简体 | 繁体
loading...
新闻频道
  • 首页
  • 新闻
  • 读图
  • 财经
  • 教育
  • 家居
  • 健康
  • 美食
  • 时尚
  • 旅游
  • 影视
  • 博客
  • 群吧
  • 论坛
  • 电台
  • 焦点新闻
  • 图片新闻
  • 视频新闻
  • 生活百态
  • 娱乐新闻
您的位置: 文学城 » 新闻 » 焦点新闻 » 13年网安从业者的无奈:“隐私就是一种幻想”

13年网安从业者的无奈:“隐私就是一种幻想”

文章来源: 镜相工作室 于 2025-03-11 00:19:26 - 新闻取自各大新闻媒体,新闻内容并不代表本网立场!
被阅读次数
13年网安从业者的无奈:“隐私就是一种幻想”

文丨周近屿

编辑丨卢枕

在网络安全领域从业13年,面对个人信息泄露,卢圣龙多次提到“无力感”。

他是一家网络安全公司安全实验室的负责人,工作之一是作为授权黑客,测试一些单位或公司的网络安全,他们经常轻易拿到很多企业的内部数据;他的个人信息遭遇过泄露;我们习惯将个人信息交付给各个APP和小程序,但“大家对于数据的流向没有知情权”。

对此,他有一种深深的无力感:我很注重隐私安全,想保护隐私,但我的信息在很多企业的服务器里,你还得寄期望于存放数据的这些公司能保护好它们。

聊天过程中,卢圣龙在五秒钟之内查到了我的身份证信息,以及一个十年前的、详细到门牌号码的住址。“刚才我没有花精力调查你,没有花钱查询,我就做了一个检索。因为有人将之前所有泄露过的信息进行收集,免费或付费提供查询服务,甚至泛滥到包括很基础的信息。”

我们是如何在不经意间成为一个透明人的?是谁偷走了我们的隐私?个人信息如何成为地下论坛的商品?背后是怎样一个庞大又隐秘的市场?

以下为卢圣龙的讲述:

“黑产团队对深度伪造的利用,可能是会爆发的一点”

从业经历中,我印象最深的信息泄露事件是发生在2011年的CSDN数据泄露。

有两个原因。首先,这件事和我的生活和工作强相关,它是一个技术论坛,用户都是像我一样的IT人。当时,我的信息也被泄露了,对我的生活有很大影响,那段时间,我疯狂改密码、改账户昵称、更换邮箱。

第二个原因是,黑产团队发现,原来数据有这么大价值,后续引起了一连串数据泄露事件。

我个人认为,数据泄露开始泛滥就是从“CSDN事件”开始,至今过了14年,我可以从影响层面对数据泄露的现状做一个概括。

第一,规模越来越大。CSDN泄露的数据有数百万,后来天涯论坛信息泄露时,有数千万的数据,国外一些机构甚至涉及上亿数据泄露。

2016年,京东数据泄露,有12G左右的一个压缩包流通售卖,包括用户的名称、电话号码、注册邮箱、密码,有些有身份证信息,还有购买商品的收件人信息。这是一件影响非常恶劣的事情,直到今天,你在很多所谓的“开盒”工具里能查到个人信息,可能很多就来自于当初的京东数据泄露事件。(注:开盒是指公开曝光他人隐私的行为,是一种网络暴力。)

第二,频率在增加,几乎每年都有多起数据泄露的事件被曝光。

第三,泄露的方式越来越多样化了。刚开始,主要是黑客攻击,后来扩展到内部人员作案,现在还发展出一些新的攻击手法,比如通过公链攻击获取数据。

第四,危害程度和影响范围也越来越大。比如京东的数据泄露更多受影响的是个人,后来扩展到企业层面,比如针对企业的勒索攻击;现在很多机构甚至政府单位,也会面临数据泄露的问题。大量的信息泄露,危害和影响范围就会上升到社会层面,增加社会治理成本,削弱公众对社会机构的信心。



● “防范打击电信网络诈骗宣传体验展”上,观众在参观电信网络诈骗手段。图源:视觉中国

现在,随着AI的发展,黑产团队也在应用相关技术。

有些黑产团队已经在使用AI做数据的关联和分析。比如通过AI打标签、出诈骗剧本。另外的一种可能,是通过AI发现安全漏洞,但我感觉在短期内还不太可能发生,可能未来有这个趋势。

