文丨周近嶼

編輯丨盧枕

在網絡安全領域從業13年，面對個人信息泄露，盧圣龍多次提到“無力感”。

他是一家網絡安全公司安全實驗室的負責人，工作之一是作為授權黑客，測試一些單位或公司的網絡安全，他們經常輕易拿到很多企業的內部數據；他的個人信息遭遇過泄露；我們習慣將個人信息交付給各個APP和小程序，但“大家對于數據的流向沒有知情權”。

對此，他有一種深深的無力感：我很注重隱私安全，想保護隱私，但我的信息在很多企業的服務器里，你還得寄期望于存放數據的這些公司能保護好它們。

聊天過程中，盧圣龍在五秒鐘之內查到了我的身份證信息，以及一個十年前的、詳細到門牌號碼的住址?！皠偛盼覜]有花精力調查你，沒有花錢查詢，我就做了一個檢索。因為有人將之前所有泄露過的信息進行收集，免費或付費提供查詢服務，甚至泛濫到包括很基礎的信息?！?/p>

我們是如何在不經意間成為一個透明人的？是誰偷走了我們的隱私？個人信息如何成為地下論壇的商品？背后是怎樣一個龐大又隱秘的市場？

以下為盧圣龍的講述：

“黑產團隊對深度偽造的利用，可能是會爆發的一點”

從業經歷中，我印象最深的信息泄露事件是發生在2011年的CSDN數據泄露。

有兩個原因。首先，這件事和我的生活和工作強相關，它是一個技術論壇，用戶都是像我一樣的IT人。當時，我的信息也被泄露了，對我的生活有很大影響，那段時間，我瘋狂改密碼、改賬戶昵稱、更換郵箱。

第二個原因是，黑產團隊發現，原來數據有這么大價值，后續引起了一連串數據泄露事件。

我個人認為，數據泄露開始泛濫就是從“CSDN事件”開始，至今過了14年，我可以從影響層面對數據泄露的現狀做一個概括。

第一，規模越來越大。CSDN泄露的數據有數百萬，后來天涯論壇信息泄露時，有數千萬的數據，國外一些機構甚至涉及上億數據泄露。

2016年，京東數據泄露，有12G左右的一個壓縮包流通售賣，包括用戶的名稱、電話號碼、注冊郵箱、密碼，有些有身份證信息，還有購買商品的收件人信息。這是一件影響非常惡劣的事情，直到今天，你在很多所謂的“開盒”工具里能查到個人信息，可能很多就來自于當初的京東數據泄露事件。（注：開盒是指公開曝光他人隱私的行為，是一種網絡暴力。）

第二，頻率在增加，幾乎每年都有多起數據泄露的事件被曝光。

第三，泄露的方式越來越多樣化了。剛開始，主要是黑客攻擊，后來擴展到內部人員作案，現在還發展出一些新的攻擊手法，比如通過公鏈攻擊獲取數據。

第四，危害程度和影響范圍也越來越大。比如京東的數據泄露更多受影響的是個人，后來擴展到企業層面，比如針對企業的勒索攻擊；現在很多機構甚至政府單位，也會面臨數據泄露的問題。大量的信息泄露，危害和影響范圍就會上升到社會層面，增加社會治理成本，削弱公眾對社會機構的信心。

●“防范打擊電信網絡詐騙宣傳體驗展”上，觀眾在參觀電信網絡詐騙手段。圖源：視覺中國

現在，隨著AI的發展，黑產團隊也在應用相關技術。

有些黑產團隊已經在使用AI做數據的關聯和分析。比如通過AI打標簽、出詐騙劇本。另外的一種可能，是通過AI發現安全漏洞，但我感覺在短期內還不太可能發生，可能未來有這個趨勢。

對于黑產團隊來說，AI目前主要是提高效率，技術手段還沒有特別多的創新。但黑產團隊對深度偽造的利用，可能是會爆發的一點，如果黑產團隊有你的人臉信息，和其他足夠多的數據，可以生成足夠逼真的視頻或音頻詐騙。

當然，技術的發展也會驅動網絡安全的AI化建設，可以相應提高安全防護水平。在我們領域，相信魔高一尺道高一丈。有一句話叫沒有絕對安全的系統，網絡攻防的對抗，本質是成本的對抗，我們建設網絡安全體系，目的不是保證系統100%安全，是阻止那些低水平的攻擊者，繼續投入，就能阻止中水平的攻擊者。我們投入防守，是去提高攻擊者的攻擊成本。

最容易被盯上的四類人群

泄露的個人信息大概可以分為五類。

最常見的是基礎信息，姓名、地址、身份證等；其次是應用數據，有很多企業會對用戶做分析打標簽，比如喜歡吃什么食物、消費水平怎么樣、有怎樣的資產，這些標簽數據就屬于應用數據。還有設備信息，比如手機設備的數據；還有網絡信息，包括IP信息；還有就是關聯出來的家庭、好友圈信息等。

