“当一个社会问题上升到百分百"命中率"的时候,我们有理由相信已经到了一个需要彻底整治的地步了。”这是一位参加南方日报3C周刊在新浪微博设立的微调查对于垃圾信息问题作出的评价。他的担忧绝非杞人忧天,因为我们的调查结果显示参与网友收到过短信、电话、邮件等的垃圾信息的比例高达100%。而不久前新浪微博上网友自发设立的#一人曝光一条垃圾短信#话题活动到目前为止更是已经收集到了近50万条的垃圾短信举报,问题之严重可见一斑。
为何垃圾信息如此泛滥?这里面牵涉到的问题十分复杂,我们无法一一列举。但是时下垃圾短信、垃圾邮件、诈骗电话越来越“手术刀”式的精准投放,却让我们明白在移动互联时代,我们的个人信息安全正在遭受空前威胁越来越多的个人信息无法得到有效的保护,被“有心人”肆意在不同的渠道内扩撒传播,让个人信息沦为商品、公开买卖,这对每一个普通百姓都是莫大的悲哀。面对这样的“艰难时世”,我们不仅要问,屡禁不止的个人信息泄露到底源头在哪里?每天是谁在泄漏着我们每个人的秘密呢?下面,我们就来向大家揭秘一下这背后的真相。
网络服务商:泄密信息第一元凶 “每天所要登录的网站多的时候怎么也有数十个,基本上每个都要注册个人信息的。”经常要上网找资料的小朱向南方日报记者讲述着自己的个人信息在互联网泄密的经历。“我专门注册了一个新的邮箱来作为网站注册用的,从来没有对外公开过的,但是就是这个专门用来作为网站注册用的邮箱,每天收到的垃圾邮件多达数百封,卖药的,卖发票的,卖房子的,没有一个是我自己注册的网站的内容。”
本来只是作为用户注册作用的邮箱,为什么会成为了共用的垃圾桶呢?是谁把用户的注册邮箱地址告诉了这些做买卖的推销员呢?这些关乎用户个人信息安全的疑问,直指互联网服务提供商。
据南方日报记者了解,除了以资讯为主的网站外,大多数提供用户社交互动的网站都需要用户进行个人资料的注册,而用户注册的资料一般包括了用户名、密码、邮箱、手机号码等,部分甚至还包括了家庭住址、身份证号码、职业和学历等等的详细资料,而网站通常还以“提供详细资料可以提供更好的服务”为由来吸引用户提供更加详细的资料。对于已经习以为常的普通用户而言,填写个人资料注册,再享用网站的服务,已经成为了互联网上的一种习惯。
但是,对于你输入的一行行真实的个人信息,在点击“注册”的那一刻起,它还是属于你的个人吗?
“个人信息在用户点击注册提交后,一般会通过函数算法转变为一些没有规律的字符进行存储,这种加密的存储方式由于解码的难度比较大,整体而言还是比较安全的。但是还有部分的网站在存储用户个人资料的时候,是采用明文密码的方式,也就是用户输入什么,后台就存储什么,这样只要谁能够看到后台的数据库,就能完整地看到每个账户和相对应的密码和资料了。”
安全领域人士在解释网站存储用户个人资料的原理时,道出了其中的优劣差异。“CSDN网站去年被爆出了600万个人信息被泄露,就是属于明文密码的范畴,危害极大。但是即使通过加密存储,只要能够获得相应的数据库,通过足够强大的解密软件,也同样可以破解,所以最关键的问题,还是数据库的安全问题。”该人士称,目前我国互联网服务商数量庞大,但是各类网站的技术水平、资金实力参差不齐,收集用户个人信息成为了一种惯例,但并非所有互联网服务商都有足够的技术能力做到对用户信息进行全面的保护,这使得互联网服务商成为了个人信息泄露的一个重要源头。
“后台数据库属于一个网站最为重要也是最为基础的部分,一般网站的数据库只有少数的管理员有权限进行管理。”有多年网站运营经验的李政达在接受南方日报记者采访时表示,网站数据库既是网站的心脏,也是网站最大的财富。“能够对网站用户数据库进行干涉的,除了管理员,就只有网站的经营者了。当然,还有一个不速之客,那就是黑客。要出问题,大多数也就出在这三个角色上。”
管理员:个人信息保护全凭职业操守 作为一个论坛的管理员,阿华和南方日报记者谈及数据库安全时颇有感触。每天在他管理的论坛注册的用户少则数十人,多则数百人,这些个人资料阿华都可以通过明文密码的形式导出在一个简单的文档文件中,小小仅为数十K的文档文件,存储了成千上万的个人信息,包括了姓名、账号、密码,甚至身份证号码、手机号码等等。
