亞馬遜等電商用戶信息遭售賣 2元一條

(原標題:2元一條 亞馬遜等電商用戶信息遭售賣)

“通過‘掃號撞庫’的方式,黑客可以拿到用戶在網(wǎng)購平臺上的數(shù)據(jù),”游俠安全網(wǎng)創(chuàng)始人張百川向記者表示,“而一些平臺的用戶信息之所以遭到泄露,就是因為缺少對這種‘撞庫攻擊’的防范?!边@些信息流向騙子的手中,當騙子掌握用戶的具體購物信息時,一般會以冒充客服退款等方式進行詐騙。

亞馬遜等電商用戶信息遭售賣 2元一條新京報記者買到的電商網(wǎng)購數(shù)據(jù)。

亞馬遜、1號店、小紅書等賬號信息泄露,“盜號掃號賣號”已成黑色產(chǎn)業(yè)鏈,黑客通過“掃號撞庫”取得用戶數(shù)據(jù)

5月9日,最高人民法院通報了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

這是兩高首次就打擊侵犯公民個人信息犯罪出臺司法解釋。根據(jù)此次司法解釋,非法獲取、出售公民個人信息,情節(jié)嚴重者可獲刑。

“近年來,侵犯公民個人信息犯罪仍處于高發(fā)態(tài)勢,而且與電信網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪呈合流態(tài)勢,社會危害更加嚴重?!弊罡叻ㄏ嚓P(guān)人士稱。

我們幾乎每個人,都曾被推銷電話、詐騙短信騷擾過。去年發(fā)生的“徐玉玉案”,即是個人信息遭侵犯導致的“惡果”。

在此節(jié)點,新京報推出關(guān)于“個人信息泄露”的系列調(diào)查報道。我們將通過對航空、征信、銀行卡等領(lǐng)域的調(diào)查,以期找到個人信息泄露的源頭。

5月10日,家住天津的馬曉迪(化名)告訴新京報記者,她接到了號稱是1號店客服打來的詐騙電話。對方稱,因“后臺失誤”將賬號調(diào)整為批發(fā)用戶,要求她提供賬號等信息?!拔荫R上就掛機了,但又打來好幾個,說不改別后悔,后來我就不接了?!?/p>

馬曉迪之所以能接到這類詐騙電話,是因為她的網(wǎng)購信息已經(jīng)遭到泄露,信息販子從各種渠道獲得網(wǎng)購信息后,會進行轉(zhuǎn)賣,而電話詐騙團伙就是買家之一。

有業(yè)內(nèi)人士向新京報記者透露,用戶網(wǎng)購數(shù)據(jù)的獲得渠道有很多種,但大部分信息販子是通過“掃號”取得的網(wǎng)購數(shù)據(jù)。一名在QQ上出售各種網(wǎng)購信息的販子也稱,他們的數(shù)據(jù)是“掃號”得來。

“通過‘掃號撞庫’的方式,黑客可以拿到用戶在網(wǎng)購平臺上的數(shù)據(jù),”游俠安全網(wǎng)創(chuàng)始人張百川表示,一些平臺的用戶信息之所以遭到泄露,就是因為缺少對這種“撞庫攻擊”的防范。

黑客盜取某些網(wǎng)站的數(shù)據(jù)庫售賣給信息販子,這些信息流到騙子手中后,一般會以冒充客服退款等方式進行詐騙。

網(wǎng)購信息2元一條,販子稱“掃號”得來

來自西安的小嚴不久前因小紅書網(wǎng)購信息泄露遭遇詐騙。

小嚴告訴新京報記者,她3月份在小紅書平臺購買過商品,之后接到了自稱是小紅書工作人員的電話,“說我所購買的商品存在質(zhì)量問題,要收回并銷毀,因為他們掌握我所有的購物信息以及地址,我就相信了他們?!?/p>

小嚴說,對方讓她登錄支付寶查看退款。小嚴回答“沒有收到退款”后,對方便詢問了小嚴的芝麻信用,并要她在招聯(lián)好期貸、來分期等平臺嘗試貸款,并說這是小紅書與他們的合作,小嚴可以馬上從中提現(xiàn),得到賠償,但需要將多余款項打回給對方。小嚴在招聯(lián)好期貸上提取了1100元,將其中1000元打了過去。