個人信息在買賣環節是明碼標價的，價格高低在于它的價值、數據完整程度，以及新鮮度等。

帶有行業屬性的信息比較值錢。金融數據有很高價值；投資網站泄露的信息，價格也會高一些，比較新的數據一條可能賣到幾塊錢。你肯定有錢才想去投資，對于詐騙的人來說，是比較好的目標。

另外就是外賣或者快遞數據，因為含有地址信息。大多數的信息注冊需要姓名、身份證、手機號，但不需要住址，所以這個信息相對來說比較稀缺。

地址有很多應用場景。比如說催收需要你的地址信息，網絡暴力需要地址信息，詐騙也需要地址信息。之前有一種詐騙，中秋節給你寄一張蟹卡，需要掃碼綁定一些信息，然后把你的錢轉走。

如果單純是姓名、身份證等基礎信息，就不太值錢，黑產團隊需要對這些數據進行深度挖掘才能拿來所用，這樣的數據幾萬條可能就幾塊錢。

我曾經見到過一份來自貸款網站的數據，它包含了姓名、身份證正反面，手持照片人臉識別的認證視頻，包括念數字認證的聲音。這種數據賣得貴一些，一條可能要十幾二十塊。每個人的聲紋和人臉是具有唯一性的生物數據，他們可能會利用AI技術做人臉替換。

●中國國際信息通信展覽會上，信息安全“網絡內容安全檢測平臺，深度偽造檢測平臺”展臺。圖源：視覺中國

個人信息泄露之后，大多會用在這些場景：

一個是營銷，比如我們買房后收到裝修電話。

還有詐騙，冒充你的領導讓你轉錢。詐騙的很多場景是基于泄露的數據做的畫像構造，然后設置劇本，這樣的話成功率要高很多。

第三是競爭對手；第四是個人，比如“人肉開盒”，對應的是網絡暴力。

從信息泄露的主體來看，企業數據泄露是最多的，包含了我們常用的互聯網工具的公司；醫療機構、教育機構信息泄露相對來說也比較多；還有第三方的服務提供商。之前，有一份大概上億條的外賣訂單地址的數據泄露，泄露的源頭就是第三方的配送商。

企業、醫療、教育和供應鏈，有一個共同點，他們不像金融機構、大型互聯網公司在安全投入方面這么高，甚至有些第三方的服務提供商，幾乎沒有網絡安全建設。

從工作經驗來看，有四類人群的個人信息最容易被盯上。

第一類是高凈值人群，對于詐騙團伙或者推銷人員來說，都意味著很高價值。

第二類是在校學生，個人防護意識和能力比較弱，對于詐騙團隊來說是比較好下手的對象。

第三類是老年人，對應保健品推銷和詐騙。老人對于互聯網技術了解的不多，容易受騙；也有相當的經濟能力。

最后是患者信息，這也是比較高危的信息，因為大家都很在乎身體健康，對于黑產團隊來說，價值就比較高。

個人信息買賣產業鏈的上中下游

個人信息泄露背后是一門生意，這個產業鏈條可以分為上游、中游和下游。

上游是黑客和“內鬼”。他們以批發或零售的形式快速獲利。

黑客群體也分三六九等，初級和中級黑客廣撒網，可能一次性攻擊1000家或者1萬家公司，高級黑客就選3到5家有價值的定向攻擊。

還有被業內稱為“腳本小子”的黑客，這些人不懂攻擊原理，也不懂漏洞挖掘，只會用開源工具對一些幾乎沒有防護的網站進行傻瓜式攻擊?！澳_本小子”的組成非?；靵y，有社會不良分子，甚至有初中生、高中生，他們對黑客技術沒興趣，只想掙錢。

現在很尷尬的一點是，有很多以往的安全防護人員，因為一些原因，在做攻擊類型的黑產。我之前團隊的一個兄弟離職之后，去了國外，我從其他渠道獲知，他就在做黑產相關工作。我當時很吃驚，曾經身邊很鮮活的一個人，讓我有些捉摸不透。

其實做技術，多多少少會對技術有敬畏，你知道什么事做了之后就很難回頭了。

●圖源：視覺中國

隨著個人、社會等各個層面對數據安全的重視，我覺得“內鬼”是現在數據泄露源頭在增長的重要原因。

我們常見的很多信息都是內部人員泄露的。比如酒店相關的業務人員，有查詢開房記錄的權限，有可能一次查詢收費大幾百塊、一兩千塊，包括一些可以查資產信息、婚姻信息的人員。

我覺得這些人都不是很高職位，大多來自業務一線。我之前看到過新聞，有輔警查個人信息，有車管所的人往外傳遞新車的注冊信息。甚至房產售樓處的人也有可能成為“內鬼”，大家買房后經常接到各種電話，深受其害。

