露的数据总量达数十亿,交易金额超过10亿元。
泄露和公开出售的信息包括政府机构公民信息、银行、证券等金融机构客户信息、各大电信运营商业主以及互联网、快递、酒店、房地产、航空、医院、学校等各行业等客户和用户信息。
而且如此大量详细的真实数据是以非常便宜的价格获得的。据业内人士介绍,平均查看一条信息的成本只有几毛钱。
暗网上可以看到,某辅导机构的一份全国93万高校学生的身份数据已被出售。套餐价格为30美元,包含姓名、手机号码、学校、地址等信息。数据包显示,已有18笔交易。
某快消品牌官方旗舰店的销售信息数据报价为16美元。该数据包包含15623条该品牌2020年中销售数据信息,包括购买者、购买信息、价格、购买时间,以及购买者的电话和地址。 。
此外,身份证正反面照片、手持半身照片也被打包出售。从发帖者提供的附件截图中我们可以看到,相关照片不仅包括该人的身份证正反面,还有四张该人单独手持身份证的照片。此类照片共有 1500 套,数据包售价 20 美元。
以及其他各种信息,明码标价,应有尽有。
当然,被出售的泄露数据不仅是国内的,还有国外很多主要平台的用户数据。
例如,Linkedin 早期泄露的数据是暗网上第一个明确定价为 5 个比特币的数据。
还有美国大选全部50个州的投票数据,定价为0.12比特币。
一些泄露的用户数据甚至可以在某些平台上免费获取。
去年,外媒报道称,在一个黑客论坛上,有人免费公布了5.33亿Facebook用户的个人隐私信息,包括用户的电话号码、Facebook登录ID、全名、家庭住址、出生日期等个人信息。简历、电子邮件地址等。
此次泄露的个人隐私信息数据涉及来自106个国家的5.33亿Facebook用户,其中包括3200万美国用户、1100万英国用户和600万印度用户。
由此可见,全球用户数据泄露的情况已经变得多么触目惊心。
接下来的问题是,我们的信息是如何泄露的?泄露后如何使用?
生活中,每个人都应该经常接到一些销售电话,其中涉及房产销售、网上申请、保险公司、银行、信用卡申请、子女教育等。
电话那头的人大多数都知道我们的姓氏,有些人可以叫我们的全名,甚至知道我们的身份证号码、地址等信息。
乌鸦基本上每周都会接到一两个这样的电话,极其烦人,但他却无能为力。
问题是,我们的个人信息何时何地被泄露?它已经变得如此普遍,以至于各种人,例如销售保险的中介人,都可以从中分得一杯羹。
各大应用越权过度收集用户信息是个人信息泄露的最重要诱因之一。
一个不可忽视的现象是,我们的手机在承担越来越多的生活服务功能的同时,也收集了大量包括个人身份、衣食住行、社会关系等个人隐私信息。
如今,我们在注册各种软件APP,甚至是小程序时,基本上都需要使用实名。注册时,通常需要填写手机号码以接收验证码。有的还会要求你填写真实姓名甚至家庭住址、身份证号码等私密的个人信息。
仅仅要求您填写个人信息是不够的。您还需要各种授权,其中许多甚至是不必要的。
例如,照片编辑软件会要求您提供麦克风或地址簿权限;或者购物APP或新闻APP会要求你提供位置权限或通讯录权限。 APP本身的功能和请求的权限显然不匹配。这纯粹是过度的授权请求。
不过,这些仍然是可控的。通常这些应用程序在请求授权时会提示弹出窗口。如果您觉得没有必要,可以选择不授权。
但有些应用程序非常无聊,并且可能秘密包含私人物品。一般来说,下载后,他们会要求你签署一份巨大的协议。一不小心就会默认你接受各种授权。
例如,央视3月15日晚会上提到的“社保手机”的协议条款包括以下条款:“在遵守本协议的条件下,我们将在以下情况下收集、分析、处理和模拟您的信息:你登录中国人民银行。”我们会从互联网、学信网、社保、公积金、运营商网站等获取您的个人信息。”
尤其是金融借贷类应用,需要用户提供更多的个人信息作为信用和还款的保证,一直是隐私泄露的高风险领域。
确实,应用程序泄露个人信息并不是什么新鲜事,但问题是谁泄露的?
