3月19日,微博用户“@安全_云舒”发文称很多人手机号码被泄露,根据微博账号可以查到手机号。随后微博方面回应称,确实存在手机号泄露,但没有密码泄露。事件发生后,佟林(Phala隐私协议创始人)以卧底的方式进入泄露数据的“地下”交易环境,摸清了灰产的整个服务架构,并公开发文披露。发文不到24小时,他本人的身份信息也遭到恶意散播。我们联系到佟林,他讲述了这次的卧底调查以及目前的信息灰产问题。
▌关键信息的泄露大大降低了“人肉”的门槛
南都观察 :3月19日爆出微博信息泄露事件后,你通过卧底的方式去还原了整个信息交易的灰产架构,当时为什么会决定做这么一个事情呢?
佟 林 :研究生毕业后,我在互联网+行业工作了三年,先后就职于腾讯和滴滴。后来我接触到Web3.0的概念——一种建立于开放、去信任化、尊重网络公民权利的未来网络形态。虽然它还只是一个概念,但比起之前在互联网公司的工作,这件事更符合我心中的价值观和理想,于是我开始创业,主要方向就是Web3.0的数据隐私保护解决方案。所以我一直在观察这个领域的市场,做一些调研,也输出一些产品和技术解决方案。扫描到微博泄露这个事件后,我个人比较好奇这次泄露是否涉及微博密码,还想知道具体情况如何,于是就卧底进入了这样一个交易环境。
在整个交易环境摸索了一圈之后,我发现整个事件比我想象的还要可怕。虽然我不能确认微博密码是否被泄露,但可以确认的是,通过微博账号就可以查到对应的手机号,而且它的数据准确度、交易流程已经进化得非常厉害了,可以完成自动交易,就像是“黑市的淘宝”。我本身从事于隐私保护领域,平常也会呼吁大家重视隐私安全,所以在搞清楚整个交易环节后,我决定把它发出来,向公众披露。
南都观察 :对于你刚刚提到的“Web3.0的数据隐私保护解决方案”,它是怎样的一种解决路径或产品形态?
佟 林 :简单来说,这种解决方案的思路是基于“我不信任任何公司或个人”的假设。比如在这次事件中,我是因为相信微博所以才输入我的账号和密码,交给微博保管,但微博“辜负”了我。而Web3.0想要做的就是一套去信任化的数据保护与使用的解决方案,它的核心假设就是不相信任何人,而是选择相信数学或是密码,然后基于这种假设去设计互联网底层的设施和架构。不过这种方案避免不了用户自己安全意识弱导致的密码泄露,也无法让已经泄露的数据被挽回。
南都观察 :在你看来这次信息泄露是偶然事件吗?
佟 林 :信息泄露或者说信息安全问题是必然存在的,在安全界就不存在“无风险”。这次微博泄露应该是微博接口的安全问题被暴露,而不是更严重的“拖库”(指从数据库中导出数据,如今多指黑客入侵网站窃取数据库的行为)。可只要我们信任互联网公司提供的服务,把账号密码输入进去,就只能指望他们不出事,然而事实是人在管理数据,出事是必然的。
南都观察 :据说这次信息泄露涉及5亿多用户,这些被泄露了信息的用户会有什么安全隐患吗?
佟 林 :因为微博的用户量非常大,所以即使暴露的只是手机号也非常可怕。我在调查整个产业链时发现,这次涉及的“社工库”(大量外泄的用户隐私数据集合地)已经将大部分历史上的黑产数据融合在一起了,而且交易体验相当顺滑且隐秘,工具链也很齐全。这就意味着,虽然这次微博泄露只是涉及微博ID和手机号这样一个关联信息,不涉及其他信息,但只要有了手机号,就可以不断使用工具查出对方的户口本、定位轨迹、银行流水等信息。
之前我想要查你的信息,可能得先想办法查到你的手机号,但因为这次泄露,我通过你的微博ID就能查到你的手机号,相当于大大降低了人肉的门槛。我自己在试验时就发现,很多公众人物的手机号都能直接通过微博ID查到。所以说,这些用户因为手机号被泄露,其他私人信息也能很容易地用手机号关联出来。
▌信息安全面前,每个人都在“裸奔”
南都观察 :在发文揭露了这一事件后,你的个人信息很快被其他人公开出来,包括手机号、身份证等信息都被散播在一些网络群组中,可随后你主动站出来公开了更多的个人信息,包括你所从事的行业,为什么会做这样一个决定?