对于黑产团队来说,AI目前主要是提高效率,技术手段还没有特别多的创新。但黑产团队对深度伪造的利用,可能是会爆发的一点,如果黑产团队有你的人脸信息,和其他足够多的数据,可以生成足够逼真的视频或音频诈骗。

当然,技术的发展也会驱动网络安全的AI化建设,可以相应提高安全防护水平。在我们领域,相信魔高一尺道高一丈。有一句话叫没有绝对安全的系统,网络攻防的对抗,本质是成本的对抗,我们建设网络安全体系,目的不是保证系统100%安全,是阻止那些低水平的攻击者,继续投入,就能阻止中水平的攻击者。我们投入防守,是去提高攻击者的攻击成本。

最容易被盯上的四类人群

泄露的个人信息大概可以分为五类。

最常见的是基础信息,姓名、地址、身份证等;其次是应用数据,有很多企业会对用户做分析打标签,比如喜欢吃什么食物、消费水平怎么样、有怎样的资产,这些标签数据就属于应用数据。还有设备信息,比如手机设备的数据;还有网络信息,包括IP信息;还有就是关联出来的家庭、好友圈信息等。

个人信息在买卖环节是明码标价的,价格高低在于它的价值、数据完整程度,以及新鲜度等。

带有行业属性的信息比较值钱。金融数据有很高价值;投资网站泄露的信息,价格也会高一些,比较新的数据一条可能卖到几块钱。你肯定有钱才想去投资,对于诈骗的人来说,是比较好的目标。

另外就是外卖或者快递数据,因为含有地址信息。大多数的信息注册需要姓名、身份证、手机号,但不需要住址,所以这个信息相对来说比较稀缺。

地址有很多应用场景。比如说催收需要你的地址信息,网络暴力需要地址信息,诈骗也需要地址信息。之前有一种诈骗,中秋节给你寄一张蟹卡,需要扫码绑定一些信息,然后把你的钱转走。

如果单纯是姓名、身份证等基础信息,就不太值钱,黑产团队需要对这些数据进行深度挖掘才能拿来所用,这样的数据几万条可能就几块钱。

我曾经见到过一份来自贷款网站的数据,它包含了姓名、身份证正反面,手持照片人脸识别的认证视频,包括念数字认证的声音。这种数据卖得贵一些,一条可能要十几二十块。每个人的声纹和人脸是具有唯一性的生物数据,他们可能会利用AI技术做人脸替换。



● 中国国际信息通信展览会上,信息安全“网络内容安全检测平台,深度伪造检测平台”展台。图源:视觉中国

个人信息泄露之后,大多会用在这些场景:

一个是营销,比如我们买房后收到装修电话。

还有诈骗,冒充你的领导让你转钱。诈骗的很多场景是基于泄露的数据做的画像构造,然后设置剧本,这样的话成功率要高很多。

第三是竞争对手;第四是个人,比如“人肉开盒”,对应的是网络暴力。

从信息泄露的主体来看,企业数据泄露是最多的,包含了我们常用的互联网工具的公司;医疗机构、教育机构信息泄露相对来说也比较多;还有第三方的服务提供商。之前,有一份大概上亿条的外卖订单地址的数据泄露,泄露的源头就是第三方的配送商。

企业、医疗、教育和供应链,有一个共同点,他们不像金融机构、大型互联网公司在安全投入方面这么高,甚至有些第三方的服务提供商,几乎没有网络安全建设。

从工作经验来看,有四类人群的个人信息最容易被盯上。

第一类是高净值人群,对于诈骗团伙或者推销人员来说,都意味着很高价值。

第二类是在校学生,个人防护意识和能力比较弱,对于诈骗团队来说是比较好下手的对象。

第三类是老年人,对应保健品推销和诈骗。老人对于互联网技术了解的不多,容易受骗;也有相当的经济能力。

最后是患者信息,这也是比较高危的信息,因为大家都很在乎身体健康,对于黑产团队来说,价值就比较高。

个人信息买卖产业链的上中下游

个人信息泄露背后是一门生意,这个产业链条可以分为上游、中游和下游。

上游是黑客和“内鬼”。他们以批发或零售的形式快速获利。

黑客群体也分三六九等,初级和中级黑客广撒网,可能一次性攻击1000家或者1万家公司,高级黑客就选3到5家有价值的定向攻击。

还有被业内称为“脚本小子”的黑客,这些人不懂攻击原理,也不懂漏洞挖掘,只会用开源工具对一些几乎没有防护的网站进行傻瓜式攻击。“脚本小子”的组成非常混乱,有社会不良分子,甚至有初中生、高中生,他们对黑客技术没兴趣,只想挣钱。

