為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

大資料文摘發表於2019-02-26

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

大資料文摘出品

作者:林安安、蔣寶尚

2019年初,在暗網(dark web)上出現了一波特別的資料集販賣。

這一次的洩露的資料不同以往,其資訊所屬者多是3-20歲的未成年人。具體來說是1998年到2015年出生的兒童的就診記錄。

據相關報導,這一波資料來源於一個大型醫院網路,詐騙犯聲稱他們收集了來自兒科醫生辦公室的就診資料。

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

那麼,獲取兒童的資料到底有什麼用?

資料洩露新趨勢——兒童隱私販賣

談到資料洩露,我們本能就會聯想到這些事情發生在成年人身上。從客戶、消費者、員工到管理人員,似乎這隻與成年人有關。

不幸的是,事實並非如此。大量的兒童資料洩露同樣存在,並且可能產生更嚴重的後果。

根據國際電腦科學研究所在18年的一份研究報告《沒人想到孩子嗎(Won’t Somebody Think of the Children?)》,市面上起碼有過半Android 應用,涉嫌違反了《兒童線上隱私保護法案》(COPPA)。

報告基於對5,855個最受歡迎的免費兒童應用程式的自動分析發現,大多數可能違反COPPA,主要是因為他們使用第三方SDK。更糟糕的是,報告稱19%的兒童應用程式通過SDK收集識別符號或其他個人身份資訊(PII)。

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

報告獲取?

https://www.petsymposium.org/2018/files/papers/issue3/popets-2018-0021.pdf

儘管這份報告主要涉及安卓系統 ,但iOS平臺的手機軟體也沒有安全太多。

據外媒thenextweb最新報導,近期,大量的兒童隱私資料已在暗網上售賣,並正成為一種資料洩露的新趨勢。

暗網世界,潮流湧動

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

這時候,我們需要先和不熟悉的讀者聊聊,什麼是暗網(dark web)。

Dark web,又叫Deep web,顧名思義,是比正常網路更深的一張網,這同時也意味著它能更深入地檢索到正常網路檢索不到的東西。這裡的使用者多使用匿名IP和更加隱祕難以破解的網路環境,讓其徹底成為網際網路世界的一片公海,這裡黑燈瞎火、暗無天日、無人監管,任何事情都有可能發生。

這裡也因此滋生了各種不合法行為。人們在裡面購買、銷售和洩露盜取來的資訊。網路犯罪分子甚至為此建立了電子商務平臺,他們以此為生。

Vice曾經很詳細的報導過暗網世界,感興趣的讀者可以檢視?

http://www.vice.cn/read/what-is-going-on-in-deep-web

之前,兒童資料資訊在暗網上並不怎麼好賣。詐騙犯竊取那些有錢人和在網上交易的人的資料,利用盜取來的資料賺錢,但都是與成年人進行經濟往來。

但最近,一種新的趨勢逐漸出現:竊取來自兒童的資料。

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧


相關報導稱,兒童資料買賣第一次出現2016年初。在一個暗網市場上,有人將兒童社會安全號碼(美國社會安全卡上的 9 位數字)和父母資訊捆綁銷售,售價低至10美元。由於影響範圍較小,這在當時的市場上並沒引起波浪。

2017年末,在另一個暗網市場上,有人販賣嬰兒fullz資料,他們打出的廣告是“在交稅前得到它”。fullz指的是一個人完整的身份資訊,包括姓名,地址,賬戶賬單,銀行卡資料,安全問題的答案等等。

可以說,fullz裡的資料每一條都非常重要。雖然,僅僅幾個月大的嬰兒的fullz資料比成年人少,但這些資料足夠吸引詐騙犯。

很快又出現了另一起,這隱隱出現苗頭的趨勢令人擔憂。

文章開頭提到的這起洩露發生在2018年末,這一次的洩露的資料來源於一個大型醫院網路,詐騙犯聲稱他們收集了來自兒科醫生辦公室的就診資料。

通常,這些孩子的家庭條件比較好,孩子們能得到很好的醫療照顧。顯然,這些孩子的資料對詐騙犯有致命的吸引力。

兒童資料有什麼用?

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

兒童資料洩露這件事很嚴重嗎?一年級學生的資料資訊有什麼用?

不幸的是,真的很有用!