打完款,小嚴才覺得自己被騙了,隨即報警,截至目前還沒有結(jié)果。她之后聯(lián)系了小紅書平臺,小紅書平臺稱他們只負責追繳,不負責賠償。

在網(wǎng)上搜索公開報道和網(wǎng)友反映,可以發(fā)現(xiàn),近年來有不少網(wǎng)購平臺用戶都有因網(wǎng)購信息泄露被詐騙或賬戶被盜的案例。例如2012年5月底,1號店被曝員工內(nèi)外勾結(jié)泄露客戶信息,90萬個用戶信息竟被以500元的價格叫賣,部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。而2015年至2016年,陸陸續(xù)續(xù)有100多人被能準確說出購物信息的假冒“京東客服”詐騙,涉及金額達200多萬元,北京的一名受騙者韓先生甚至創(chuàng)辦了一個名為“京東盜刷維權(quán)群”的QQ群。

中國電子商務(wù)研究中心分析師姚建芳告訴新京報記者,僅在今年4月份,中國電子商務(wù)投訴與維權(quán)公共服務(wù)平臺就接到了包括小紅書、達令、當當網(wǎng)在內(nèi)的多家網(wǎng)購平臺用戶反映個人信息泄露的舉報。

這些電商平臺的信息都是如何泄露的?有業(yè)內(nèi)人士向新京報記者透露,網(wǎng)購數(shù)據(jù)的來源有很多種,例如電商內(nèi)部員工倒賣、物流信息泄露、木馬病毒等,但大部分信息販子是通過“掃號”取得的網(wǎng)購數(shù)據(jù)。

新京報記者以購買網(wǎng)購資料為名聯(lián)系了一位QQ名為“AA收購數(shù)據(jù)”的信息販子,其稱擁有包括蘇寧易購、亞馬遜在內(nèi)的多家平臺網(wǎng)購信息,并向記者以2元一人的價位“低價出售”了一份“已經(jīng)用過的”包含100人網(wǎng)購信息的“數(shù)據(jù)”。上述信息販子也稱,他們的數(shù)據(jù)是“掃號”得來的。

5月10日,當接到新京報記者電話,被告知自己的真實姓名、住址以及購買過什么東西時,家住北京的孫喆麗(化名)第一反應是,遇到騙子了。

孫喆麗的網(wǎng)購信息就是記者花2元錢在上述信息販子手上買到的,包括孫喆麗的詳細購物信息以及她的住址、電話,網(wǎng)購的賬號密碼。

孫喆麗說,之前確實接到過騙子的電話?!坝腥舜螂娫捵苑Q是客服,跟我說我的商品有問題會退款給我,讓我登錄支付寶看有沒有收到退款,我說沒有,他們就問我的芝麻信用,我當時覺得不對勁就把電話掛掉了。”

在孫喆麗和小嚴遭遇詐騙電話的案例中,對方都準確說出了二人的購物信息以及個人信息。

新京報記者發(fā)現(xiàn),在“AA收購數(shù)據(jù)”提供的網(wǎng)購信息名單上,大部分用戶的賬號仍然可以按照其提供的密碼登錄。新京報記者隨機聯(lián)系了5名用戶進行核實,發(fā)現(xiàn)名單上提供的個人信息全部屬實,而大部分用戶完全不知道自己的賬號已經(jīng)被盜取。

被稱為“中國黑客教父”的現(xiàn)任益云(公益互聯(lián)網(wǎng))社會創(chuàng)新中心創(chuàng)始人萬濤告訴新京報記者,網(wǎng)購用戶質(zhì)量高低與否決定了出售數(shù)據(jù)價格的高低?!百|(zhì)量指的網(wǎng)購商品的客單價,比如衣服等普通物品客單價較低,數(shù)據(jù)可能就便宜,但如果購買電視、手機等相對貴重的物品,客單價比較高,用戶數(shù)據(jù)的價值也就更高一些。”

據(jù)業(yè)內(nèi)人士介紹,根據(jù)客單價的不同,網(wǎng)購數(shù)據(jù)的價位也不同,被倒賣過多次的信息并不值錢,一些歷史數(shù)據(jù)甚至是黑客圈中公開的秘密,價值為零。而沒有被用過的“一手”信息則可以賣到幾塊錢一條。