“这个文档我只是用作备份的作用,而文档本身我也通过加密来存储。保护这个文档的安全性是我工作职责的一部分,但是不瞒你说,这个文档还是挺值钱的。”据阿华介绍,在一些网站管理员聚集交流的论坛上,常有管理员叫卖一些网站数据库的资料,也有不少的人通过私下渠道求购这些资料,对于出售个人信息的管理员,业内都称其为“内鬼”。“对于每天接触用户个人资料的网站管理员而言,并没有什么具体细致的职业规范,靠的都是大家的职业操守,但是这个职业操守显然没有什么约束力。”阿华坦言,管理员在面对这些个人信息所带来的价值诱惑时,“出轨”并不奇怪。“只要我把我手上的网站用户个人信息文档出售,我也可以轻松获利,做一回"内鬼"。”
网站经营者:个人信息出售赚外快 “做网站现在赚钱也不容易。”自己经营着一个小型团购网站的郑杰并不否认现在互联网的生存环境非常不如理想。“经营网站可以赚钱的办法也就那几个,卖服务、卖产品和卖广告。但是这些周期长、见效慢、只能踏踏实实的来做,但是现在互联网的风气都是在赚快钱,所以也有一些"赚外快"的办法。”
郑杰所说的“外快”,就是在行业内常被称为“用户产生价值”的用户个人信息的倒卖。据郑杰介绍,网站用户个人信息的机制在于数据的挖掘和分析。“用户在你网站上每一个行为,都会被数据公司所重视,甚至会花钱购买。例如女性用户喜欢点击什么内容,男性用户最喜欢看什么视频,南方用户最近关心什么,北方用户最近爱吃什么,对于数据公司而言,都是很好的财富。只要我愿意,这些数据接口我都可以出售赚钱。”
郑杰所说的数据挖掘,是近几年非常流行的一种互联网行为数据分析方式,不仅可以精准地了解用户喜欢,还可以细化到具体用户的个人信息上。“如果能够结合网站的用户个人信息数据库,配合用户行为的数据挖掘,那定向推送的广告价值就会大增。所以网站的个人信息数据库和数据挖掘接口,还是颇有商业价值的。这个钱赚不赚,就看网站经营者本身了。”
黑客:盗取个人信息多是“练手” “一个朋友在某政府机构做管理员,最近发生了一起严重的信息泄漏事件,一台服务器的专家库系统信息发生外泄,领导下令要找出漏洞所在,到底是怎么泄露的,是否黑客入侵……”在某技术论坛里面,网友“不曾下雨”发帖向技术高手们求救。“国内没有那个网站的数据库没有被黑客入侵过的。”瑞星安全工程师王占涛在谈到黑客对网站数据库的危害时,认为黑客的问题一直都被忽视,以去年被闹得沸沸扬扬的CSDN网站600万个人信息被泄露的事件,最后查明也是属于黑客的所为。
曾经热衷于黑客活动,如今成为了某互联网安全企业员工的“果子”(化名)对记者谈到个人信息的问题时侃侃而谈。“国内网站的安全防范能力对于一般的黑客而言,可以说是"豆腐渣"工程,只要稍微掌握一些黑客技巧,入侵一些小型的网站数据库可谓是"易如反掌"。”
“倒不是技术上存在缺陷,主要还是重视程度上不够,所以导致防范的力度不够。”金山网络反病毒工程师李铁军认为黑客可以在网站数据库中“出入自由”的原因,在于网站并没有对数据库安全有足够的重视,“最简单的就是破解管理员的密码,随便穷举一下就能获得其权限了。如果破解密码的办法行不通,那就用复杂点的办法:安装木马之类的,对于大多数黑客而言,都"驾轻就熟"了。”“果子”最后还解释了盗取网站个人信息数据库的原因。“出手容易,有时候还能拿别人的个人信息来炫耀一下,能够满足黑客们的虚荣心。”
通信运营商:个人信息泄密漏洞太多 除了互联网服务商这个重要的渠道之外,同样掌握大量个人信息的电信运营商也在个人信息泄露的过程中扮演了不光彩的角色。
家住天河区的吴小姐,乔迁新家才没有多久,就经常接到装修公司拉单的电话,这让她感到非常奇怪,“我才刚搬家,好多亲朋好友都还没有通知,怎么这些装修公司就知道我搬家了呢?”思前想后,吴小姐想起来自己为了方便收取手机账单发票,曾经致电电信运营商进行过住址变更,“所以我觉得电信运营商那边泄露掉我的住址信息的可能性最大,因为我就更改了这一个服务信息,其他银行什么的,都还没有办呢?”