现在很尴尬的一点是,有很多以往的安全防护人员,因为一些原因,在做攻击类型的黑产。我之前团队的一个兄弟离职之后,去了国外,我从其他渠道获知,他就在做黑产相关工作。我当时很吃惊,曾经身边很鲜活的一个人,让我有些捉摸不透。

其实做技术,多多少少会对技术有敬畏,你知道什么事做了之后就很难回头了。



● 图源:视觉中国

随着个人、社会等各个层面对数据安全的重视,我觉得“内鬼”是现在数据泄露源头在增长的重要原因。

我们常见的很多信息都是内部人员泄露的。比如酒店相关的业务人员,有查询开房记录的权限,有可能一次查询收费大几百块、一两千块,包括一些可以查资产信息、婚姻信息的人员。

我觉得这些人都不是很高职位,大多来自业务一线。我之前看到过新闻,有辅警查个人信息,有车管所的人往外传递新车的注册信息。甚至房产售楼处的人也有可能成为“内鬼”,大家买房后经常接到各种电话,深受其害。

从行业上来分,掌握个人信息的行业里都有可能有内部人员做这样的事情,酒店、外卖、快递、行政机关的工作人员等等。根据经验,酒店行业“内鬼”相对多一些,可能查询的需求会比较强烈,还有就是有办法接触到户籍信息的行业。

暗网里面售卖源头信息的这些人,会提供快查和慢查服务。慢查基本就是“内鬼”去查,他们丝毫不会掩饰“内鬼”这件事情,会把“内鬼”作为宣传的手段和获客能力。

中游分为信息加工者和数据分销者,两者也可能是一体的,主要赚取信息差。他们将买到的数据清洗和整合,提高数据的价值,也可能针对下游需求向上游定制数据。打个比方,如果上游是菜市场,下游是消费者,中游就是饭馆,起到一个烹饪的角色。

上游隐匿性很强,很难溯源。中游相对来说更好定位,但中游现在基本都是通过数字货币进行分销,如果反侦察意识足够高的话,也很难定位到他的信息了。

下游就是信息购买者和使用者,比如常见的诈骗团伙,发垃圾短信的营销公司,获取商业情报做不正当竞争的对手。还有就是个人,主要的目的可能是想追踪某个人、报复某个人,或者网络暴力。

“大家都在赌,赌我不会被攻击”

有一种观点认为,信息泄露和个人或社会层面对隐私的漠视有关,我是不认同的。以我个人为例,我很注重隐私安全,但是我的信息泄露的也很多,我想去保护隐私,但是我做不到。

我的信息托管在很多公司的服务器中,自己肯定是自己数据的第一责任人,但是你保护好的同时,还得寄期望于存放数据的这些单位或公司。所以说,我有一种无力感。

我在点外卖、寄快递的时候起一个不是真名的名字,比如京东收件人叫卢京东,淘宝叫卢淘宝,如果有人打电话问是不是卢淘宝,我知道是在淘宝泄露的。有些软件我也会用小号登录,其实背后就是一种无奈和无力。

现在APP收集个人信息,我认为是过度收集违规收集的。我们使用的这些APP,有一个隐私收集协议,标明了会获取哪些数据,那个很长,好多页,很多人可能不太会去关注。

个人隐私保护很大的一个痛点,就是大家对于数据的流向没有知情权,不清楚你的数据做什么用了,比如输入法数据,或者一些聊天数据可能会被用来做大数据的推广。

关于信息泄露的治理,其实我们国家一直在出台一些法律,比如《网络安全法》、《个人信息保护法》,还有《数据安全法》,包括近两年数据安全的需求也越来越大,总体来看肯定是向好的。



● 新华书店内的《中华人民共和国个人信息保护法》。图源:视觉中国

但是屡禁不止的原因主要有这么几个:

数据泄露很难监控。比如企业不会主动上报,不会通知用户,你不知道他的数据泄露了。比如有些数据可能在暗网流通,但也有可能没有到外部渠道,他们内部就有流转需求,等数据流通出来,可能是两年或者三、四年之后了。

从企业安全治理来说,国内很多公司对于数据安全的投入还不大,很多企业甚至刚开始做基础安全,它都没有安全部门,甚至对于安全漠不关心。安全是一个成本部门,不是盈利部门,大家都在赌,赌我不会被攻击,赌我今年不花这钱也没什么影响。他们的意识也不高,甚至很多企业会把我们的数据当做一种商品,拿来售卖或者加工。

这里还要提一下暗网,它是导致信息泄露更泛滥、治理难度加剧的一个重要原因。

伴随着加密货币的兴起,交易环节开始迁移到暗网。它是匿名化的,想要追踪交易者的身份,成本很高;它有一定的技术壁垒;另外,交易很复杂,可能涉及很多国家,法律监管和执法协作相对来说也比较困难。

在我十几年的从业经历中,个人信息泄露之后,我从没有见过维权的案例。我知道数据泄露不好,但也知道没有办法,维权成本太高,就是刚才提到的那种无力感。

现在的生活很智能化,我们的数据不停地在各种APP流转。有人提过一个观点,隐私就是一种幻想,我现在是认可这句话的。大家一定要有意识,不必要的权限不开,尽量避免太多的信息被收集。我电脑里很多软件,如果我认为它没必要联网,会用防火墙软件禁止联网;我基本不会把通讯录授权给他们。作为个人,只能尽量减少暴露的可能性。

查看评论(1)

24小时热点排行

“硅谷女王”被前女助理揭露“不当行为”,小扎发声
两个关键经济数据,同时出现恶化
实地追踪:习近平的“熊猫外交”为何折戟芬兰?
特斯拉股价暴跌,马斯克称政府效率部与企业难兼顾
白岩松又发话了,好一个“小步快跑”!

24小时讨论排行

重磅!加拿大妥协!对美电力关税取消!
川普报复加拿大 钢铝产品关税从25%暴增至50%!
真没想到,白宫官网的马屁越来越肉麻了!
力挺马斯克 川普:明天就买一辆特斯拉
加拿大输美电力涨价 “特朗普关税”或写进电费账单
美媒:传美国要乌克兰割地、泽伦斯基下台
陈丹虹受审 凡她经手的绿卡都或被吊销 入籍也不例外
川普向往的“黄金时代”:富人美好 多数人困苦的年代
在美生活40年 著名数学家林华新海归上海担任教授
美股暴跌 川普昨日罕见未出现在媒体镜头前 白宫回应
特朗普拒绝排除经济衰退可能性,美股遭今年最大跌幅
川普习近平有意6月办“生日峰会” 2人生日仅差一天
美国特使:泽连斯基已向川普道歉 这是重要的一步
川普一句话血洗美股!高盛盘点暴跌10大关键因素
滞留宇航员的回家日再改,马斯克的飞船将提前发射
投票开始 格陵兰独立已定?31%民调支持 川普喊话
  • 文学城简介
  • 广告服务
  • 联系我们
  • 招聘信息
  • 注册笔名
  • 申请版主
  • 收藏文学城

WENXUECITY.COM does not represent or guarantee the truthfulness, accuracy, or reliability of any of communications posted by other users.

Copyright ©1998-2025 wenxuecity.com All rights reserved. Privacy Statement & Terms of Use & User Privacy Protection Policy

文学城新闻
切换到网页版

13年网安从业者的无奈:“隐私就是一种幻想”

镜相工作室 2025-03-11 00:19:26
13年网安从业者的无奈:“隐私就是一种幻想”

文丨周近屿

编辑丨卢枕

在网络安全领域从业13年,面对个人信息泄露,卢圣龙多次提到“无力感”。

他是一家网络安全公司安全实验室的负责人,工作之一是作为授权黑客,测试一些单位或公司的网络安全,他们经常轻易拿到很多企业的内部数据;他的个人信息遭遇过泄露;我们习惯将个人信息交付给各个APP和小程序,但“大家对于数据的流向没有知情权”。

对此,他有一种深深的无力感:我很注重隐私安全,想保护隐私,但我的信息在很多企业的服务器里,你还得寄期望于存放数据的这些公司能保护好它们。

聊天过程中,卢圣龙在五秒钟之内查到了我的身份证信息,以及一个十年前的、详细到门牌号码的住址。“刚才我没有花精力调查你,没有花钱查询,我就做了一个检索。因为有人将之前所有泄露过的信息进行收集,免费或付费提供查询服务,甚至泛滥到包括很基础的信息。”

我们是如何在不经意间成为一个透明人的?是谁偷走了我们的隐私?个人信息如何成为地下论坛的商品?背后是怎样一个庞大又隐秘的市场?