5月16日,“AA收購數(shù)據(jù)”還向記者提供了30條蘇寧易購的網(wǎng)購數(shù)據(jù)“樣品”。記者發(fā)現(xiàn),這些網(wǎng)購數(shù)據(jù)從4月27日到5月3日不等,均有賬戶和密碼。記者登錄了其中3條網(wǎng)購信息的賬戶,發(fā)現(xiàn)可以登錄成功。新京報記者隨即撥打了3名用戶的電話,3名用戶都表示,其電話和姓名均正確,并很疑惑地反問記者,“你是怎么知道我電話的?!?/p>

亞馬遜等電商用戶信息遭售賣 2元一條某QQ群大量收購網(wǎng)購信息。

掃號產(chǎn)業(yè)鏈:黑客偷、販子倒、騙子買

“通過‘掃號撞庫’的方式,黑客可以拿到用戶在網(wǎng)購平臺上的數(shù)據(jù),”游俠安全網(wǎng)創(chuàng)始人張百川向新京報記者表示,“而一些平臺的用戶信息之所以遭到泄露,就是因為缺少對這種‘撞庫攻擊’的防范?!?/p>

根據(jù)目前受騙者的案例,這些信息流向騙子的手中,當騙子掌握用戶的具體購物信息時,一般會以冒充客服退款等方式進行詐騙。

“所謂‘掃號撞庫’,簡單來說,就是黑客用技術(shù)手段入侵一些安全防范不是很高的網(wǎng)站,取得大量的用戶注冊名和密碼數(shù)據(jù),有些網(wǎng)站的登錄名包括用戶的手機號、郵箱甚至身份證號,這些登錄名可以與其他網(wǎng)站關(guān)聯(lián)上,是信息泄露的載體,信息販子掌握這些信息后,可以用‘撞庫’方式嘗試登錄其他網(wǎng)站?!睆埌俅ㄕf。

據(jù)他介紹,在實際操作中,信息販子往往是通過專門的“掃號”軟件,來批量驗證賬號密碼是否是有價值的。

5月2日,當新京報記者詢問“AA收購數(shù)據(jù)”有沒有淘寶的平臺賬號密碼時,“AA收購數(shù)據(jù)”回答稱做不了,因為“沒有軟件”。

5月2日,新京報記者以出售數(shù)據(jù)為名聯(lián)系到了一個網(wǎng)名為“四哥”的信息販子?!八母纭狈Q他們“大量收購所有網(wǎng)購歷史訂單,月內(nèi)為優(yōu)”。并稱,“拿貨價2元一個,囤貨多了再出手,隨便一天出3萬個左右,保證最新數(shù)據(jù)”。

至于數(shù)據(jù)來源,“四哥”稱“都是掃號得來的”,并詢問記者是不是“技術(shù)源頭”。

“這些信息販子的‘技術(shù)源頭’就是黑客平臺”。張百川告訴新京報記者,“這些在黑客圈子里都可以找到,黑客盜取某些網(wǎng)站的數(shù)據(jù)庫后就可以售賣給信息販子,根據(jù)數(shù)據(jù)價值的不同,售價也不同,但一般都是第一次出售價格最高,比如最開始這個數(shù)據(jù)庫可以賣一萬,‘二倒手’之后就只能賣6千,再倒手之后價格更低,直至最后沒有價值,向公眾公開?!?/p>

一條黑客盜竊數(shù)據(jù)庫信息,信息販子通過掃號軟件“撞庫”取得網(wǎng)購平臺賬戶密碼,騙子再以幾元一條的價格購買信息并進行電話詐騙的“掃號”黑色產(chǎn)業(yè)鏈浮出水面。“這個產(chǎn)業(yè)鏈存在至少有七八年了?!睆埌俅ū硎?。

新京報記者發(fā)現(xiàn),一些QQ群是這些信息倒賣者的“大本營”。例如在某個以“網(wǎng)路安全”為名的QQ群里,不少人公開發(fā)廣告稱“求能拿指定站的大牛,價格以萬為基數(shù),長期合作,另誠意收購金融網(wǎng)站數(shù)據(jù)庫”、“收帶名字、電話、身份證號、地址的一手個人數(shù)據(jù),價格包你滿意”。

