接口隨意調(diào)用、數(shù)據(jù)花錢可買……為什么總有人能夠“輕易”獲取我們的隱私信息

來源標(biāo)題：接口隨意調(diào)用、數(shù)據(jù)花錢可買……為什么總有人能夠“輕易”獲取我們的隱私信息

近年來，隨著數(shù)據(jù)安全法、個人信息保護(hù)法等一系列法律法規(guī)相繼出臺實(shí)施，我國信息安全事業(yè)取得長足發(fā)展。但是，一些掌握大量用戶數(shù)據(jù)的機(jī)構(gòu)在網(wǎng)絡(luò)安全防護(hù)中措施不足，導(dǎo)致用戶數(shù)據(jù)被不法分子竊取。不法分子將獲取的用戶數(shù)據(jù)分門別類打上標(biāo)簽，再以諸如“婚戀報告”“風(fēng)險報告”等形式對外出售，破壞網(wǎng)絡(luò)安全生態(tài)。

相較于過去“打包販賣”用戶敏感數(shù)據(jù)的方式，當(dāng)前網(wǎng)絡(luò)黑市以買家實(shí)際需求為導(dǎo)向，以“生成報告”的形式出賣個人信息。為什么我們的個人隱私總能被不法分子“輕易”獲取?記者就此展開調(diào)查。

網(wǎng)絡(luò)安全形勢仍不容樂觀

“提供身份證號，可查指定人征信、戶籍信息。”“婚姻狀態(tài)可查，USDT(一種虛擬貨幣)、微信、支付寶均可支付。”剛剛加入某境外通訊軟件的聊天群，就有群成員迫不及待發(fā)來招徠私信。

在一位賣家發(fā)來的“個人信用報告”的預(yù)覽版中，除姓名、性別、手機(jī)號等信息外，還細(xì)致記錄了每個人的工作崗位、公積金和社保繳納記錄、借貸額度等高度隱私內(nèi)容。“這些報告可用于精準(zhǔn)電話營銷。”該賣家說。

來自奇安信的數(shù)據(jù)顯示，2024年全年境內(nèi)政企機(jī)構(gòu)共發(fā)生個人信息泄露風(fēng)險事件112起，涉及個人信息數(shù)據(jù)266.9億條，盡管這一數(shù)據(jù)較2023年減少54.5%，但是海量的數(shù)據(jù)泄露問題反映出政企機(jī)構(gòu)的網(wǎng)絡(luò)安全形勢仍不容樂觀。

個人信息數(shù)據(jù)的頻繁泄露，不僅嚴(yán)重侵害公民隱私，帶來網(wǎng)絡(luò)詐騙風(fēng)險，還可能對國家安全帶來威脅。“大量個人信息數(shù)據(jù)的匯聚、關(guān)聯(lián)和再組織，可以形成精準(zhǔn)的人物畫像，還可以將人與人之間的關(guān)系網(wǎng)絡(luò)描繪出來。這就讓不法分子更容易鎖定目標(biāo)群體、找到突破口。”奇安信安全專家裴智勇說。

此外，一些黑灰產(chǎn)還利用大數(shù)據(jù)和人工智能等技術(shù)，抓取和匹配個人的隱私圖片和視頻。有不法分子聲稱“只要一張照片就能查詢你的另一半有沒有外遇”，以此牟取不法利益。“通過網(wǎng)絡(luò)爬蟲技術(shù)獲取一些網(wǎng)站上的公開視頻和圖片資料，再進(jìn)行人臉識別比對，這實(shí)際上侵害了當(dāng)事人的隱私權(quán)。”中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟說，不法分子有可能利用泄露的個人信息和肖像進(jìn)行惡意匹配，由此形成的所謂“婚戀報告”也觸及法律紅線。

不法分子利用“數(shù)據(jù)接口”等渠道竊取數(shù)據(jù)

在落實(shí)網(wǎng)絡(luò)安全主體責(zé)任過程中，過去常見的“拖庫”漸漸少了，取而代之的是利用數(shù)據(jù)接口等渠道進(jìn)行“螞蟻搬家”式的個人信息竊取。

姓名、身份證號、手機(jī)號、常用地址……在中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的一例安全測評中，測試人員發(fā)現(xiàn)有6萬份訂單數(shù)據(jù)有可能來自某平臺的數(shù)據(jù)接口泄露。

所謂數(shù)據(jù)接口，就是機(jī)構(gòu)傳輸、共享數(shù)據(jù)時輸入和輸出數(shù)據(jù)的對接口，也就是數(shù)據(jù)出入的“大門”。“如果把這扇門看住了，來來往往的數(shù)據(jù)就都能被調(diào)閱。”中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評實(shí)驗(yàn)室副主任何延哲告訴記者，一些機(jī)構(gòu)在設(shè)置數(shù)據(jù)接口時缺少身份認(rèn)證、訪問控制等安全措施，導(dǎo)致黑客能夠隨時“劫持”接口并獲取實(shí)時數(shù)據(jù)。

在何延哲及其技術(shù)團(tuán)隊以往隨機(jī)測試的數(shù)據(jù)接口中，存在安全問題的不在少數(shù)。“相較于‘陳年數(shù)據(jù)’，通過數(shù)據(jù)接口獲取的實(shí)時數(shù)據(jù)更新，在黑灰產(chǎn)上售賣的價格也會更高。”何延哲說。

在某不法論壇網(wǎng)站中，有人開設(shè)了專門群組用以分享各類數(shù)據(jù)接口。通過其所分享的數(shù)據(jù)接口，不法分子可獲取指定人員的社保信息、生育信息、車險購買信息等敏感數(shù)據(jù)。