以下为卢圣龙的讲述:

“黑产团队对深度伪造的利用,可能是会爆发的一点”

从业经历中,我印象最深的信息泄露事件是发生在2011年的CSDN数据泄露。

有两个原因。首先,这件事和我的生活和工作强相关,它是一个技术论坛,用户都是像我一样的IT人。当时,我的信息也被泄露了,对我的生活有很大影响,那段时间,我疯狂改密码、改账户昵称、更换邮箱。

第二个原因是,黑产团队发现,原来数据有这么大价值,后续引起了一连串数据泄露事件。

我个人认为,数据泄露开始泛滥就是从“CSDN事件”开始,至今过了14年,我可以从影响层面对数据泄露的现状做一个概括。

第一,规模越来越大。CSDN泄露的数据有数百万,后来天涯论坛信息泄露时,有数千万的数据,国外一些机构甚至涉及上亿数据泄露。

2016年,京东数据泄露,有12G左右的一个压缩包流通售卖,包括用户的名称、电话号码、注册邮箱、密码,有些有身份证信息,还有购买商品的收件人信息。这是一件影响非常恶劣的事情,直到今天,你在很多所谓的“开盒”工具里能查到个人信息,可能很多就来自于当初的京东数据泄露事件。(注:开盒是指公开曝光他人隐私的行为,是一种网络暴力。)

第二,频率在增加,几乎每年都有多起数据泄露的事件被曝光。

第三,泄露的方式越来越多样化了。刚开始,主要是黑客攻击,后来扩展到内部人员作案,现在还发展出一些新的攻击手法,比如通过公链攻击获取数据。

第四,危害程度和影响范围也越来越大。比如京东的数据泄露更多受影响的是个人,后来扩展到企业层面,比如针对企业的勒索攻击;现在很多机构甚至政府单位,也会面临数据泄露的问题。大量的信息泄露,危害和影响范围就会上升到社会层面,增加社会治理成本,削弱公众对社会机构的信心。



● “防范打击电信网络诈骗宣传体验展”上,观众在参观电信网络诈骗手段。图源:视觉中国

现在,随着AI的发展,黑产团队也在应用相关技术。

有些黑产团队已经在使用AI做数据的关联和分析。比如通过AI打标签、出诈骗剧本。另外的一种可能,是通过AI发现安全漏洞,但我感觉在短期内还不太可能发生,可能未来有这个趋势。

对于黑产团队来说,AI目前主要是提高效率,技术手段还没有特别多的创新。但黑产团队对深度伪造的利用,可能是会爆发的一点,如果黑产团队有你的人脸信息,和其他足够多的数据,可以生成足够逼真的视频或音频诈骗。

当然,技术的发展也会驱动网络安全的AI化建设,可以相应提高安全防护水平。在我们领域,相信魔高一尺道高一丈。有一句话叫没有绝对安全的系统,网络攻防的对抗,本质是成本的对抗,我们建设网络安全体系,目的不是保证系统100%安全,是阻止那些低水平的攻击者,继续投入,就能阻止中水平的攻击者。我们投入防守,是去提高攻击者的攻击成本。

最容易被盯上的四类人群

泄露的个人信息大概可以分为五类。

最常见的是基础信息,姓名、地址、身份证等;其次是应用数据,有很多企业会对用户做分析打标签,比如喜欢吃什么食物、消费水平怎么样、有怎样的资产,这些标签数据就属于应用数据。还有设备信息,比如手机设备的数据;还有网络信息,包括IP信息;还有就是关联出来的家庭、好友圈信息等。

个人信息在买卖环节是明码标价的,价格高低在于它的价值、数据完整程度,以及新鲜度等。

带有行业属性的信息比较值钱。金融数据有很高价值;投资网站泄露的信息,价格也会高一些,比较新的数据一条可能卖到几块钱。你肯定有钱才想去投资,对于诈骗的人来说,是比较好的目标。