为什么运营商内部管理机制十分严格,但仍然会出现这样的信息泄露状况呢?一位电信运营商的内部人士向记者表示,其中涉及的因素其实有很多种,“首先还是员工个人的问题,虽然内部管理机制严格,但是可以轻易获取大量用户个人信息的客服系统、市场营销部门等不同岗位的员工处于个人私利和外界的不法商家盈利的行为仍然存在,现在市场上的很多所谓的调查公司、私家侦探公司就是靠着这些信息赚钱的,也愿意为获取个人信息出高价,所谓财帛动人心,难免会有意志薄弱、职业操作不佳的运营商员工会铤而走险。”
其实不只是运营商企业的员工,目前电信运营商层层代理的销售服务体系中也存在不少泄露个人信息的漏洞。“这里面主要的问题存在在代理商身上,在目前手机入网要求实名制的情况下,代理商获得个人信息更加详尽全面,虽然需要向运营商提供一份,但是代理商自行保留相关的信息赚些外快也实属正常,所谓买卖买卖,有人买就自然有人卖,这种泄密漏洞实在难防。”上述人士表示。
在媒体工作的陈先生就曾遭遇过这种代理商的出卖,“我才刚买了个手机号码,开通还不到半天就有一堆什么不限时长包月的上网卡,20元1G流量套餐推荐的电话打过来,其中那个不限时的包月上网卡我还真心动了,差点就准备买了,后来幸好拨打了运营商的官方客服电话查询了一下才发现是骗局,可对方一打电话过来就能够叫全我的名字,相关资料也了如指掌,真的像是正规运营商的客服那样,这种骗局叫人怎么防。”
在电信运营商渠道之外,其实目前方兴未艾的智能手机也正在成为泄露个人信息的一个重要源头。目前以Android、iOS为代表的智能手机平台正在国内风行,应用商店下载海量应用也在成为年轻人的时尚,但是在众多的应用商店尤其是Android平台的第三方应用商店中,恶意软件着实不在少数。其中部分恶意软件甚至能在后台窃取用户手机通讯录的信息并转发到指定的服务器,让不法商家能够大量收集用户的手机号码信息。另外还有些恶意软件甚至能够直接控制用户的手机滥发垃圾短信,并且通过“病毒式”的传播方式成为垃圾信息的传播利器。去年,一款名为“手机僵尸”的病毒就曾经肆虐一时,短短一个月的时间就成功感染了过百万的智能手机用户,导致用户直接经济损失过千万元。
值得一提的是,这类恶意软件的传播渠道十分多样,除了审批不够严格的第三方应用商店外,水货手机、山寨机的销售商家也成为了滋养这些恶意软件的温床。一些不法商家主动出钱让水货手机和山寨机的销售商家在产品出货之前预置这类恶意软件,然后借助窃取来的用户个人信息或者直接发送垃圾短信获利,相关产业链已然成行成市,利润规模惊人,成为了助涨个人信息泄露和垃圾信息泛滥的重要渠道。
个人信息泄露路径 除了互联网服务商、电信运营商、电信服务代理商、手机应用商店以及手机销售上之外,个人信息被泄露的渠道还有很多。银行、中介机构、房地产开发商、保险公司、航空公司以及各类零售商等各种企业、机构出于经营需要,逐渐形成并积累了各自的用户或者消费者信息数据库,其中涉及用户姓名、性别、年龄、生日、住址、婚姻状况、电话、银行账号等大量个人基本信息。对这些信息资源,有些因管理不善而泄露,也有些是为获取私利而恶意泄露。
近日,中国社科院发布的《法治蓝皮书》把我国个人信息泄露情况大致归纳为如下三大类:
一是过度收集个人信息。有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息。一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
二是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度披露他人个人信息。一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因,或者擅自公布贫困生的详细情况。
三是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息,也很常见。
除此之外,一些商家或个人通过专业搜集他人的个人信息用来出售,从中获利。他们或是充分利用自己的朋友网络,请朋友提供单位同事或周围其他人的个人信息,或是自行套取,通过问卷调查、会员登记等方式收集用户姓名、职业、年龄、住址、电话号码等信息。近年来,一些大中城市兴起的商业信函公司,就是通过收集、买卖用户“名址库”来赢利的。(记者 叶丹 程鹏)
作者:叶丹 程鹏 (来源:南方日报)
人参与)
我来说两句排行榜