网络截图
据悉,数据泄密事件频发挑动着用户的神经,万豪、陌陌等企业更是遭遇其中。
只是,现实状况似乎比这更糟糕。记者调查发觉,提供一个手机号码以及身份证号,就能查到被调查人的全国开房记录、通话记录、微信聊天记录或者名下资产等十几项个人重要隐私数据。
更匪夷所思的是,这些数据可能正被人以500-900元的价钱随意买卖着。
“500元可查开房记录”
12月3日,记者通过QQ添加了一位名为小武(化名)的服务商。当记者强调有个人信息查询的需求时,对方立刻发来了一张照片手机号查机主姓名,上面列出了18项可查询的项目,包括全国开房记录、手机定位找人、通话记录查询、快递收货地址、个人户籍、名下资产等。
与小武的QQ聊天图片
小武称,个人开房记录和京东收货地址都可以查,大概两个小时左右能出结果。“我们这儿统一价格,查开房880(元)一次,查淘宝收货地址680(元)一次,先付一半定金下单,出结果验证信息后付尾款。”小武说。
另一位名为柯南(化名)的服务商介绍,查开房记录只需提供他人姓名及身份证号,30分钟内就能查出对方3-5年的开房信息。“查单人开房记录500元,查同住记录800元,不过要先付100元定金。”
柯南还表示,付800块他们也可以恢复调取指定客户的微信聊天记录。“先支付订金100元,提供他人帐号和现使用电脑号码,30分钟内我们完单,导出记录给你,包括已删除的信息。”柯南说,“查询别的项目也可以,比如手机定位、机主信息、火车航班信息、淘宝收货地址等,具体看你必须什么,我们配合。”
服务商云海(化名)则对记者表示,除了微信聊天记录,他们还可以查到好友列表和同学圈信息。“查一次780块,40-70分钟出结果,只应该提供微信号、手机号,可以查一年以内的记录。”云海透露,他们是一个队伍,有专门的科技员工和后台渠道,可以放心。
为了确认状况,记者向柯南提供了一个电脑号码,要求查询该电脑号码机主的淘宝收货地址。柯南称,查淘宝收货地址也是800元,预计30分钟出单,需先付100元定金,避免跑单。
大约45分钟后,柯南发来一个压缩包,不过该文件必须输入密码能够开启。柯南称,付完尾款才能把密码发回来。为了证明文件的可信度,柯南准确说出了上述手机号码的机主姓名。
只是,当记者再次指责文件的真实性时,柯南称它们的数据绝对可靠。“你要查的信息是我们从各大物流公司联网的数据拿的,有外部员工配合。”柯南说,“告诉你很多了。”随后,记者拒绝了退还押金。
数据泄露危害远超想象
记者注意到,2016年12月和2017年2月,《南方都市报》、中央电视台曾分别报导个人信息如开房记录、位置信息被轻易买卖的状况。如今七年过去了,这一情形并未受到显著提高。
虽然是个人信息被轻易买卖,今年以来,尤其是最近,用户数据泄露事故频繁出现,Facebook、Uber、华住、顺丰、万豪、陌陌等企业深陷其中。
在这次万豪信息泄露事故中,根据万豪公布的信息,泄露的房客信息包含名字、邮寄地址、邮箱地址、电话号码、护照号码、出生日期、性别、到达和离店信息等,其实早已构成一种完整意义上的个人大数据。
针对频频被公布的数据泄露事故,360一位安全人士在接受记者专访时表示,事件背后有一定的经济或情报利益动机存在,但更应考量的弊端是那些数据在上面的环节是怎样被运用的,买家购入这种隐私数据后能否有进一步的应用场景,如电信欺诈、金融账号攻击等,这些伤害比直接的数据买卖更具危险性。
上述360安全人士表示,用户数据泄露风波频发背后凸显的是攻防失衡的现实。数据泄露风波大多是在过了很长一段时间后才曝光出来,攻击者也许用几分钟就攻破了网络,几秒钟到一小时就可以窃取企业留存的客户隐私数据;而安全人员也许是在数月甚至一年后才会看到将要出现了数据泄露风波。
个人信息怎样保护?
频发的数据泄露风波,引发他们对个人信息保护的忧虑和探讨。那么,个人信息该怎么保护?
一位不愿具名的网络安全学者对记者表示,对于个人客户,需要定期替换并使用较长(10位以上)的复杂(大小写字母、数字、特殊字符)密码外,并分级管理自身的密码,如一级金融账号密码、二级重要账号密码、三级普通网页密码。遇到数据泄密事故,应立即更改密码并同时设置和窃取相关的其它账号密码。
360集团副总长兼CEO周鸿祎此前在接受记者专访时曾表示,互联网客户信息的保护,一方面要靠互联网公司的自觉自律,但更重要的是必须立法进行完善。他觉得,要进一步加强网络安全法,对用户数据保护进行更清晰的定义,制定客户隐私信息保护“三原则”。
周鸿祎强调,上述“三原则”包括:一是国家应尽早立法确立用户使用互联网公司软软件产品、服务造成的数据信息,是属于客户的个人资产;二是保障客户对数据信息使用的知情权、选择权;三是确立互联网公司保护客户数据信息安全的责任手机号查机主姓名,用户与互联网公司存在服务契约关系,互联网公司有义务、有责任保护客户数据信息安全。
中国互联网协会法工委副秘书长胡钢在接受记者专访时表示,我国尚未完善了个人信息保护的刑事、民事与行政法律框架,并起初就个人信息保护加强专门立法工作。
根据我国公法规定,违反国家有关条例,向对方出售以及提供公民个人信息,最高可处三年以下有期判刑,并处罚金。
同时,依据我国《侵权责任法》《关于推进网络信息保护的决定》《消费者权益保护法》和《网络安全法》等,非法转让公民个人信息者,还必须担负相应行政责任与刑事责任。目前,《个人信息保护法》也正在制定中。