另外就是外卖或者快递数据,因为含有地址信息。大多数的信息注册需要姓名、身份证、手机号,但不需要住址,所以这个信息相对来说比较稀缺。

地址有很多应用场景。比如说催收需要你的地址信息,网络暴力需要地址信息,诈骗也需要地址信息。之前有一种诈骗,中秋节给你寄一张蟹卡,需要扫码绑定一些信息,然后把你的钱转走。

如果单纯是姓名、身份证等基础信息,就不太值钱,黑产团队需要对这些数据进行深度挖掘才能拿来所用,这样的数据几万条可能就几块钱。

我曾经见到过一份来自贷款网站的数据,它包含了姓名、身份证正反面,手持照片人脸识别的认证视频,包括念数字认证的声音。这种数据卖得贵一些,一条可能要十几二十块。每个人的声纹和人脸是具有唯一性的生物数据,他们可能会利用AI技术做人脸替换。



● 中国国际信息通信展览会上,信息安全“网络内容安全检测平台,深度伪造检测平台”展台。图源:视觉中国

个人信息泄露之后,大多会用在这些场景:

一个是营销,比如我们买房后收到装修电话。

还有诈骗,冒充你的领导让你转钱。诈骗的很多场景是基于泄露的数据做的画像构造,然后设置剧本,这样的话成功率要高很多。

第三是竞争对手;第四是个人,比如“人肉开盒”,对应的是网络暴力。

从信息泄露的主体来看,企业数据泄露是最多的,包含了我们常用的互联网工具的公司;医疗机构、教育机构信息泄露相对来说也比较多;还有第三方的服务提供商。之前,有一份大概上亿条的外卖订单地址的数据泄露,泄露的源头就是第三方的配送商。

企业、医疗、教育和供应链,有一个共同点,他们不像金融机构、大型互联网公司在安全投入方面这么高,甚至有些第三方的服务提供商,几乎没有网络安全建设。

从工作经验来看,有四类人群的个人信息最容易被盯上。

第一类是高净值人群,对于诈骗团伙或者推销人员来说,都意味着很高价值。

第二类是在校学生,个人防护意识和能力比较弱,对于诈骗团队来说是比较好下手的对象。

第三类是老年人,对应保健品推销和诈骗。老人对于互联网技术了解的不多,容易受骗;也有相当的经济能力。

最后是患者信息,这也是比较高危的信息,因为大家都很在乎身体健康,对于黑产团队来说,价值就比较高。

个人信息买卖产业链的上中下游

个人信息泄露背后是一门生意,这个产业链条可以分为上游、中游和下游。

上游是黑客和“内鬼”。他们以批发或零售的形式快速获利。

黑客群体也分三六九等,初级和中级黑客广撒网,可能一次性攻击1000家或者1万家公司,高级黑客就选3到5家有价值的定向攻击。

还有被业内称为“脚本小子”的黑客,这些人不懂攻击原理,也不懂漏洞挖掘,只会用开源工具对一些几乎没有防护的网站进行傻瓜式攻击。“脚本小子”的组成非常混乱,有社会不良分子,甚至有初中生、高中生,他们对黑客技术没兴趣,只想挣钱。

现在很尴尬的一点是,有很多以往的安全防护人员,因为一些原因,在做攻击类型的黑产。我之前团队的一个兄弟离职之后,去了国外,我从其他渠道获知,他就在做黑产相关工作。我当时很吃惊,曾经身边很鲜活的一个人,让我有些捉摸不透。

其实做技术,多多少少会对技术有敬畏,你知道什么事做了之后就很难回头了。



● 图源:视觉中国

随着个人、社会等各个层面对数据安全的重视,我觉得“内鬼”是现在数据泄露源头在增长的重要原因。

我们常见的很多信息都是内部人员泄露的。比如酒店相关的业务人员,有查询开房记录的权限,有可能一次查询收费大几百块、一两千块,包括一些可以查资产信息、婚姻信息的人员。

我觉得这些人都不是很高职位,大多来自业务一线。我之前看到过新闻,有辅警查个人信息,有车管所的人往外传递新车的注册信息。甚至房产售楼处的人也有可能成为“内鬼”,大家买房后经常接到各种电话,深受其害。

