短短3天之內,接連發生兩起學生遭遇電信詐騙,繼而發生心臟驟停離世慘劇。輿論在痛斥詐騙分子的同時,也開始關注:學生的資訊是如何被精準洩漏的?
據沂蒙晚報報導,山東臨沂羅莊女孩徐玉玉8月19日接到了一通陌生電話,對方聲稱有一筆2600元助學金要發放給她。按照對方要求,徐玉玉將準備交學費的9900元打入了騙子提供的賬號……讓騙子得手的一個關鍵是,在這通陌生電話之前,徐玉玉曾接到過教育部門發放助學金的通知。這意味著,騙子精準掌握了徐玉玉的多類個人資訊。
8月25日,一名資深計算機技術人員對澎湃新聞(www.thepaper.cn)表示,徐玉玉的資訊有可能是被駭客盜取後,賣給了詐騙人員。據他稱,有團隊曾試過“侵入”臨沂周邊多個市縣教育局的網站,發現幾分鐘就可以進入,相關資訊可以隨意瀏覽和下載。
這名技術人員告訴澎湃新聞,目前駭客盜取個人資訊,已形成一個巨大產業鏈,一部分駭客在黑進某些網站獲取資訊後,再在一些論壇、社交群中販賣資訊。
與之相對應的,網路上的資料販子則隨處可見。
據部分資料販子稱,他們手上有全國各地區各行業的各類資料,不只是學生的電話資料,股民的賬戶資料、機票資料、網路購物資料、新生兒資料等等,他們都可以出售。
網路安全專家、獵豹移動安全研究員李鐵軍(微博)對澎湃新聞(www.thepaper.cn),其實不是這些駭客的技術有多好,主要是像學校、醫院等機構在網路安全防範上投入不夠,導致駭客用很簡單技術就可以侵入,而這些網站存有大量個人資訊。
資料販子猖獗:有人宣稱“國內學校,有一半資料我都有”
經知情人士指點,澎湃新聞(www.thepaper.cn)記者以“購買資料”、“電話銷售”等關鍵詞,透過QQ軟體查詢,找到一兩百個相關的群,這些群銷售包括“精確資料購買”、“機票資料”、“淘寶資料”、“保健資料”、“電話資料”、“豐胸減肥資料“、“一手新生兒資料”等等手機號碼資源。
記者透過QQ加好友方式聯絡到了幾名資料賣家。
據幾位賣家介紹,他們主要是做電話資料銷售,這種資料可以簡單分為兩類,一類是比較精準的,電話與機主的姓名都有;另一類是比較模糊,僅有電話號碼。
賣家稱,在售的資料型別包括,今年新開的股票賬戶,這種一般兜售股票資產類的公司會買的比較多;還有像老年人電話資料,可以推銷保健品之類的;當然還有像學生類的電話資料,但買這類資料會相對少些。原因是學生本身不太好騙,且經濟能力有限。
這種資料根據新鮮程度,價格也不一樣。
根據這幾名賣家的報價,100元可以買到2000個電話資訊、300元能買10000個電話資訊;10萬個電話資訊賣到1200元,20萬個電話資訊賣到1800元。
賣家新拿到的資訊則貴一點。一位賣家稱,8月份剛拿到的資料1毛一條。當然,如果是“沒有賣過”的純一手資料,售價可能會高到1-2元。
關於售賣資料的範圍,有賣家宣稱銷售的是全國資料,買家可以根據地區來選擇。
某專業財經媒體的報導還提及,有“業內人士”宣稱,“國內學校,有一半資料我都有。即使手頭沒有的,只要你告訴我名字,我也都能拿到。”
以往,購買高中畢業生資料的,多是一些不正規的成人教育或者網路教育學校,但隨著生源的減少,這類生意已經熄火。
新的買主中,職業騙子佔了大多數。
誰洩漏了個人隱私資訊:教育機構資訊保安投入不足
關於這些個人隱私資料的來源,絕大多數賣家都不願透露。
有一位賣家稱,他們獲得電話號碼的其中一個來源,是透過財經網站提取的。
李鐵軍解釋,這可能是透過一個程式,只要使用者登入這個網站,電話號碼就會被抓取,但這些電話號碼絕大多數不是實名的。
