隱私黑洞

【演播室】

共同打造高質(zhì)量的生活，歡迎收看《每周質(zhì)量報(bào)告》。在以前的節(jié)目中我們多次報(bào)道過，有些消費(fèi)者在姓名、身份證號(hào)、電話號(hào)碼等個(gè)人信息泄露之后，導(dǎo)致銀行卡或者網(wǎng)絡(luò)支付工具中錢財(cái)被盜的案例。而在不少案例當(dāng)中，當(dāng)事人都不知道自己的這些個(gè)人隱私信息到底是什么時(shí)候、通過什么途徑泄露出去的。日前，杭州警方破獲了一起侵犯他人個(gè)人隱私的案件，從這起案件當(dāng)中我們不難發(fā)現(xiàn)，不法分子要想掌握我們的個(gè)人信息其實(shí)并不困難，而且就算個(gè)人信息被盜取了，我們也并不知情，那么，這么不法分子到底是怎么做到的呢？來(lái)看記者的調(diào)查。

【正文】

今年3月份，杭州市下沙經(jīng)濟(jì)開發(fā)區(qū)的一家快遞公司的負(fù)責(zé)人發(fā)現(xiàn)，有人在網(wǎng)上公開買賣他們公司快遞單上的信息，而且銷售量還很大。

【同期】報(bào)案人 李先生

因?yàn)檫@個(gè)面單信息我們是不允許，連收垃圾都不好賣的，賣廢紙都不好收的 應(yīng)該全部是燒毀銷毀的。再后來(lái)我們公司想了以后，應(yīng)該是人家盜取的，因?yàn)閿?shù)量也有一萬(wàn)多張，所以我們就報(bào)案。

【正文】

接到報(bào)案后，杭州警方立即展開了調(diào)查，調(diào)查過程中辦案民警發(fā)現(xiàn)，確實(shí)在一些公開的網(wǎng)絡(luò)論壇和QQ群中，有人在大量兜售快遞面單信息，這些信息以圖片格式存在，面單上除了有快遞編碼之外，還詳細(xì)地記錄著收貨和發(fā)貨雙方的姓名、手機(jī)號(hào)碼、聯(lián)系地址等個(gè)人信息。

在進(jìn)一步了解過程中我們發(fā)現(xiàn)，這些信息記錄雖然十分詳細(xì)，但是在網(wǎng)上銷售的價(jià)格卻非常便宜，一條記錄有收貨人姓名、手機(jī)號(hào)碼、收貨地址的所謂“有效數(shù)據(jù)”信息，賣家只要5毛錢。而如果有人愿意以“打包批發(fā)”的方式集中購(gòu)買，一個(gè)包含上萬(wàn)條個(gè)人信息的數(shù)據(jù)包要價(jià)也不過幾百元錢。

隨著調(diào)查的不斷深入，警方發(fā)現(xiàn)集中銷售這些個(gè)人隱私信息的賣家網(wǎng)名叫“家有頭豬”，經(jīng)他手銷售的個(gè)人信息不僅數(shù)量很多，而且更新也很快。經(jīng)過調(diào)查，辦案民警最終確認(rèn)，這個(gè)網(wǎng)名叫“家有頭豬”的嫌疑人姓莫，落腳點(diǎn)在?？谑?，于是警方立即趕往?？趯?duì)這名嫌疑人進(jìn)行抓捕。

當(dāng)辦案民警找到這名嫌疑人時(shí)，他正在處理前一天剛拿到的快遞信息，準(zhǔn)備打包出售。在嫌疑人的電腦里，辦案民警發(fā)現(xiàn)了大量已經(jīng)打包好的個(gè)人信息，經(jīng)過分析確認(rèn)這些信息數(shù)據(jù)竟然多達(dá)1400多萬(wàn)條。

【同期】杭州市下沙經(jīng)濟(jì)開發(fā)區(qū)公安分局民警 徐亦斌

1400多萬(wàn)條的信息，基本上都是生活中正常都在使用的聯(lián)系電話 還有住址，那么可以通過這個(gè)信息直接找到你，甚至有一些信息更詳細(xì)一點(diǎn)的，直接說出你的身份證號(hào)碼、你的工作單位、你的學(xué)歷，家庭情況， 小孩子這些它都能說的出來(lái)。