佟 林 :我已经被挂出来了,也就不可能再隐匿,只要他们想查肯定能查到。那既然已经这样了,我就想着不如借此机会向公众揭露更多的事情,所以我又发了第二篇文章公开了更多的信息。
南都观察 :还有人在黑市上众筹你亲友的信息,这件事情对他们产生影响了吗?
佟 林 :目前还没有,但随时有可能。因为现在的手段很齐全,这只是他们想不想的问题。不过我也和身边的人都同步了消息,请他们做好准备。
南都观察 :我们这些普通用户要如何知道自己的信息是否被泄露了呢?有没有什么预防或弥补的方法?
佟 林 :目前国内没有很好的自查工具,国外有一些,可以查你的密码是否已经被泄露。但老实讲,我认为大家不用假设自己的信息没有被泄露,因为我身边的人的信息都能在“社工库”里查到。信息泄露的问题比大家想象中的要严重得多。只是说目前你的信息对其他人没有什么价值,所以没有人会去查你。也正是如此,很多人也就没有什么防范心理,不会去修改自己的密码,或者去做更多的安全动作。可一旦哪天有人想查你了,你什么防范措施都没有,这是最可怕的。至于弥补的措施,黑产有一个特征就是只要你的数据流入到库里,那就永远不可能抹除。
南都观察 :能不能给我们简单介绍一下你提到的“社工库”?
佟 林 :这是利用社会工程学的一种数据库,历史悠久,基本上开发者入门时都了解过,而且很多数据都是开源的,随便下载。
比如我有3个数据库,一个是微博的手机号+微博ID,一个是手机号+身份证号,一个是手机号+qq号,我可以通过写代码和社会工程的思路,用手机号把你的身份都串起来。再利用qq群关系库,找到你的好友,而在2013年发生了QQ群关系泄露事件之后,基本上你前半生的兴趣爱好、好友记录这些信息,在黑市里可以随便查。通过一次又一次的关联,最终这批人手里就可以掌握非常详细的用户档案。
南都观察 :所以每个人在“社工库”中都有信息“裸奔”的风险吗?
佟 林 :对,即使这个库里没有你的信息,另一个库里也会有。比如这次我被报复,有人想查我的信息,很轻易就能查到,即使他个人没有这个技术,花个几十块钱也能买到。
▲ 佟林找到了购买隐私数据其中一个根据地,通过电报按图索骥、购买服务,摸清了灰产的整个服务架构和运作流程。 © Phala可信网络
▌猖獗的信息灰产
南都观察 :所以如今信息灰产已经是一个很普遍的产业了吗?
佟 林 :是的,举一个很宏观的例子,贵阳大数据交易所的创始人曾经说过,黑市数据交易额大概是合法数据交易额的100倍。
南都观察 :都有哪些类型的信息会被用来买卖交易呢?
佟 林 :一切信息,线上线下的都可以。包括身份证号、姓名、家庭地址、手机号、曾经用过的账号密码、QQ群关系等,还有一些线下的信息,比如手机定位轨迹、银行流水、消费记录,都能查到,只不过看你愿意付几块钱还是几百块钱。最贵的是银行流水,花1000多块钱也能查到。
南都观察 :整个信息灰产大概是怎样运行的?产业上下游有哪些主要主体?