前述賣家還透露,其出售的資料的另一個來源是,自己去“開發”。這個所謂“開發”,正是向銀行、證券公司、大型入口網站、購物網站等機構裡的個人去購買。
不過該賣家稱,現在這樣的渠道越來越難了。
除了上述渠道,李鐵軍告訴澎湃新聞(www.thepaper.cn)記者,駭客正成為洩漏個人資訊產業鏈上最大一環,一部分駭客開始專門倒賣各種資料,一些教育機構、醫療機構的資料往往很容易被盜取,因為這些機構的業務現在與網際網路的結合很緊密,但這些機構在國內一直是比較缺錢的部門,而做好資訊保安需要比較大的投入,其在選擇安全方案上就受限,這還包括後續的投入和維護,所以這些機構面臨掌握了大量資訊,但安全方面卻是做得不夠。
按教育部、公安部發布的《教育行業資訊系統安全等級保護定級工作指南(試行)》、《教育部 公安部關於全面推進教育行業資訊保安等級保護工作的通知》,在全國開展資訊系統安全等級定級備案工作。兩份通知中,對教育行業建議的最高安全保護等級為第三級(級數越高要求越高),當然學校可以根據自己需求提升安全保護等級。
可資對照的是,銀行部分系統的最高防護等級為第四級。
“另外一個情況是,這些教育機構網站存在的漏洞並不高深,很容易被入侵“,李鐵軍表示。
上述資深計算機技術人員也表示過,其瞭解到,一個駭客團隊幾分鐘內繞過某市教育局的網站防火牆進入後臺。
監管缺位:防範仍只能靠個人
那麼,問題這麼多,監管去哪兒了。
關於個人隱私洩漏帶來的損失甚至災難,一位地方經偵警官表示很無奈,他們很理解也很同情受害者,但他們對這類案件也很苦惱,有時候牽涉金額不大,但案件的調查卻很複雜,一方面涉及查案偵查地域範圍會很廣,另一方面一些零碎案件可能要積累到一定時候才一起偵辦,對他們來說,精力很有限,不太可能到處去滅火。
這名警官認為,如果不從根本上解決問題,很難透過公安、司法機構來減少案件的發生。
據光明網報導,北京市公安局網路安全保衛總隊與360網際網路安全中心聯合發起成立的網路詐騙全民舉報平臺——獵網平臺於去年底釋出的《現代網路詐騙產業鏈分析報告》初步統計,在中國,從事網路詐騙產業的人數至少有160萬人,“年產值”超過1100億元。
李鐵軍直言,現在中國個人資訊洩漏正面臨失控的危險,每個人都不安全,但這個系統的改善需要花的時間會非常長,包括國家相關法律法規的出臺、司法機關辦案能力是否跟的上、還有管理資料機構能力是否能提升等等,這中間需要花的時間和代價都會很大。
光明網在一篇評論中直言,騙子之所以得手,其“成功”之處遠不止於電信主管部門和電信運營商對“騙子專用號段”公然存在的無睹和無視,其他掌握公民個人資訊的部門和機構、以及負責稽核(騙子開卡)客戶資訊的相關銀行,都不能與此撇開關係。
李鐵軍提醒,在相關監管完善之前,最主要的防範還是靠自己,儘可能保護個人的資訊,“比如在提供個人資料時,只有在那些必須提供個人真實資料的地方提供。”
另外,李鐵軍還認為,在這些容易洩露資訊機構缺乏安全方面的管理人才時,這些機構找是不是可以找專門的第三方安全服務公司,比如現在用的較多的雲技術,可以將他們的資料交給專業公司的雲伺服器託管,這些專業公司被駭客攻陷的可能遠要低於他們本身。雖然無法從根本上解決這個問題,但可以安全方面上個臺階。
李鐵軍,社會不應該透過一個少女的死亡來警醒民眾。在法制、網路安全相對滯後的今天,需要改善的地方也有太多,更需要個人清醒認識到這種電信騙局,讓悲劇不再發生。