【正文】

犯罪嫌疑人告訴記者，由于他銷售的個(gè)人信息準(zhǔn)確度高，而且價(jià)格又很便宜，所以在網(wǎng)上銷路一直很好。

【同期】嫌疑人 莫某

很多一買都是買上萬(wàn)條的，買上萬(wàn)條，他們做生意，就是比如很多那種都是搞什么電池，生產(chǎn)那種充電寶。比如你買了一個(gè)手機(jī)，那你是不是想要一個(gè)充電寶，他會(huì)打電話來(lái)推銷他的產(chǎn)品，就是這樣子的。

【正文】

另外，這名這名嫌疑人還告訴我們，他手頭的個(gè)人信息之所以賣得好，還有一個(gè)原因就是這些信息都是新鮮信息。

【同期】嫌疑人 莫某

新鮮嘛，比如隔了一個(gè)月，隔了一年，一年以后不知道您用不用這個(gè)電話了，現(xiàn)在買的這個(gè)，肯定是您在用這個(gè)電話嘛，對(duì)不對(duì)，然后他們出去就會(huì)說這個(gè)比較完整，比較新。

【正文】

那么，莫某到底是怎么獲得這些新鮮的快遞信息的呢？在審訊過程中嫌疑人交代，他的快遞信息都是從一個(gè)網(wǎng)名叫“踏實(shí)做人”的人那里買來(lái)的。這個(gè)人手上的快遞信息幾乎每天都會(huì)更新，而且要價(jià)也相當(dāng)便宜，1400萬(wàn)條個(gè)人信息總共才要了他1000多塊錢。

【同期】審訊現(xiàn)場(chǎng)畫面

民警：你找踏實(shí)做人這個(gè)人買來(lái)的，對(duì)嗎？

嫌疑人：對(duì)。

民警：總共是花了多少錢 買來(lái)的。

嫌疑人：1000多塊錢。

【正文】

辦案民警隨即對(duì)這個(gè)網(wǎng)名叫“踏實(shí)做人”的嫌疑人展開的調(diào)查，然而讓辦案民警沒想到的是，這個(gè)“踏實(shí)做人”竟然還是個(gè)在校學(xué)生。民警找到他的時(shí)候，他也感到很意外，甚至完全不知道自己的行為已經(jīng)觸犯了法律。

【同期】警方提供畫面

民警：我給你打個(gè)比方 人家詐騙 講小王 小孫

嫌疑人：我已經(jīng)跟他們說了讓他們不要那個(gè)（犯罪）

民警：我知道 后面的事情也控制不了 他再去賣 懂不懂

【正文】

嫌疑人告訴記者，他賣的個(gè)人信息之所以非常便宜，是因?yàn)樗@得這些快遞信息非常容易，甚至可以說幾乎沒有任何成本。

【同期】杭州市下沙經(jīng)濟(jì)開發(fā)區(qū)公安分局民警 徐亦斌

本身他是想做網(wǎng)絡(luò)安全測(cè)試，想為自己今后找工作尋找一些便利，那么在這些測(cè)試過程中，他發(fā)現(xiàn)了物流公司或者是其他公司的一些安全漏洞。

【正文】

辦案民警在嫌疑人的電腦里發(fā)現(xiàn)，這里儲(chǔ)存的快遞公司信息不止一家，這名嫌疑人告訴我們，有的網(wǎng)站的數(shù)據(jù)庫(kù)存在一些比較低級(jí)的漏洞，比如弱口令漏洞、上傳漏洞等等，而這些漏洞就是他獲取大量個(gè)人隱私信息的秘密通道。

【同期】嫌疑人（取保候?qū)彛?/p>

快遞公司有個(gè)弱口令，弱口令就是一個(gè)很簡(jiǎn)單的密碼，然后到那邊之后可以進(jìn)去它的后臺(tái)，有些漏洞它很簡(jiǎn)單，但是沒注意。

【正文】

嫌疑人告訴記者，成功通過漏洞進(jìn)入網(wǎng)站后臺(tái)后，還需要上傳一個(gè)后門文件，才能獲取到數(shù)據(jù)庫(kù)的訪問權(quán)限。