从行业上来分,掌握个人信息的行业里都有可能有内部人员做这样的事情,酒店、外卖、快递、行政机关的工作人员等等。根据经验,酒店行业“内鬼”相对多一些,可能查询的需求会比较强烈,还有就是有办法接触到户籍信息的行业。

暗网里面售卖源头信息的这些人,会提供快查和慢查服务。慢查基本就是“内鬼”去查,他们丝毫不会掩饰“内鬼”这件事情,会把“内鬼”作为宣传的手段和获客能力。

中游分为信息加工者和数据分销者,两者也可能是一体的,主要赚取信息差。他们将买到的数据清洗和整合,提高数据的价值,也可能针对下游需求向上游定制数据。打个比方,如果上游是菜市场,下游是消费者,中游就是饭馆,起到一个烹饪的角色。

上游隐匿性很强,很难溯源。中游相对来说更好定位,但中游现在基本都是通过数字货币进行分销,如果反侦察意识足够高的话,也很难定位到他的信息了。

下游就是信息购买者和使用者,比如常见的诈骗团伙,发垃圾短信的营销公司,获取商业情报做不正当竞争的对手。还有就是个人,主要的目的可能是想追踪某个人、报复某个人,或者网络暴力。

“大家都在赌,赌我不会被攻击”

有一种观点认为,信息泄露和个人或社会层面对隐私的漠视有关,我是不认同的。以我个人为例,我很注重隐私安全,但是我的信息泄露的也很多,我想去保护隐私,但是我做不到。

我的信息托管在很多公司的服务器中,自己肯定是自己数据的第一责任人,但是你保护好的同时,还得寄期望于存放数据的这些单位或公司。所以说,我有一种无力感。

我在点外卖、寄快递的时候起一个不是真名的名字,比如京东收件人叫卢京东,淘宝叫卢淘宝,如果有人打电话问是不是卢淘宝,我知道是在淘宝泄露的。有些软件我也会用小号登录,其实背后就是一种无奈和无力。

现在APP收集个人信息,我认为是过度收集违规收集的。我们使用的这些APP,有一个隐私收集协议,标明了会获取哪些数据,那个很长,好多页,很多人可能不太会去关注。

个人隐私保护很大的一个痛点,就是大家对于数据的流向没有知情权,不清楚你的数据做什么用了,比如输入法数据,或者一些聊天数据可能会被用来做大数据的推广。

关于信息泄露的治理,其实我们国家一直在出台一些法律,比如《网络安全法》、《个人信息保护法》,还有《数据安全法》,包括近两年数据安全的需求也越来越大,总体来看肯定是向好的。



● 新华书店内的《中华人民共和国个人信息保护法》。图源:视觉中国

但是屡禁不止的原因主要有这么几个:

数据泄露很难监控。比如企业不会主动上报,不会通知用户,你不知道他的数据泄露了。比如有些数据可能在暗网流通,但也有可能没有到外部渠道,他们内部就有流转需求,等数据流通出来,可能是两年或者三、四年之后了。

从企业安全治理来说,国内很多公司对于数据安全的投入还不大,很多企业甚至刚开始做基础安全,它都没有安全部门,甚至对于安全漠不关心。安全是一个成本部门,不是盈利部门,大家都在赌,赌我不会被攻击,赌我今年不花这钱也没什么影响。他们的意识也不高,甚至很多企业会把我们的数据当做一种商品,拿来售卖或者加工。

这里还要提一下暗网,它是导致信息泄露更泛滥、治理难度加剧的一个重要原因。

伴随着加密货币的兴起,交易环节开始迁移到暗网。它是匿名化的,想要追踪交易者的身份,成本很高;它有一定的技术壁垒;另外,交易很复杂,可能涉及很多国家,法律监管和执法协作相对来说也比较困难。

在我十几年的从业经历中,个人信息泄露之后,我从没有见过维权的案例。我知道数据泄露不好,但也知道没有办法,维权成本太高,就是刚才提到的那种无力感。

现在的生活很智能化,我们的数据不停地在各种APP流转。有人提过一个观点,隐私就是一种幻想,我现在是认可这句话的。大家一定要有意识,不必要的权限不开,尽量避免太多的信息被收集。我电脑里很多软件,如果我认为它没必要联网,会用防火墙软件禁止联网;我基本不会把通讯录授权给他们。作为个人,只能尽量减少暴露的可能性。