疑似大量個人信息被泄露，信息販賣成暗網“潛規則”？

步入數字經濟時代，個人信息的重要價值不言而喻。隨著互聯網技術的快速發展，隱藏在水面之下的“暗網”，由于其隱蔽性、非常規性的特點，正逐漸成為個人信息泄露的“溫床”，成為網絡黑產交易等不法行為的暗角。

日前，有網傳消息稱，疑似約45億條國內個人信息在“暗網”被泄露，包括真實姓名、電話與住址等，引發各界關注。受訪專家表示，近年來侵犯公民個人信息、危害信息數據安全的行為呈現高發多發態勢，API接口、供應鏈上的中小企業或成為易受攻擊的薄弱環節。相關企業應重視供應鏈整體安全，不斷完善數據合規建設。

疑似大量個人信息被泄露

2月12日晚，Telegram各大頻道突然大面積轉發某隱私查詢機器人鏈接。網傳消息稱該機器人泄露了國內45億條個人信息,數據包大小達435GB，疑似電商或快遞物流行業數據。用戶僅需輸入手機號,即可通過該機器人查詢到姓名、手機號和詳細的收貨地址等隱私信息。

21世紀經濟報道記者在昨日上午10時至下午17時多次驗證時發現，目前該隱私查詢機器人已停用。網絡安全專家冰塵（化名）在接受采訪時表示，自己經過測試，通過該接口查到了個人信息，包括姓名、手機號以及多個家庭住址。“2021年11月份，我從武漢搬到了北京，最近一段時間也剛搬家，通過反饋的數據可以看到我在武漢、北京兩個地方的地址，”冰塵說道，“以此分析，數據泄漏的時間不早于2021年11月份，最晚不晚于2022年12月份。”

“Telegram，通常也稱電報或TG，是國外一款即時加密通訊工具，類似于國內的QQ和微信，其加密性強、安全性高，難以被破解，同時因為法律難以管轄，平臺上存在著大量色情、賭博、詐騙等信息，慢慢地就演化成為黑產的一部分。”

“這次其實就是在電報上創建頻道 ，類似于國內的公眾號，通過公眾號自動回復便可以查詢到個人相關信息。”冰塵介紹，頻道背后的不法分子，其實是將泄露的用戶數據整合分析、集中歸檔到 “社工庫”，通過社工庫便可以獲得相關信息。

“比如，我經常使用某購物平臺購買生鮮，考慮到和快遞員比較熟悉，會請他直接放在冰箱。在這次我查到的地址中，也出現了‘放冰箱里’這四個字。”他說。

冰塵還透露，正常情況下，可能只是某個企業的數據泄露，但此次的數據泄露較為廣泛，類型較多，涉及多家平臺的相關快遞信息。由于信息泄露規模龐大，暫時無法判斷其泄露具體原因。

記者就此次事件向順豐、京東、淘寶等平臺求證，前兩者均表示未收到相關消息，淘寶方面暫無回應。

API接口、供應鏈中小企業或成薄弱環節

梆梆安全服務中心相關負責人告訴記者，實際上，個人信息被泄露販賣的情況長期存在，而隨著信息技術的快速發展，可利用的信息類型和數量日益增加，交易也從“地下”逐漸浮出水面，侵犯公民個人信息、危害信息數據安全的行為呈現高發多發態勢。

“作為網絡安全從業者，平時我們會進行埋點測試，就我個人而言，在使用各平臺時會使用不同的名字和號碼，如果發生了信息泄露的情況，能夠做出區分。據我們分析，如果App的接口權限過大，或者安全架構設計得過于復雜，就可能會產生薄弱點，出現漏洞導致數據泄露。”上述負責人表示。

據冰塵介紹，常見的數據泄露主要出于四個原因，一是API接口數據泄漏，二是運維不當或者內部管理不嚴，導致包含密鑰或源代碼泄露，三是內鬼泄露數據，四是企業內部的數據庫被打穿。

“隨著網絡安全發展迭代，滲透或者攻擊的成本在逐漸增加，整個內網被打穿從而導致數據泄露的情況逐漸減少，但通過接口類的邏輯漏洞導致的數據泄露卻在逐漸增多。”冰塵進一步分析道，正常情況下，Web網頁或者應用App可以通過對應的功能API接口調取數據。接口常暴露于外網，若此時沒有對請求該API接口的數據限制查詢數據類型及方式，即可進行一些“看起來合法”的數據越界請求。