【同期】嫌疑人（取保候?qū)彛?/p>

后門（工具），后門可以控制整個(gè)網(wǎng)站。

記者：那你通過這個(gè)后門（工具）把數(shù)據(jù)庫(kù)就能拖出來(lái)了是嗎？

對(duì)。就能拖出來(lái)。如果清楚這個(gè)漏洞，什么都清楚的時(shí)候，20秒之內(nèi)就可以搞定，如果不知道的話，你可能20天都搞不定。

【正文】

辦案民警告訴記者，為了能夠持續(xù)利用這個(gè)后門拖取數(shù)據(jù)庫(kù)里的信息，從而源源不斷地獲取更新數(shù)據(jù)，嫌疑人在成功植入后門文件后，還想方設(shè)法將這個(gè)文件隱藏起來(lái)，不仔細(xì)檢查，會(huì)很難發(fā)現(xiàn)。

【同期】杭州市下沙經(jīng)濟(jì)開發(fā)區(qū)公安分局民警 徐亦斌

他會(huì)做一個(gè)偽裝，就是說他把上傳進(jìn)去的那個(gè)文件，修改文件創(chuàng)建時(shí)間，以及它的文件名修改的會(huì)和你系統(tǒng)里自帶的那些文件名比較相似，也就是說你正常情況下是無(wú)法察覺的。

【正文】

為了直觀的展示這個(gè)過程，記者請(qǐng)來(lái)了網(wǎng)絡(luò)安全專家搭建了一個(gè)虛擬的購(gòu)物網(wǎng)站，在這個(gè)網(wǎng)站的數(shù)據(jù)庫(kù)中儲(chǔ)存著大量注冊(cè)用戶的信息，其中包含用戶名、密碼、郵箱、賬戶金額、地址等。

【同期】網(wǎng)絡(luò)安全專家 唐威

通常很多我們發(fā)現(xiàn)不注意安全的這種管理員的話，他甚至是使用比如說123456、12345678這種非常簡(jiǎn)單的密碼，當(dāng)做后臺(tái)的密碼。我們輸入用戶名，密碼123456，點(diǎn)擊登錄，OK 現(xiàn)在已經(jīng)登錄成功了，這就說明這個(gè)網(wǎng)站是存在弱密碼這么一個(gè)漏洞的。

【正文】

網(wǎng)絡(luò)安全專家告訴記者，利用管理員的身份進(jìn)入后臺(tái)，并不等于實(shí)現(xiàn)了對(duì)整個(gè)網(wǎng)站的控制，通常網(wǎng)站后臺(tái)只是一個(gè)內(nèi)容發(fā)布平臺(tái)，要想獲得數(shù)據(jù)庫(kù)訪問權(quán)限，就需要上傳一個(gè)后門工具文件。

【同期】網(wǎng)絡(luò)安全專家 唐威

首先我們準(zhǔn)備了一個(gè)黑客常用的一個(gè)后門程序，我們給它起名叫backdoor，然后我們將這個(gè)后門文件選中，并且上傳。好，現(xiàn)在這塊已經(jīng)顯示，我們已經(jīng)成功的將我這個(gè)后門文件傳到了網(wǎng)站的服務(wù)器上。現(xiàn)在我們已經(jīng)進(jìn)到這個(gè)網(wǎng)站數(shù)據(jù)庫(kù)的后臺(tái)了，然后我們看一下我們剛才上傳的這個(gè)文件，這個(gè)backdoor實(shí)際上就是我們剛才上傳的這個(gè)后門工具，現(xiàn)在已經(jīng)可以看到它已經(jīng)在網(wǎng)站的服務(wù)器中了。

【正文】

網(wǎng)絡(luò)安全專家告訴記者，成功上傳了這個(gè)文件，就相當(dāng)于掌握了一把開啟網(wǎng)站服務(wù)器后門的鑰匙，有了這把鑰匙就能獲得超級(jí)權(quán)限，控制整個(gè)服務(wù)器。然后只要找到通往數(shù)據(jù)庫(kù)的路徑，就可以進(jìn)入數(shù)據(jù)庫(kù)導(dǎo)出自己需要的客戶信息了。（動(dòng)畫）