近年来的个人信息泄露一般来自三个来源。
首先是APP公司、各种小程序等平台本身。市场上的APP和小程序很多,质量参差不齐。一些APP公司甚至通过倒卖注册人信息来盈利。
有些公司专门发布一些看起来与正版应用程序非常相似的免费应用程序,或者打着获取利益的幌子吸引用户下载,但实际上这些软件中含有病毒、木马、后门远程控制、窃取隐私等恶意代码,以达到目的。窃取用户信息。 。
这类应用的开发门槛很低。几个人几天就能开发出来并投放市场,倒卖用户信息却能赚大钱。
二是“黑客”等外部势力攻击数据库,利用技术手段窃取用户信息,导致用户信息泄露。
这种情况也很常见。不久前,通用汽车发布公告称,检测到黑客攻击。黑客通过在线移动应用程序获取了大量客户详细信息,包括姓名、电子邮件地址、邮寄地址、账户绑定的姓名、电话号码、兴趣点集合等。
国内外各大企业遭受黑客攻击、数据被窃取的情况时有发生。
第三,在存储海量数据的各大企事业单位中,存在“内部人士”出售大量用户信息牟利的情况。
近年来,此类情况屡见不鲜。
例如,曾发生过轰动一时的顺丰员工泄露个人信息事件。
湖北省荆州市中级法院2018年5月的判决书显示,杜黎明、冯丹等11名顺丰速运员工就职于河北顺丰速运有限公司、荆州顺丰速运有限公司,职务包括保安等。部门主管至营销总监。部门专员、仓库管理员、快递员等
2015年以来,杜某、冯某等人利用微信、QQ等软件平台,在境内销售、提供、非法获取顺丰快递单号、面单(即含有顺丰单号、地址、电话号码的图片)。以便谋取非法利益。中国公民的个人信息。
该案涉及公民个人信息泄露超过1000万条,涉案金额超过200万元。如果折算成单条信息,每条价格仅为0.2元左右。
除了快递行业,其他接触海量数据的相关部门的工作人员往往也是个人信息泄露的“内部人士”,甚至包括我们的公务员。
例如,原湖南省衡阳市公安局刑侦支队五大队民警肖某,曾利用职务便利窃取同事的数字证书。通过登录公安机关相关信息平台,查询该公民的户籍信息、公民的个人行踪和车辆轨迹。信息、住宿信息出售。
按照肖某的定价,公民个人行踪轨迹信息每条收费300元,车辆轨迹信息每条收费100元,住宿信息每条收费100元。
2017年3月至2018年12月,肖某窃取公民个人信息并出售给他人,共获利180万余元。最终他被判处四年半监禁。
我们上面所说的以及个人信息泄露的源头,可以看作是窃取、倒卖个人信息的“黑灰”产业链的上游。
在这个产业链中,上游负责收集、窃取、整理个人信息,下游负责精准犯罪牟利或实现其他灰色利益。
在个人信息买卖市场上,有多种方式。
根据被盗时间,这些信息被内部人士分为三类:“实时信息”、“隔夜信息”和“历史信息”。
“实时数据”是指最新的一手数据,即刚刚被盗取的个人信息。这类数据最好卖,所以价格也最高,一般达到一元左右一条。
但再过几天,“实时材料”就变成了“隔夜材料”,只能卖到5毛钱到0.15元。
“史料”经过圈内几手转手,而且都是最便宜的。通常以包装形式出售,10000个仅需20元。
根据这些“材料”的用途和来源不同,可以分为“快递材料”、“学生材料”、“化妆品材料”、“房产材料”等,包括姓名、电话、地址、学校、专业、快递公司等信息,方便定向交易。
这还涉及到另一个非常重要的问题:用户的个人信息泄露后将如何使用?