獵網(wǎng)在2015年11月曾發(fā)布《現(xiàn)代網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈分析報告》,報告顯示:基于對網(wǎng)民舉報的近9萬起網(wǎng)絡(luò)詐騙案件的追蹤研究,該平臺發(fā)現(xiàn)網(wǎng)絡(luò)詐騙已形成一條完整且分工明確、多達15個工種的地下黑色產(chǎn)業(yè)鏈;初步統(tǒng)計,網(wǎng)絡(luò)詐騙從業(yè)者至少有160萬人,“年產(chǎn)值”超過1100億元,而涉嫌泄露用戶信息量已超過千萬級。

獵網(wǎng)平臺反網(wǎng)絡(luò)詐騙專家裴智勇介紹,即便是手法最簡單的網(wǎng)絡(luò)詐騙,也至少需要10人的犯罪團伙:從開發(fā)制作、批發(fā)零售到詐騙實施、分贓銷贓,網(wǎng)絡(luò)詐騙可劃分出多達盜庫黑客、電話詐騙經(jīng)理、短信群發(fā)商等多個不同工種,其分工明確,協(xié)同作案,形成了完整的網(wǎng)絡(luò)詐騙地下產(chǎn)業(yè)鏈,其中盜庫黑客是這條產(chǎn)業(yè)鏈的源頭。

亞馬遜等電商用戶信息遭售賣 2元一條

有“漏洞”平臺更易被“撞庫”

“說白了,撞庫攻擊就是不斷地嘗試錯誤的密碼?!睆埌俅ū硎?,“對于大型平臺來說,往往可以利用技術(shù)手段限制這一‘撞庫攻擊’。比如登錄錯誤幾次后直接封掉登錄者的IP地址,一個賬戶一天之內(nèi)只允許輸入三次,一個IP地址如果輸入了兩個賬戶或者輸錯了5次以上,24小時內(nèi)就不允許再登錄等?!?/p>

5月10日,新京報記者在某互聯(lián)網(wǎng)平臺多次以錯誤密碼登錄同一賬號后,登錄界面出現(xiàn)了“您今日只能再輸入三次”的提示。

新京報記者同日在1號店網(wǎng)站上多次試驗登錄同一賬號,多次輸錯賬號密碼后,1號店要求輸入驗證碼,但除此之外并無其他防范手段。

5月16日,新京報記者嘗試以錯誤密碼登錄蘇寧易購,發(fā)現(xiàn)輸錯3次密碼后,蘇寧易購開啟了移動滑塊的防護措施,并在輸錯10次后鎖死了賬戶信息,顯示只有1小時之后才可以再次嘗試。而在以錯誤密碼登錄小紅書的試驗時,小紅書方面表示需要以接收手機驗證碼的方式登錄。

“1號店的驗證碼模式并不算是防御撞庫攻擊的有效方式,現(xiàn)在在網(wǎng)上搜索驗證碼識別、驗證碼繞過,可以得到相應的破解軟件。移動滑塊相應高端一些,但目前市場上也出現(xiàn)了破解移動滑塊的軟件。”張百川表示。而對于手機驗證碼,萬濤表示,現(xiàn)在有專門的打碼平臺可以幫忙快速破解驗證碼。

有業(yè)內(nèi)人士稱,當盜號者取得了一家網(wǎng)站的數(shù)據(jù)并通過撞庫攻擊“撞出”其他網(wǎng)站的用戶名和密碼后,被“撞出”的用戶名和密碼也會成為新的“數(shù)據(jù)庫”再用以“撞”其他的網(wǎng)站。

5月10日,新京報記者致電一位信息已遭泄露的電商用戶時,該用戶告訴新京報記者,她接到了冒充1號店客服打來的詐騙電話。這名用戶在兩家電商平臺上的登錄名為同一個手機號。