首先,這些資訊可以用來進行稅務欺詐,在提交納稅申報表時利用兒童稅收抵免。另外,犯罪分子也可以用兒童資料建立所謂的合成身份( synthetic identities)。

傳統的身份資訊盜竊利用的是真實和完整的身份。合成身份採用更靈活的詐騙手段,將不同的身份資訊拼湊成一組完整的新身份資訊,其中最重要的就是未使用(或未經檢查)的社會安全號碼,這些號碼來源於兒童。

你會驚訝的發現,人們可以利用帶有未成年社會安全號碼的合成身份申請信用卡,一旦這個合成身份獲得信用額度,那麼就可以辦信用卡,使用信用卡,然後逐漸積累債務。

而孩子們忙於學習並不會去檢視他們的信用報告,他們的父母也沒有意識到需要對孩子進行信用凍結來保護孩子的資訊保安。

如果都不重視這個問題,那麼直到孩子們申請助學貸款,辦第一張信用卡,買第一輛車時,才意識到這個問題嚴重性。

每一個經歷過信用卡被盜的人都知道一個犯罪分子在短短的幾分鐘內能給他們帶來多大的損失。讓我們設想一下,幾年來犯罪分子能累積造成多大的損失。

資料顯示,僅2016年一年,合成身份欺詐可能造成60億美元的經濟損失,其中有一部分來源於兒童資料洩露。

兒童資料洩露大盤點

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

2015年11月,玩具製造商vTech宣佈它的資料洩露影響了全球20萬名兒童。幾天後,它新發布的報告稱實際上有超過630萬名兒童的資訊被洩露。

就在幾個星期前,我們看到兩份報告指控Facebook沒有對兒童資料進行保護,包括使用研究軟體監視未成年人、故意對善意欺騙視而不見、鼓勵兒童在沒有父母允許的情況下沉迷於遊戲。

2017年,聯網玩具 CloudPets 的生產商 Spiral Toys 遭遇了資料洩漏事件,洩漏了超過兩百萬兒童及其父母的語音資訊,以及超過 80 萬電子郵件和密碼。

2018年5月份,TeenSafe 這款家長監管應用,是將兒童的資料存放在了兩臺亞馬遜伺服器上,由於這些資料卻沒有被保護起來,已經有幾千個賬戶資訊被洩漏。其中一臺伺服器儲存的是測試資料,而另一臺中包含兒童的 Apple ID 郵箱地址和密碼,不僅是兒童的賬號密碼,一些家長的蘋果賬號恐怕也已經洩露。

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

使用者名稱,密碼,簡訊和其他更多個人詳細資訊的負載從執行mSpy的移動裝置洩露出來

MSpy 是一款幫助父母對孩子或合作伙伴的電話實施監控的軟體,2018年9月份,安全研究員Nitish Shah表示,KrebsOnSecurity訪問了一個開放的網路資料庫,該資料庫不需要身份驗證,允許任何人查詢MSpy網站上客戶交易的最新MSpy記錄以及MSpy軟體收集的手機資料。

此外,近期鬧得沸沸揚揚YouTube事件也引起了公眾對於兒童隱私保護的重視。

為什麼我3歲的兒子有不良信用記錄?兒童資料洩露問題暗潮洶湧

23個隱私及兒童保護團體向FTC提交檔案,指責YouTube非法收集兒童資料。無商業化童年運動(Campaign for a Commercial-Free Childhood)組織是所有團體的領導者,它認為YouTube侵犯了《兒童隱私保護法案》(Children’s Online Privacy Protection Act),未經父母允許收集13歲以下兒童的資料。

說了這麼多國外的情況,我國的狀況又如何?

相關資料顯示,國內教育類APP總量超過7萬個,約佔全國APP市場份額的10%,其中,家長對於幼教類APP的花費在教育類APP中位居榜首。

這類軟體竊取使用者隱私的行為非常猖獗,追蹤使用者位置更會對兒童的人身安全造成顯著威脅。

而在人工智慧時代,智慧手錶、智慧玩具、智慧音響大量湧入市場,這意味著包含有大量隱私身份資訊的物聯網裝置,將越來越多的進入到兒童的生活中。

隨著使用者資料市場的不斷壯大,製造商、科技公司和廣告商正在收集目標年輕使用者的資料。一旦政府、製造商或科技公司開始收集兒童資料,兒童就要開始像成年人一樣面臨資料洩露的風險和後果。而我們在兒童線上隱私保護這一問題上,相關的隱私保護基本處於空白狀態。

如何有效保護未成年人資料隱私,這是一個全球共同面臨的大課題。

相關報導:

https://thenextweb.com/contributors/2019/02/23/children-data-sold-the-dark-web/ 

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31562039/viewspace-2637022/,如需轉載,請註明出處,否則將追究法律責任。

相關文章