最轻、最常见的就是当个人信息被转移给广告商时,用户时不时就会受到各种无用的促销信息的轰炸。
最严重的情况包括欠下不明债务、被网络诈骗封杀等。
此前,警方破获一批信息盗窃案件后,随机抽取了100多个电话号码放入系统进行查询。其中,有十余人因电信诈骗向公安机关报案。
个人信息泄露对公众造成的负面影响不容忽视,亟待解决。
数据泄露现在已经司空见惯且广泛存在。真的没有办法治愈吗?
近年来,我国相关部门确实不断加大信息安全防控力度,相关政策迅速落实,各项法律法规相继出台。
我国涉及个人信息的法律有50余部,行政法规40余部,司法解释或文件40余部,部门规章700余部。
特别是,2021年8月20日正式通过的《中华人民共和国个人信息保护法》已于当年11月1日正式实施。
该法加大了对侵犯个人信息行为的处罚力度,提高了信息泄露的成本,同时对各项条款也做出了明确、具体的规定。无论是大数据分解、过度人脸识别,还是个人信息处理问题,都被一一规定。
然而,无论打击多么严厉,面对巨大的市场和暴利,有些人还是会铤而走险。买卖个人信息的案件很难完全消失。
虽然克劳更愿意看到这样的黑灰色地带从制度和管理中被铲除,而不是依靠群众的自我保护,但实际上,作为不想成为受害者的个人,我们能做什么呢?
在这里,Crow简单整理了十个小技巧,希望能帮助大家尽可能避免雷击。
1、在不同平台注册时,最好使用不同的邮箱地址和密码,以防止我们前面提到的撞库行为。在这种情况下,即使某个平台的账户密码泄露,其他平台生存的可能性也更大。
2、谨慎使用手机作为登录账号,可以注册专用邮箱。看完前面的内容,大家应该知道一个手机号码能查到多少个人信息。
3.尽量不要连接来历不明的WiFi。在公共场所连接WiFi时,尽量先与WiFi提供商确认后再连接,防止不法分子通过WiFi窃取信息。
4、养成良好的上网习惯,绿色上网,不浏览不认识或了解的网站,不下载里面的内容。它们很可能内置了木马病毒来窃取您的个人信息。
5、在相关平台填写信息时,尽量不要填写不需要的信息,防止平台掌握大量特定个人信息,造成信息泄露。
6、在平台上查找授权信息时,请仔细阅读用户协议,谨防各种默认授权。
7、不要给APP太多的权限或者不符合自己需求的权限。谁知道它会在哪里使用它收集的这么多信息。
8、下载应用程序时,尽量从正规应用商店下载可靠厂家的应用程序,避免点击各种团体传播的下载链接或来历不明的二维码,谨防通过倒卖个人信息牟利的软件商。
9、精心保护私人信息,比如快递单、火车票、登机牌、各种水电费账单、业务收据等,只要有带有个人信息的文件,就好好保存。在犯罪分子眼中,这些都具有“可取的品质”。
10. 老年人是私人信息泄露的受害者。要经常对家里的老人进行安全问题教育,尽可能保持沟通,检查老人手机上是否下载了各种乱七八糟的应用程序。
泄露个人信息的方式有很多种,而且几乎不可能阻止。不过,如果在日常生活中养成一些良好的习惯,还是可以大大降低个人信息泄露的风险。
当然,公民个人隐私数据的保护最终需要法治的支撑。
对于无视法律尊严、随意出卖个人隐私数据的犯罪分子来说,依靠法律进行治理无疑是最有效、最具威慑力的。
建设一个无贼的世界固然不容易,但一个为人民服务的政府应该始终以将犯罪分子绳之以法,还人民一个和平的世界为目标。
乌鸦船长编译并编辑