從行業上來分，掌握個人信息的行業里都有可能有內部人員做這樣的事情，酒店、外賣、快遞、行政機關的工作人員等等。根據經驗，酒店行業“內鬼”相對多一些，可能查詢的需求會比較強烈，還有就是有辦法接觸到戶籍信息的行業。

暗網里面售賣源頭信息的這些人，會提供快查和慢查服務。慢查基本就是“內鬼”去查，他們絲毫不會掩飾“內鬼”這件事情，會把“內鬼”作為宣傳的手段和獲客能力。

中游分為信息加工者和數據分銷者，兩者也可能是一體的，主要賺取信息差。他們將買到的數據清洗和整合，提高數據的價值，也可能針對下游需求向上游定制數據。打個比方，如果上游是菜市場，下游是消費者，中游就是飯館，起到一個烹飪的角色。

上游隱匿性很強，很難溯源。中游相對來說更好定位，但中游現在基本都是通過數字貨幣進行分銷，如果反偵察意識足夠高的話，也很難定位到他的信息了。

下游就是信息購買者和使用者，比如常見的詐騙團伙，發垃圾短信的營銷公司，獲取商業情報做不正當競爭的對手。還有就是個人，主要的目的可能是想追蹤某個人、報復某個人，或者網絡暴力。

“大家都在賭，賭我不會被攻擊”

有一種觀點認為，信息泄露和個人或社會層面對隱私的漠視有關，我是不認同的。以我個人為例，我很注重隱私安全，但是我的信息泄露的也很多，我想去保護隱私，但是我做不到。

我的信息托管在很多公司的服務器中，自己肯定是自己數據的第一責任人，但是你保護好的同時，還得寄期望于存放數據的這些單位或公司。所以說，我有一種無力感。

我在點外賣、寄快遞的時候起一個不是真名的名字，比如京東收件人叫盧京東，淘寶叫盧淘寶，如果有人打電話問是不是盧淘寶，我知道是在淘寶泄露的。有些軟件我也會用小號登錄，其實背后就是一種無奈和無力。

現在APP收集個人信息，我認為是過度收集違規收集的。我們使用的這些APP，有一個隱私收集協議，標明了會獲取哪些數據，那個很長，好多頁，很多人可能不太會去關注。

個人隱私保護很大的一個痛點，就是大家對于數據的流向沒有知情權，不清楚你的數據做什么用了，比如輸入法數據，或者一些聊天數據可能會被用來做大數據的推廣。

關于信息泄露的治理，其實我們國家一直在出臺一些法律，比如《網絡安全法》、《個人信息保護法》，還有《數據安全法》，包括近兩年數據安全的需求也越來越大，總體來看肯定是向好的。

●新華書店內的《中華人民共和國個人信息保護法》。圖源：視覺中國

但是屢禁不止的原因主要有這么幾個：

數據泄露很難監控。比如企業不會主動上報，不會通知用戶，你不知道他的數據泄露了。比如有些數據可能在暗網流通，但也有可能沒有到外部渠道，他們內部就有流轉需求，等數據流通出來，可能是兩年或者三、四年之后了。

從企業安全治理來說，國內很多公司對于數據安全的投入還不大，很多企業甚至剛開始做基礎安全，它都沒有安全部門，甚至對于安全漠不關心。安全是一個成本部門，不是盈利部門，大家都在賭，賭我不會被攻擊，賭我今年不花這錢也沒什么影響。他們的意識也不高，甚至很多企業會把我們的數據當做一種商品，拿來售賣或者加工。

這里還要提一下暗網，它是導致信息泄露更泛濫、治理難度加劇的一個重要原因。

伴隨著加密貨幣的興起，交易環節開始遷移到暗網。它是匿名化的，想要追蹤交易者的身份，成本很高；它有一定的技術壁壘；另外，交易很復雜，可能涉及很多國家，法律監管和執法協作相對來說也比較困難。

在我十幾年的從業經歷中，個人信息泄露之后，我從沒有見過維權的案例。我知道數據泄露不好，但也知道沒有辦法，維權成本太高，就是剛才提到的那種無力感。

現在的生活很智能化，我們的數據不停地在各種APP流轉。有人提過一個觀點，隱私就是一種幻想，我現在是認可這句話的。大家一定要有意識，不必要的權限不開，盡量避免太多的信息被收集。我電腦里很多軟件，如果我認為它沒必要聯網，會用防火墻軟件禁止聯網；我基本不會把通訊錄授權給他們。作為個人，只能盡量減少暴露的可能性。

【版權聲明】所有內容著作權歸屬鏡相工作室，未經書面許可，不得轉載、摘編或以其他形式使用，另有聲明除外。

鏡相工作室正在尋找 商業領域的優秀作者加入，請查看：

繼續閱讀：