◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
1
大家应该有过类似的经历吧:
你租房的时候在中介那里留了电话,结果没过几天就开始遭受不同人的电话骚扰。卖房的,租房的,贷款的,各个像吃了春药一样疯狂给你打电话,让你不堪其扰。
你会有隐约的感觉:“是不是这些中介把你的电话和名字资料卖给了这些营销公司呢?”
对这个已经非常“普遍”的现象,大多数人都很无奈。除了吐槽之外,也只能忍了,反正电话来了挂掉就是。但是有时候,问题可能比我们想的更加严重。
前一段时间,阿何遭遇了这样一件事情。
那时候我正好在给自己公司招人,短时间内面试了大量应聘者。其中一个觉得很不错(就叫他W吧),便让他过两天来上班。
结果上班的第一天,W就突然跑过来跟我说:何总,你昨天要的1500块钱我已经转账到你卡上了。
我大吃一惊,因为我根本没有跟W借过钱。
仔细跟W了解事情的经过,原来昨天有个人(据说声音和我很像)打电话给他,而且准确地说出了他的名字。电话里,这个人自称是我,这是我的另一个号码,并且说有急事要借1500米。
因为刚刚拿到Offer,也确实很喜欢这份工作,W不敢询问太多,迅速就给骗子转了1500米。就这样,我的员工在入职第一天就遭受了不小的经济损失。
后来我仔细想了一下,为什么骗子能这么精准地了解我和W的相关信息呢?只有两个可能的原因:
1. 招聘公司将这些资料卖给了骗子
2. 有人通过黑客手段弄到了这些资料
不管是哪种方式,都说明我们的这些隐私信息被泄露出去了,而且成了诈骗团伙牟利的工具。
以前也在网络上看过大量电话诈骗、网络诈骗的新闻,总觉得距离自己非常遥远。可我怎么也没想到,自己身边也发生了这样的事情。
这次受骗的是我的员工,下次很有可能就是我本人,或者是我的家人、朋友。不管你警惕性多么高,当骗子对你了如指掌到这种程度的时候,上当受骗只是时间的问题。
2
我开始查找大量资料,想搞清楚这样一件事:
我们的这些隐私信息,到底是怎么被泄露出去的?
调查的结果让人触目惊心,你能想象吗:不要说组织严密的诈骗团伙了,哪怕是一个稍微接受训练的普通人,都有可能通过互联网手段得到大量你的个人信息。
我接触的第一个人,是朋友介绍的据说做”黑客“的老K。
老K见我后说的第一句话就是:给我3分钟,我就能查到你90%的资料。
他在一台笔记本电脑上噼里啪啦演示操作,以我的一个实名登记的手机号码为起点,在一个数据库里老K轻而易举地找到了我的真实姓名。然后通过姓名+手机号,他很快找到了我的身份证号码,再然后就是QQ号、微信号、开房记录……
最后,老K甚至拿到了我在很多网站的登录账号和密码。为了验证这些密码的准确性,他当着我的面登录了我的网易云音乐以及人人网账号。
人生中第一次,我感觉到自己就像被剥光了衣服暴露在全世界面前,浑身发冷。
对此老K说,”别以为只有你这样,其实在中国,14亿人都在裸奔!“
更可怕的是,整个过程中老K其实并没有展示什么高深的黑客技巧。自始至终,他只是在几个数据库和网站里面查询了一下数据。这些网站是公开的,这些数据库也只需要花不多的钱就能在很多渠道购买到。
换句话来说,只要有心的话任何一个普通人都可以复制老K的操作,查找到很多人的隐私信息。
早在2016年的时候,南方都市报的记者就曾经做过一个相关调查。让他非常吃惊的是,他只花了700米,就查到了自己同事的海量信息:
这些信息包括了开房记录、上网记录,以及航班信息、银行卡信息等,令人不寒而栗。
直到今天,在谷歌和百度,通过某些特定关键词仍然能找到很多提供隐私信息查询服务的网站和组织。
阿何大概只花了5分钟,就找到了一个可以免费查询相关信息的网站,里面提供了开房信息查询、网站信息以及密码信息查询等功能:
在“某商城数据库”页面,我随便输入自己曾经用过的一个网站用户名,结果非常惊悚地发现,这个网站搜索出了我真实的姓名、邮箱和电话数据:
下一步,利用这些数据,我通过“密码库”功能,找到了自己常见的一个密码(经过md5加密)。这个网站还把是哪个平台将我的密码泄漏出来也显示出来了:
后面按图索骥,我还找到了自己的开房数据、身份证号码等更加隐私的数据,而且都是真实的……
这样的平台还有很多很多。它们中有的可以通过一个QQ号码,查询到你的QQ好友,你加过的QQ群;有的可以查询到你都在哪些网站、APP注册过账号,用户名是什么;还有的可以查询到你的快递地址、购物信息……
也就是说,只要有一两条开始的线索(你的常用用户名、手机号码、邮箱等),你在网络上基本就无处遁形了!