【同期】網(wǎng)絡(luò)安全專家 唐威

我已經(jīng)進(jìn)入到數(shù)據(jù)庫(kù)訪問的后臺(tái) 這里邊就存放著網(wǎng)站所有的數(shù)據(jù)庫(kù)（信息），對(duì)于黑客來(lái)說價(jià)值最高的用戶信息的數(shù)據(jù)。就是在這兒，我們可以看到有member（用戶），在這個(gè)表單里邊實(shí)際上就存放了所有這個(gè)網(wǎng)站注冊(cè)用戶的信息，包括了有用戶名，也就是用戶ID 密碼以及用戶的性別，然后他賬戶里的金額、包括用戶的郵箱等等這些信息。

【正文】

專家告訴記者，黑客通過漏洞登陸網(wǎng)站后臺(tái)，上傳后門工具，繼而控制整個(gè)網(wǎng)站服務(wù)器，這個(gè)操作過程并不復(fù)雜，難的是如何在前期測(cè)試出網(wǎng)站存在什么樣的漏洞，繼而為己所用。（動(dòng)畫）

然而在調(diào)查過程中，專家告訴記者，像弱口令、上傳漏洞這樣的漏洞其實(shí)很初級(jí)，但是也并不少見，甚至有些大型網(wǎng)站的后臺(tái)登陸密碼就是一個(gè)弱口令，而這樣低級(jí)的漏洞一旦被黑客利用，網(wǎng)站的安全就會(huì)受到威脅。

【同期】嫌疑人（取保候?qū)彛?/p>

一個(gè)大型的網(wǎng)站，大部分漏洞都補(bǔ)的比較全，但是有一些漏洞，也很奇葩，比如說有一些地方，密碼是123456，這就沒辦法。

【正文】

專家告訴記者，這些漏洞在實(shí)際操作中只要稍加注意其實(shí)是很容易就能避免的。

【同期】網(wǎng)絡(luò)安全專家 唐威

弱口令漏洞的話，我們就可以把這個(gè)網(wǎng)站的密碼設(shè)置得復(fù)雜一點(diǎn)，并且要養(yǎng)成一個(gè)定期更改的一個(gè)機(jī)制就可以了。上傳漏洞也是這樣，我們把這個(gè)上傳的這種接口給它封住，或者首先我要經(jīng)過多層次身份驗(yàn)證以后，才可以實(shí)現(xiàn)這個(gè)操作就可以了。

【演播室】

我們?cè)賮?lái)簡(jiǎn)單梳理一下杭州警方破獲的這起案件，郭某利用一些快遞公司數(shù)據(jù)庫(kù)的漏洞，幾乎零成本地獲取大量個(gè)人隱私信息，并以低價(jià)賣給了中間人莫某，莫某將這些信息分類處理后，以每條5毛錢甚至更低的價(jià)格在網(wǎng)上兜售，而一些廣告商、銷售商甚至是別有用心的不法分子，在網(wǎng)上買來(lái)這些個(gè)人信息，用來(lái)推送廣告甚至竊取用戶銀行卡或者網(wǎng)絡(luò)支付工具中的錢財(cái)。專家說，其實(shí)這些犯罪嫌疑人竊取個(gè)人隱私信息的手段并不高明，但是我們的個(gè)人信息被竊取販賣的問題卻一直禁而不止、難以解決，這又是為什么呢？

【正文】

調(diào)查過程中記者發(fā)現(xiàn)，非法竊取公民個(gè)人信息的案件近年來(lái)一直呈高發(fā)態(tài)勢(shì)，今年4月，海南省?？谑旋埲A區(qū)法院就審結(jié)了一起非法買賣和非法獲取公民個(gè)人信息案件，1名交警和7名保險(xiǎn)行業(yè)相關(guān)從業(yè)人員，因非法獲取和買賣100多萬(wàn)條車輛保險(xiǎn)信息被判刑。

而就在不久前，深圳市南山區(qū)法院也審理了一起非法獲取公民個(gè)人信息案，4人因非法侵入順豐公司網(wǎng)站服務(wù)器，批量下載大客戶結(jié)算快遞運(yùn)單數(shù)據(jù)被判刑。