“因這類請求中無任何攻擊語句，一般情況下很難被發現，除非通過專業的日志比對才可察覺。相關技術人員通過接口不斷發送請求，數據通過滾動查詢，一段時間下來，便得到了相關數據。”他說。

從多年網絡安全紅隊（攻擊方）的視角來看，冰塵特別提示，需重點關注大企業解決方案中供應鏈上的中小企業。在多數情況下，中小企業的安全成本投入較低，數據安全往往難以得到完善的保障，但他們本身卻是供應鏈中的關鍵一環。隨著大企業愈發重視安全建設，攻擊方的攻擊成本也在增加，攻擊往往會轉向供應鏈上的中小企業來尋求突破。“需要重視供應鏈的整體安全，因為你不知道其中的哪個薄弱環節會出問題。”

警惕暗網成為個人信息泄露“溫床”

記者梳理發現，近年來，在“暗網”售賣個人信息的事件時有發生，大量個人信息被“明碼標價”。北京、南通、鹽城、蘭州等地都曾出現過通過“暗網”非法倒賣個人信息的案件。

今年2月，甘肅省公安廳發布“凈網2022”十大典型案例，其中之一是蘭州新區“詹某某黑客攻擊案”。在此案中，蘭州市公安局網安支隊偵查發現，網民詹某某在“暗網”打包售賣包含銀行儲戶、學生學籍、出行數據等在內的12類公民個人信息。專案組最終查清詹某某利用黑客技術，大肆竊取公民個人信息進行販賣的整個犯罪過程，并在廣州將另一名同案犯抓捕到案，現場查獲全國20余個省份的10億余條公民個人信息。

所謂“暗網”，是利用加密傳輸、P2P對等網絡等，為用戶提供匿名互聯網信息訪問的一類技術手段，常使用比特幣等作為交易貨幣。由于其具有隱蔽性、去中心化、非常規性等特征，容易滋生以網絡為勾聯工具的各類違法犯罪。

有大量的“賣方”，意味著背后存在著“買方”需求。買方的目的可能有哪些？梆梆安全服務中心相關負責人分析，主要包括三大類，一是將信息用于電信網絡詐騙，提高詐騙陷阱的真實度；二是依靠數據進行人物畫像，對特定人群進行“精準釣魚”；三是將信息用于廣告營銷推送。

“網民在使用互聯網時，動輒需要提供手機號等個人信息。不法分子利用技術手段獲取個人信息的侵權成本很低，而個人發現信息泄露后的維權成本卻很高，甚至很難察覺信息是在何時何地被泄露的。這種不對等的情況是個人信息泄露事件持續發生的重要原因之一。”浙江墾丁律師事務所程念律師表示，不法分子通過Telegram機器人等方式進行售賣操作，其背后數據庫的擁有者更加隱蔽，犯罪或者侵權主體的鎖定更加困難。

此外，她還指出，目前正規的數據獲取途徑尚待完善，不少企業因數據監管嚴格而未將自己掌握的數據發展成數據產品在交易所內上架交易，而需求方也面臨著資金、合規等方面的成本壓力，因此可能會更傾向于交易所外的交易，這給不法分子非法交易個人信息提供了可乘之機。

“必須強調的是，技術本身具有中立性，但技術使用行為是需要監管規范的。應警惕暗網成為個人信息泄露的‘溫床’，濫用新技術實施個人信息售賣行為的主體需承擔相應法律責任。”程念表示。

根據《中華人民共和國刑法》及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等相關規定，向他人出售或者提供公民個人信息，情節嚴重的構成侵犯公民個人信息罪。如果售賣的是真實姓名、電話與住址等信息的，達到五千條則構成犯罪。

如果沒有達到入罪標準的，按照《中華人民共和國網絡安全法》相關規定，“竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款”。

相關企業應如何做好數據合規工作，保護用戶個人信息？

程念指出，企業需要完善內部規章制度和人員管理，注意防止內鬼行為。采取數據加密等技術措施保障安全，同時對于存在數據往來的合作方的數據使用行為進行必要監督，加強包括合同簽署、資質查看、義務履行情況匯報等具體制度的構建。此外，加強與監管部門之間的協同，除采取處置措施外，在必要時應及時上報安全風險。

梆梆安全服務中心相關負責人也表示，企業一是要做好內控，提升信息化處理相關崗位員工的安全意識，提高應急處置能力，當數據泄露事件發生時，要第一時間做好溯源工作，及時發現和解決問題；二是在外控方面，可以通過組織設備測試、攻防演練等方式，提高查看和修復漏洞的頻率，及時優化系統。