佟 林 :分卖方和买方两个部分说吧。卖方主要有三类人群,第一类是最上游的黑客,他们负责主动去扒新数据,比如这次微博泄露的信息就属于新数据。黑客基本处在产业链的上游地位,掌握数据源,也掌握话语权。
黑客有时候会直接和一些企业合作,假如有一家主打医疗产品的互联网公司想要融资,但缺少训练数据(数据挖掘过程中用于数据挖掘模型构建的数据),便可能会委托黑客攻击几个医院的数据库。企业和黑客达成一个协议,付给黑客几十万,把数据扒下来,而且黑客要保证前几个月这些数据不能流入黑市,只能供企业使用,接着企业就拿这些数据去找融资公司的Vc++(Venture Capital,风险投资)谈生意。
与此同时,黑客手中还有一份数据的副本,如果他是一个讲诚信的黑客,会等到协议期期满,再把这些数据丢到黑市里去进行关联。所谓关联,就是把这些新的数据和既有的数据库结合在一起,以索引到更多的信息,相当于黑客在拿了客户的钱之后将这些信息再进行二次转卖,达到利益最大化。这就是黑客在干的事,他们基本处于食物链顶端。
还有一部分人和黑客类似,但比较特殊,被称之为“内鬼”。像我这次被人肉出来的信息显然是一个执法机构后台索引出来的结果。一般来说,身份证号、户口本以及开房记录、行程轨迹等信息,很可能是由一些执法机构或互联网公司的“内鬼”所提供。
第二类是中间商,比如我这次调查的“社工库”,它已经形成了一个平台来连接买方和卖方,整个交易过程也非常自动化,和淘宝差不多,这个就属于二次开发,也是中间商主要干的工作。
最后一类则是销售方,这些人会冒着极大的风险在QQ群、微信群、百度贴吧等地方去分发业务,碰到感兴趣的人就会找他们购买。
至于买方,主要包括几类,一种是刚刚说的有数据需求的普通公司,然后还有一些诈骗集团也会有数据需求,比如一个针对保健品的诈骗,这些骗子可能就需要60岁以上患有高血压的老人的手机号,然后针对这些手机号去进行诈骗。这些是比较重要的一类买方。
而近几年需求上升比较快的是追债公司,有些p2p公司收不回账就会去找追债公司讨债,这些追债公司就会去买欠债人的个人信息,包括轨迹定位,这样就比较方便他去追债。还有一些比较散的需求,比如私家侦探以及一些有特殊需求的普通人。
南都观察 :目前打击信息灰产的力量主要来自哪里?分别起到怎样的作用?
佟 林 :主要是网警,我们叫“净网计划”,每年会集中打击一两次。以往几年还能有一些收获,可以抓一批下游的销售方和买方。但我这次调查揭露的是比较偏中游的一个环节,老实讲不太可能能抓到。几个原因,第一是所有的信息交流都在telegram(一款跨平台的即时通讯软件)上进行,它是端到端加密,没法像微信、QQ一样去获取聊天记录,也不可能去获取身份;第二是因为所有交易使用的都是数字货币,无法关联到真身;第三是销售端普遍使用假身份,都是从黑市购买的“四件套”(包括身份证、这张身份证办理的银行卡、该银行卡U盾以及绑定该银行卡的手机SIM卡);最后还有vpn(Virtual Private Network,虚拟专用网络)的原因,以前网警追查一个人,靠IP地址就能索引到你的位置,但普遍使用VPN后这种方法就不太可行了。
南都观察 :听起来现在很难有有效的方法去打击信息灰产了。
佟 林 :如果说投入足够的执法成本,也许能有一定的效果。比如有一些不法分子会因为不够谨慎或想要耀武扬威而泄露一些信息,执法机关是有可能查出来的,像韩国的N号房事件,运营者使用的也是Telegram,但还是被找到了。其次,有一些虚拟货币的交易也有可能能查到,不过得依据具体情况。
南都观察 :前面你也说到,几乎每个人都在信息“裸奔”。从你的观察来看,目前大众对于信息安全的问题有足够的了解和重视吗?
佟 林 :我自己感觉这种隐私保护的意识是有所觉醒的,比如去年很火的换脸应用,因为有信息泄露的风险很快就引起了大众反弹。但从产业的角度来讲,保护意识不能靠大众,而要靠国家的顶层设计来强制执行。举个例子,在欧盟和美国,分别有GDPR(General data Protection Regulation,通用数据保护条例)和CCPA(California Consumer Privacy Act,加州消费者隐私法案),只要互联网公司不符合隐私保护法案的设计,每年会罚其最多4%的收入,可能达到数十亿美元,因此被惩罚的公司非常有动力去改造自己的互联网设计,真正去落实保护措施,也希望我国能尽快参考实施。
而对于大众来说,最好的保护措施就是尽快改掉所有密码,尽量使用不同的密码,过于简单的密码非常容易被集体攻破。其他的也做不了什么,已经泄露的数据你无能为力,而实名制会让你更容易被人肉。因为实名制推行后,这些实名数据存放在各个互联网公司中,但整体对实名数据的保护又不够有力,就可能会演变成全民裸奔,无一例外,所以还是希望以后能加强管理。