法律專家告訴記者，在2009年通過實(shí)施的刑法修正案七中，將非法買賣和非法獲取公民個(gè)人信息列為刑事犯罪的新類型，并制定了相應(yīng)的定罪量刑標(biāo)準(zhǔn)，因此最近幾年因非法買賣和非法獲取公民信息而受到刑事處罰的案例不斷增加。但是專家同時(shí)也指出，與目前個(gè)人信息安全非法買賣的嚴(yán)重程度相比，現(xiàn)在大多數(shù)地區(qū)對(duì)此類案件還沒有明確的立案標(biāo)準(zhǔn)，執(zhí)法和處罰的力度顯然還遠(yuǎn)遠(yuǎn)不夠。

【同期】北京師范大學(xué)法學(xué)院教授 劉德良

孩子上學(xué) 然后學(xué)校里我估計(jì)可能是 學(xué)校里把信息給（泄露）了，他知道我是誰(shuí)的家長(zhǎng)，然后我的孩子上幾年級(jí)這一年每天都能收到好多這種（垃圾短信），到派出所里去報(bào)案的時(shí)候，派出所的人他不知道有這樣的法律規(guī)定，他認(rèn)為刑法第253條在實(shí)際適用當(dāng)中，只有大規(guī)模的這種買賣侵權(quán)行為的時(shí)候，你發(fā)現(xiàn)你抓住現(xiàn)行了，或者是有媒體曝光了，后者真正有什么情況下才可能（受理）。

【正文】

另外，專家還強(qiáng)調(diào)，非法獲取和買賣公民個(gè)人信息的行為之所以屢治不止，還有一個(gè)原因就是其背后隱藏著的完整的利益鏈條，很多商家和不法分子在非法獲取到他人隱私信息之后，有不當(dāng)?shù)美目臻g，而這些行為的違法成本又相對(duì)較小，個(gè)人信息被濫用的情況相當(dāng)嚴(yán)重，因此如何加強(qiáng)對(duì)濫用個(gè)人信息的行為的打擊和懲處力度，也是亟待解決的重要問題。

【同期】北京師范大學(xué)法學(xué)院教授 劉德良

垃圾短信騷擾電話接了很多，我們國(guó)家恰恰在這一塊上沒有相應(yīng)的規(guī)定， 美國(guó)的騷擾電話 就是你打商業(yè)推銷電話的話，這個(gè)法律規(guī)定是禁止打的，你要打 我要接到你的電話的話，要求你承擔(dān)法律規(guī)定有一個(gè)民事賠償數(shù)額，比方說是100美元還是120美元 重點(diǎn)規(guī)制濫用環(huán)節(jié) 打擊濫用 那么這一塊如果要遏制了 前邊（買賣）就沒有了動(dòng)力。

【演播室】

生了孩子，賣奶粉的短信就來(lái)了；買了房子，裝修的短信就沒完沒了；買了新車，保險(xiǎn)公司的短信就鋪天蓋地。面對(duì)這樣的現(xiàn)象您是不是雖然感到無(wú)奈，卻又覺得習(xí)以為常了呢？其實(shí)在這些垃圾短信的背后，是我們個(gè)人隱私信息泄露的問題，給我們留下的是更嚴(yán)重的財(cái)產(chǎn)甚至是人身安全方面的巨大隱患和威脅。專家認(rèn)為，我們?cè)诤粲跫訌?qiáng)執(zhí)法、加強(qiáng)處罰的同時(shí)，還應(yīng)該細(xì)化和強(qiáng)化可能造成個(gè)人信息泄露的各種渠道的監(jiān)督和管理方式；另外，消費(fèi)者發(fā)現(xiàn)個(gè)人信息泄露的時(shí)候，也應(yīng)該引起足夠的重視，必要的時(shí)候應(yīng)該向公安機(jī)關(guān)或有關(guān)部門反映相關(guān)情況。對(duì)于經(jīng)營(yíng)個(gè)人信息的黑色隱秘鏈條，必須把它當(dāng)成一只過街老鼠，人人喊打，人人去打，畢竟這是和我們每個(gè)人的利益都息息相關(guān)的大問題。好，感謝收看《每周質(zhì)量報(bào)告》，下周同一時(shí)間再見。