“事實上,對撞庫攻擊進行防御的成本并不高,但除支付寶等大型平臺外,小平臺對這一攻擊手段進行防范的驅(qū)動力不太大?!睆埌俅ㄖ毖?。

對于因信息泄露遭受詐騙而形成的損失,電商平臺應承擔怎樣的責任至今仍不明確。大部分電商平臺對于此類事件的回應一般為“配合警方調(diào)查”。1號店昨日向新京報記者回復稱,需要對信息泄露一事再核實。1號店的后臺安全系統(tǒng)會24小時不間斷監(jiān)測顧客登錄和購物行為,一旦發(fā)現(xiàn)頻繁異常登錄等高風險情況,將采取鎖定賬戶等緊急手段,顧客需要修改密碼或通過身份驗證再次使用。如果顧客遭遇信息泄露后的財產(chǎn)損失情況,將全力配合警方提供所需要的信息。

蘇寧方面表示,蘇寧基于用戶信息安全防范成立的安全團隊,以網(wǎng)絡(luò)安全攻擊、Web安全攻擊的安全風險發(fā)現(xiàn)識別為基礎(chǔ),可以通過可視化網(wǎng)絡(luò)與Web攻擊事件,發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)高級持續(xù)性威脅,挖掘與檢測針對蘇寧消費者與商家的釣魚網(wǎng)站,并予以及時處理。對于涉及消費者信息安全問題,將第一時間核實處理,確保用戶購物支付環(huán)境的安全與穩(wěn)定。

根據(jù)今年3月補天平臺發(fā)布的《2016年網(wǎng)站泄露個人信息形勢分析報告》,2016年有超過一半的網(wǎng)站漏洞會導致泄露實名信息和行為信息,分別占58.5%和62.4%(某些漏洞可能同時泄露2類信息),可能泄露的數(shù)量多達42.3億條和40.1億條。

亞馬遜等電商用戶信息遭售賣 2元一條

電商平臺是否擔責?律師稱難判斷

“電商平臺在獲取個人信息的同時,就有保護個人信息的義務(wù)?!北本┯坡蓭熓聞?wù)所方超強律師向新京報記者表示,“信息泄露存在不同的情況,如果電商平臺提供了符合其規(guī)模的保護措施,但在這種情況之下還是被黑客入侵了系統(tǒng),這種情況屬于不可抗力,電商不用承擔責任,但如果最終發(fā)現(xiàn)因平臺存在漏洞而導致信息泄露,那么平臺就要負責。”

他進一步解釋稱,若盜號者是利用技術(shù)手段從電商平臺上盜取數(shù)據(jù),獲得相關(guān)賬號密碼,則需要進一步考慮電商平臺在數(shù)據(jù)保密層面上技術(shù)保護水平是否足夠高,有無明顯漏洞;若一些初學者黑客也可以攻破平臺的安全保護措施,可以認為平臺沒有給予與其規(guī)模相匹配的保護,這樣的情況下可以認為平臺存在漏洞,需要承擔責任。

根據(jù)《網(wǎng)絡(luò)交易管理辦法》第25條第二款規(guī)定:第三方交易平臺經(jīng)營者應當采取必要的技術(shù)手段和管理措施保證平臺的正常運行,提供必要、可靠的交易環(huán)境和交易服務(wù),維護網(wǎng)絡(luò)交易秩序。

但方超強直言,在現(xiàn)實中很難有一個標準去判斷什么叫做“平臺存在漏洞導致信息泄露”,若消費者向法院投訴平臺,平臺只要舉證證明其盡到了安全責任保護義務(wù),就很難對平臺進行追責。同時,對于消費者因為在不同電商平臺使用相同的賬號密碼,以致遭到“撞庫”盜號,所有賬號密碼一同被盜,造成自身重大損失,此類情形,應當由誰承擔責任要視賬號泄密的不同情況分而論之。

萬濤表示,實際上判斷電商安全等級的相關(guān)標準有很多,包括國家信息安全等級保護制度和ISO27001信息管理認證,這要看電商能拿到哪些安全標準認定。比如在國家信息安全保護等級上,網(wǎng)約車必須拿到三級等級保護。但現(xiàn)在用戶的信息泄露渠道實在太多,有大量的用戶隱私數(shù)據(jù)已經(jīng)處于泄露狀態(tài),以此判斷電商責任并不全面。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2017-05-17
亞馬遜等電商用戶信息遭售賣 2元一條
亞馬遜等電商用戶信息遭售賣 2元一條,亞馬遜 1號店 小紅書 信息泄露

長按掃碼 閱讀全文