3
那么,这些平台又是如何得到我们数据的呢?
主要有几个来源:
一、数据泄露
我们坐航班、住酒店、寄快递、注册APP,经常都要填写大量个人信息。这些信息储存在对应的航空公司、酒店集团和互联网公司系统数据库里面,一般情况下是没有问题的。
但是,这些公司数据库的安全程度其实并没有我们想的那么高。很多公司对隐私数据的重视程度非常低,经常犯诸如数据库密码设置的非常简单、核心数据不加密存储等低级错误。对技术到位的黑客来说,弄到这些数据的难度其实并不高。
仅在过去的2018年,国内就暴露了很多起大规模的数据泄露事件:
2018年6月,暗网上有人公开兜售圆通快递1亿条快递信息数据,售价1阅批。
2018年6月,知名视频网站A站遭拖库,近千万用户数据泄露。
2018年7月,顺丰快递3亿用户信息外泄。
2018年8月,华住集团旗下超过10家连锁酒店品牌用户数据泄露,总数超过5亿条。
2018年9月,万豪旗下喜达屋酒店集团约5亿人次顾客预订信息被泄露。
2018年10月,国泰航空940万用户隐私数据泄露。
……
这还仅是已经暴露出来、规模比较巨大的数据泄露事件。更多小型公司、平台的数据哪怕被泄露了,也未被公众关注,甚至无人得知。
二、内部员工倒卖
2017年,荆州市公安局破获一起个人隐私信息泄露案件。
警察最后发现,信息泄露者汪媛媛原本是某知名快递公司的仓库管理员。在数据贩子的劝诱下,汪媛媛在一个月左右时间里,以2米/条的价格向数据贩子累计倒卖超过4000条公民快递信息,共获利超过8000米。
类似的案件近年在国内发生的频率越来越高。
公民的个人隐私信息看似不起眼,但在别有用心的组织手里,却可以通过精准营销、电话诈骗等方式获取高额利润,因此这些组织很早就开始将木目光投向了掌握信息的公司内部。
航空公司、酒店集团、快递公司、电商平台,这些年都曾经爆出过内部人员倒卖数据的案件。
三、数据贩子
个人隐私信息买卖早已经在国内形成了一个庞大的地下产业链,其中最大的一个群体就是数据贩子。
数据贩子手里往往有一批独家数据资源,然后通过交换、购买等方式不断扩大数据量,最后将数据兜售给各类营销公司、诈骗集团牟取暴利。
除此之外,这群人还娴熟地掌握了许多黑客技巧,擅长通过已经有的数据产生新的数据。比如说最常见的一个操作叫”撞库“。
撞库的原理其实非常简单:现在许多人为了贪图方便,经常在不同平台都使用同样的用户名和密码。现在黑客想要获取到某大平台A里面的用户数据,但是平台A的安全措施非常严密,无法直接获取数据。这时候黑客就会采取绕路策略,先攻破漏洞比较多的B平台,得到许多用户的用户名和密码,再将这些信息一一到A平台去尝试能否登录,只要可以登录,黑客就得到了一条A平台的有效数据。
泄露数据的平台越来越多,黑客手里的数据就越来越全,攻破新的平台就更加容易。到今天为止,一个令人悲观的事实是:很可能我们每个人都无法幸免。
4
在中国,已经有超过70%的人最少经历过一次个人隐私数据泄露,这个比例还在逐年递增。再考虑到有些年幼、年老群体并不是网民,基本可以说每个人都遭遇过隐私数据泄漏!
