斬斷盜賣個人資訊黑手!
填補資訊泄露黑洞,共築私密安全防線刻不容緩!
消費者在享受數碼化時代帶來的便利時,個人資訊也不可避免地留存在了不同的服務平台上。每年盜取、濫用個人敏感資訊的犯罪事件並不罕見,到底是誰在背後收集這些數據?這些數據又是怎麽流出的?【財經調查】起底非法販賣個人資訊黑色產業鏈條。
日常停車竟能暴露公民敏感資訊?!
這幾年,市場上一種被稱為「智慧停車」的新業態應運而生。它依托於物聯網和大數據技術,覆蓋各種類別的停車場,大大提升了居民出行的便利度。停車資訊包括了車輛進入和離開某個地點的完整閉環,屬於【個人資訊保護法】規定的敏感個人資訊中的行蹤軌跡資訊。智慧停車,很智慧,但是夠安全嗎?
【財經調查】對北京兩個采用了「智慧停車」系統的停車場進行了技術檢測。駕駛員將車駛入停車場,遠在幾公裏外的專業技術人員,輸入車輛的車牌號後,無需身份驗證,輕而易舉就獲得了車輛所在停車場、車輛入場時間等敏感資訊。
在記者采用同樣的方式測試第三個「智慧」停車場時,並沒有直接顯示出車輛的敏感資訊,但經過技術專家的辨別,發現該停車場只是沒有在前台顯示資訊,後台實際上有了應答,返回的封包裏同樣有著車輛敏感資訊。專家告訴記者,這樣的招數只能讓消費者不能直接看到。但是,不法分子依然能輕易獲取這些敏感的個人資訊。
2017年【最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若幹問題的解釋】中規定↓
犯罪分子利用停車資訊追蹤社會車輛
違法安裝跟蹤器 對公民人身安全造成巨大隱患!
犯罪分子的聊天群裏每天在捲動釋出著各種車輛的即時停車資訊,包括了車牌號、停車場具體地址、進場時間等等。
被犯罪分子「盯上」的車輛一旦進入停車場,顯示在群裏,幾十分鐘之內,就會被裝上GPS無線定位器,強磁吸附且超長待機。
2023年,安徽碭山網警破獲了一起非法獲取電腦資訊系統數據,侵犯公民個人資訊的案件。犯罪分子的突破口,就是全國數千個智慧停車服務系統中的數據介面漏洞。據安徽省碭山縣公安局網安大隊偵查中隊中隊長余天龍介紹,全國主流的這些停車場系統,它們都有一個問題是任何一個人都可以為任何一個車輛去繳費。透過批次地在這些停車場系統裏面進行模擬繳費,獲取返回值進行解析,就可以確定某一台車是不是在某一個停車場系統裏面。
據警方介紹,不法分子透過互聯網接單,幫助客戶尋找指定車輛。在實施犯罪的過程中,正是利用了停車小程式數據介面上的漏洞。之後,短則幾分鐘,貼手就會找到指定車輛,貼上GPS追蹤器。據警方資料顯示,貼手每貼一輛車能獲利800元到1000元。那些位於上遊的入侵停車場數據系統的不法分子更是獲利不菲。
這起案件中,安徽碭山網警成功打掉了這個非法獲取售賣停車數據的犯罪團伙,抓獲犯罪嫌疑人32名,查封遠端伺服器9台、關鍵指令碼程式5套、車輛位置數據50余萬條。
蘆雲律師向記者介紹,案件中犯罪分子的行為涉嫌非法侵入電腦資訊系統,或者是非法獲取電腦資訊系統數據這樣的罪名,那麽同時也有可能涉嫌侵犯公民個人資訊罪。
2024年10月,法院判決該案系列被告人犯侵犯公民個人資訊罪,判決有期徒刑二年至四年不等。
點餐、辦卡、訂酒店……你的個人資訊根本藏不住
就連醫院驗血的結果別人也能隨意檢視
眼下,騷擾電話和各類騷擾資訊一直是困擾廣大消費者的一個問題。最值得註意的是這些推銷對消費者的選擇,也異常精準。中國電子技術標準化研究院網安中心的何延哲表示,問題就出在API上,它也被稱為應用程式介面,其中與開放、傳輸數據相關的則被稱為數據介面。
購買機票時,輸入起點、終點的輸入框就是一個介面。消費者進一步點選某個航班,此時這個網頁連結,也是一個數據介面。消費者獲得服務的過程就是一個個數據介面透過不斷與後台進行數據互動來實作的。專家告訴記者,眼下消費市場上的網站和應用程式上,存在著海量的數據介面。僅一個簡單的App套用,平均就擁有成百上千個數據介面,一個小型平台,就可能擁有上萬個數據介面。恰恰是這些承載著海量數據流轉和互動的數據介面正是不法分子眼中的薄弱環節,也逐步成為他們主要攻擊的目標。
【財經調查】的記者會同網絡安全技術專家,針對不同消費場景中數據介面的使用情況進行了一系列即時測試和深入調查。技術測試分為三步:
測試場景1:咖啡茶飲店的手機點餐
測試結果:專家僅僅使用最基礎的解碼程式,就輕而易舉地從小程式的數據介面返回的封包中,獲取了記者下單消費的完整且沒有加密的後台數據。這家咖啡店的網絡小程式數據介面授權不嚴密,導致任意人員能輕易獲取該企業數據庫中使用者的個人資訊,比如手機號。
測試場景2:運動健身購買月卡
測試結果:專家僅僅使用最基礎的解碼程式,就順利透過了該小程式數據介面的使用者身份校驗,毫無阻攔地就拿到了完整且未加密的使用者資訊。這其中包括身高、體重、職業、生日等敏感資訊。
測試場景3:生活服務-洗衣店
測試結果:這家企業的小程式介面存在一個非常明顯的漏洞:當消費者查詢的訂單號為空的時候,該介面就會返回數據庫中所有訂單的資訊,這幾乎讓程式平台裏的整個使用者資訊都存在極大的泄露風險。敏感資訊包括手機號、姓名和居住地址。
測試場景4:酒店訂房
測試結果:這個小程式的介面雖然做了一定的加密措施,但是由於生成的訂單號非常有規律,專業人員可以根據規律構造查詢指令,也可以很輕易地檢視到指定日期的所有訂單資訊。
測試場景5:醫療資訊
測試結果:該醫院的小程式也屬於查詢介面授權機制不完善。查詢所有患者的化驗報告應該要管理員許可權才能存取,但是透過這個介面,用普通賬號也能查詢,醫院的小程式在許可權等級辨識上根本就沒有設定任何障礙。