各類機(jī)構(gòu)在打造數(shù)字化平臺時缺乏網(wǎng)絡(luò)安全思維，部分敏感數(shù)據(jù)缺乏高等級保護(hù)，而通過數(shù)據(jù)接口竊取數(shù)據(jù)等不法操作并不需要多高的技術(shù)門檻。“有的平臺存在安全問題的數(shù)據(jù)接口長期‘暴露’在外，掌握一些基礎(chǔ)攻擊手段的黑客就能通過不安全的數(shù)據(jù)接口直接獲取平臺最新用戶數(shù)據(jù)。”何延哲說，把數(shù)據(jù)接口“保護(hù)起來”并非難事，不過由于缺乏對數(shù)據(jù)接口的安全風(fēng)險監(jiān)測，機(jī)構(gòu)在大多數(shù)情況下難以意識到自己的數(shù)據(jù)接口可能已經(jīng)被網(wǎng)絡(luò)黑灰產(chǎn)惡意利用了。

此外，合作伙伴和機(jī)構(gòu)“內(nèi)鬼”也是數(shù)據(jù)泄露的重要渠道之一。2020年7月，某快遞企業(yè)員工私自向不法分子有償出借工作賬號，致使超過40萬條公民個人信息泄露。“各類機(jī)構(gòu)在獲取用戶數(shù)據(jù)后，往往會和合作伙伴共享，以獲取數(shù)據(jù)的最大利用價值。”裴智勇說，在數(shù)據(jù)共享過程中，部分合作伙伴未完全遵守網(wǎng)絡(luò)安全協(xié)議，進(jìn)而導(dǎo)致用戶數(shù)據(jù)泄露。同時，一些網(wǎng)絡(luò)黑灰產(chǎn)和機(jī)構(gòu)“內(nèi)鬼”相勾結(jié)，倒賣用戶數(shù)據(jù)。“在互聯(lián)網(wǎng)知識共享平臺上發(fā)生的數(shù)據(jù)泄露事件中，這兩種方式占比超過一半”。

一些機(jī)構(gòu)在源頭端過度收集用戶數(shù)據(jù)，導(dǎo)致敏感數(shù)據(jù)過度集中。國內(nèi)知名個人信息保護(hù)專家、清華大學(xué)法學(xué)院教授勞東燕認(rèn)為，部分信息收集機(jī)構(gòu)以包括“提升服務(wù)體驗(yàn)”在內(nèi)的各種理由要求用戶或消費(fèi)者“一攬子授權(quán)”，是造成數(shù)據(jù)泄露的根本原因。2021年，個人信息保護(hù)法正式實(shí)施，其中明確規(guī)定“收集個人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個人信息”。“這個‘最小范圍’的解釋權(quán)目前看仍然在收集數(shù)據(jù)的機(jī)構(gòu)，而不是在用戶或者消費(fèi)者手上”。

徹底斬斷伸向個人隱私的黑手

隨著法律法規(guī)的日益完善，近年來我國打擊涉公民個人信息犯罪工作成效顯著，一批以兜售公民個人信息牟利的不法分子受到法律嚴(yán)懲。

2024年，四川成都警方偵破侵犯公民個人信息、非法控制計算機(jī)信息系統(tǒng)等網(wǎng)絡(luò)犯罪案件1201起，依法采取刑事強(qiáng)制措施1116人;山西長治警方在2024年輾轉(zhuǎn)多地，成功打掉一個特大侵犯公民個人信息及掩飾、隱瞞犯罪所得犯罪團(tuán)伙，抓獲犯罪嫌疑人10名，扣押涉案資金500余萬元;同年，安徽合肥警方偵破特大侵犯公民個人信息案，抓獲犯罪嫌疑人11名，查獲涉案金額120余萬元，保護(hù)了公民個人信息百萬余條……

提升機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)能力，構(gòu)筑數(shù)據(jù)安全防火墻。裴智勇等專家建議，政企機(jī)構(gòu)應(yīng)進(jìn)一步完善網(wǎng)絡(luò)安全的制度建設(shè)，確保責(zé)任到崗、到人。在出現(xiàn)網(wǎng)絡(luò)安全事件后，及時向國家有關(guān)部門報告，盡可能減少因數(shù)據(jù)泄露給用戶和社會帶來的損失。

減少前端數(shù)據(jù)收集，從源頭降低數(shù)據(jù)泄露風(fēng)險。“比如點(diǎn)外賣，有手機(jī)號、有地址，確保外賣能送到，就不應(yīng)該獲取其他信息。”勞東燕建議，根據(jù)個人信息保護(hù)法等法律法規(guī)要求，數(shù)據(jù)收集應(yīng)遵循“最小必要原則”，有關(guān)部門可根據(jù)數(shù)據(jù)實(shí)際使用場景，明確相應(yīng)的數(shù)據(jù)收集范圍，為“最小必要”設(shè)定標(biāo)準(zhǔn)。

強(qiáng)化隱私保護(hù)意識，對過度收集、濫用數(shù)據(jù)等行為說“不”。何延哲建議，機(jī)構(gòu)和網(wǎng)絡(luò)平臺等應(yīng)從用戶和消費(fèi)者角度出發(fā)，更加重視個人信息保護(hù)，決不能為了蠅頭小利出讓個人信息權(quán)益。對明顯存在過度收集用戶信息和潛在的侵犯公民個人信息的違法犯罪線索，網(wǎng)絡(luò)用戶可及時向互聯(lián)網(wǎng)管理部門和公安部門舉報。