近10亿人的数据在地下链条里流通交易,流向营销公司、数据贩子以及形形色色的诈骗团伙。在这个链条里,我们每个人就是待宰的羔羊、赤裸裸的商品。
隐私数据泄露带来的危害,已经不再是影视作品里的设想,而是在现实世界里不断发生,很多中国人正在为此付出惨重的代价。
在百度上一搜,就有无数被害者的案例。小的是几百几千米的经济损失,大的则家破人亡。
曾经惊爆全国的徐玉玉案,就是一起典型的个人隐私数据泄漏引发的诈骗案。
2016年8月份,犯罪分子陈文辉等人通过攻破网络系统、网络购买等方式,获得了一批高考录取生的详细资料,然后挨个打电话通知这些人领取大学发放的“助学金”,之后采用各种手段实施诈骗。
2016年8月19日,刚刚被南京邮电大学录取的女生徐玉玉接到了这伙犯罪分子的诈骗电话,在犯罪分子的巧舌如簧下,单纯的徐玉玉将9900米学费全部存入骗子的账户。
徐玉玉出生在一个普通的家庭,9900米对她来说不仅是一笔巨款,还是人生的希望。得知被骗后,仅仅2天后这名单纯的女孩就因为伤心欲绝,引发了器官衰竭而死亡。
尽管最后犯罪分子全部落网,可是逝去的生命却再也回不来了……
类似的案件,在中国还有很多很多……,有些被爆料出来,还有更多则沉在水底,或许我们永远无法得知。
不要以为别人单纯所以才被骗,自己更加警惕就没事,犯罪分子其实比我们设想的还要更加狡猾精明。
个人隐私数据被掌握,代表了什么呢?
它代表犯罪分子对你的工作情况、家庭情况、社会关系了如指掌。不仅知道你的电话、姓名、经济状况,甚至连你的家人、领导、同学、朋友的资料也能被挖出来。
这种情况下,骗子冒充你的家人、领导、同事或者其他亲近的人是轻而易举的事情。他们甚至可以根据你具体的处境、即将要做的事情去针对性设计骗术,哪怕是高学历的聪明人也难免中招。
此外,哪怕我们可以避免自身被骗,也难以阻止他们用我们的数据冒充我们,然后去骗我们身边的人。
权威机关的数据表明,国内从事个人隐私相关黑色产业链的人员已经达到150万规模,每年中国人因为个人隐私泄漏造成的损失接近1000亿米。这个数据,差不多是全球此类损失的三分之一!
除了诈骗之外,更有些穷凶极恶的犯罪分子会利用普通人的裸照、开房数据、欠款记录等敏感信息直接进行敲诈勒索。
5
了解越深入,我心里的寒气就越盛。
可以说,情况真的已经严峻到了十万火急的程度:相关的犯罪活动如此猖獗,而我们的隐私数据又已经被大规模泄漏,如此场景,就像一群人在火海中裸奔。
国家一直都在严厉打击个人隐私相关的犯罪活动,力度每年都在加大。但是和其他犯罪行为不同,这类网络犯罪更加隐秘、更加高科技,从而难以彻底根绝。
可以这么说,只要互联网还在,就无法彻底避免数据泄漏。
唯一能做的,就是我们要有警惕意识,加强自我保护。只要在源头上杜绝了信息泄漏,任黑客技术再高也无能为力。
根据大量相关资料,我给大家整理了几条避免个人信息泄漏的方法:
1. 最好购买两个手机号码。一个用来注册账号、收快递、住宿等对外用途,一个只用来联系家人、朋友。将对外信息和对内信息做一个物理上的隔离。
2. 不同的网站、APP,注册的时候一定要使用不同的用户名和密码。
3. 快递单、火车票、机票等在面单上具有个人信息的票据,使用后务必将个人信息划掉,最好能粉碎销毁。
4. 经久不用的网站、APP,一定要销毁原来使用的账号。
5. 高隐私度的APP,如支付宝、网银、邮箱等,最好定期更换密码,避免长时间使用同一个密码。
6. 只从官方网站下载APP,尽量不下载来路不明的APP。
7. 网购的时候,不要填写真实姓名,最好填写花名以及只对外的手机号码。如果有条件,尽量地址填写代收点地址,而不是真实的家庭地址。
8. 使用APP的时候,不给APP开启过多不必要的权限。
9. 收到来路不明的短信,千万不要轻易点击短信里面的链接。微信、QQ等链接同理对待。
10. 个人身份证、护照、户口本等敏感证件的照片绝不外传,办证需要的只给实体复印件,并且在上面标注好“仅供XXX使用”的字样。
11. 手机丢失,要马上挂失手机号。类似的,微信、QQ等被盗,要马上举报,以及通知身边的人。
12. 手机一定要设置密码,最好设置安全性更高的指纹解锁。相对来说,iPhone安全性比安卓手机高一些。
严格做到以上12点,能在90%程度上保证我们自身安全。当然,这样会给我们生活带来很多不便,但是和潜在损失相比,我认为完全是值得的。
作者:阿何,清华大学理工男,职场充电宝&唯库创始人,感性理性兼备的写作者,国内知名个人成长研究者,个人公众号:阿何有话说(ID:aheshiwo)。
公众号内回复“1”带你进粉丝群
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。