身份證查詢姓名帶照片（信息數(shù)據(jù)從何處泄露？）

2023-02-02 15:33:05來源：互聯(lián)網

由姓名查身份證號（身份證查詢姓名帶照片）

近期，微博發(fā)生用戶數(shù)據(jù)泄露事件，引發(fā)監(jiān)管層問詢約談。新京報記者調查發(fā)現(xiàn)，實際上，被泄露的不止微博用戶數(shù)據(jù)，在黑灰產交易平臺上還可以查詢到QQ、貼吧甚至LOL游戲賬號的用戶數(shù)據(jù)信息。“人肉搜索”已經成為了一門灰色生意，花250元甚至可以根據(jù)名字查到你的戶口簿信息。

新京報記者發(fā)現(xiàn)，根據(jù)平臺、賣家不同，“人肉搜索”的種類、價格也從數(shù)百元到數(shù)千元不等，而這些信息均來自于黑灰產人士用于儲備個人信息的“社工庫”。

(相關資料圖)

“社工庫是長期存在于黑市里的數(shù)據(jù)，來源很廣泛，有各種信息泄露事件中積累的個人信息，也有從爬蟲網絡上找得到的一些其他信息。社工庫及人肉搜索行為觸犯了《網絡安全法》及其他有關法律、行政法規(guī)關于個人信息保護的規(guī)定。但對其的打擊難點在于，這些庫很多都是歷史信息，已經流轉多次，很難追尋源頭并封堵。”3月27日，梆梆安全高級咨詢專家貝松濤對新京報記者表示。

數(shù)據(jù)從何處泄露？

微博：手機號碼不來源于微博專家：泄露來自社工庫

3月19日，微博被曝發(fā)生數(shù)據(jù)泄露。默安科技CTO魏興國發(fā)布一條微博（目前已刪除）稱，通過技術查詢發(fā)現(xiàn)不少人手機號已經泄露。3月20日，新京報記者調查發(fā)現(xiàn)，在多個網絡平臺上確實出現(xiàn)了相關的數(shù)據(jù)買賣，只要繳費即可通過微博賬號查詢到用戶的手機號碼及其他更詳細個人私密信息。

對于這次用戶數(shù)據(jù)泄露，微博方面對新京報記者表示，外部流傳的“微博用戶資料庫”中的手機號碼并不來源于微博，而是黑客從其他渠道非法獲取，再通過微博相關接口批量上傳手機通訊錄匹配賬號昵稱。黑客同時利用非法獲取的手機號在其他渠道獲取信息，組成所謂的“微博用戶資料庫”對外出售。

3月24日，工信部在官網發(fā)布消息稱，針對媒體報道的新浪微博因用戶查詢接口被惡意調用導致App數(shù)據(jù)泄露問題，工業(yè)和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談，要求其按照《網絡安全法》《電信和互聯(lián)網用戶個人信息保護規(guī)定》等法律法規(guī)要求，對照工信部等四部門制定的《App違法違規(guī)收集使用個人信息行為認定方法》，進一步采取有效措施，消除數(shù)據(jù)安全隱患。并要求微博盡快完善隱私政策，規(guī)范用戶個人信息收集使用行為，強化用戶查詢接口風險控制等安全保護策略等。

新京報記者注意到，工信部與微博都提到了“接口”。那么，什么是“接口”？其在此次信息泄露中起到了什么作用呢？

貝松濤表示，App的用戶查詢接口指的是一個應用系統(tǒng)可能開放了某個API（應用程序接口），來做個人信息的查詢，這種API很關鍵，需要加強安全保護。對發(fā)起的請求方做身份驗證，IP地址鑒別、證書校驗都是可選的安全方式。

熟悉黑產運作方式的人士李環(huán)（化名）告訴記者，使用App賬號反查用戶身份的一個關鍵環(huán)節(jié)是，取得賬號與注冊手機號的對應關系，此后再通過手機號與身份證的對應關系確定用戶身份，其中，手機號與身份的對應關系并非App泄露，但賬號與手機號的對應關系極有可能是通過App開放的接口獲得。

李環(huán)舉例稱，此前微博與脈脈就曾因接口問題“鬧崩”：脈脈在和微博合作期間，脈脈用戶可以在該App的“一度人脈”功能中直接看到非脈脈用戶的微博頭像和名稱，這正是微博向脈脈開放了其API接口。后來微博提起訴訟，認為脈脈存在非法抓取、使用微博用戶信息，非法獲取并使用脈脈注冊用戶手機通訊錄聯(lián)系人與微博用戶的對應關系等行為，雙方對簿公堂，最終微博方面勝訴。

此外，新京報記者發(fā)現(xiàn)包括微博在內，不少App都會要求用戶開啟通訊錄權限。對此，貝松濤表示，開啟通信錄權限只是獲取用戶的聯(lián)系人信息，和賬號與手機號對應本身沒有必然關系。但是通過獲取聯(lián)系人信息，得到了手機號和姓名的對應，黑客再根據(jù)姓名-賬號庫就可以把這些信息關聯(lián)起來?！八垣@取通訊錄權限可能會助漲這樣的泄露事件發(fā)生?！?/p>

有安全人士稱，此次微博數(shù)據(jù)泄露事件與用戶通訊錄權限的關系不大，用戶手機號與用戶真實身份的聯(lián)系并非從微博泄露，而是來源于已有的“社工庫”，真正需要微博負責的可能就是其對接口的安全保護策略。

在被工信部約談后，微博表示，公司高度重視數(shù)據(jù)安全和個人信息保護，針對此次事件已采取了升級接口安全策略等措施，后續(xù)將按照工信部要求，落實企業(yè)數(shù)據(jù)安全主體責任，切實做好用戶個人信息保護工作。

貝松濤表示，賬號和手機號的對應關系，可以由任何一次信息泄露事件引發(fā)，例如過去發(fā)生過的華住泄露事件。而一個人通常都是用同樣的賬號和手機號來注冊多個信息系統(tǒng)。

源頭“社工庫”？

100元買4G郵箱數(shù)據(jù)，70億條數(shù)據(jù)叫價2萬

那么，包括微博在內的各個平臺，其泄露的數(shù)據(jù)是如何與用戶真實身份聯(lián)系起來的呢？

3月20日至3月27日，新京報記者在多個黑灰產平臺調查發(fā)現(xiàn)，提供姓名查詢身份證，或提供App賬號查詢對應手機號碼的業(yè)務已經形成了產業(yè)鏈，而根據(jù)平臺、賣家的不同，這類“人肉搜索”的價格也不盡相同。

如有黑灰產賣家提供“全自動”的人肉搜索服務，買家只要支付320元成為VIP就可以享受該人肉搜索服務，服務內容包括查詢微博、QQ、貼吧、LOL游戲賬號的對應手機號等信息。

3月20日，新京報記者為調查向黑產人士購買了價值約12元人民幣的積分，獲得了201條微博用戶信息，其中不少信息包括用戶身份證號、手機號、密碼、生日等私密信息。對于其提供的微博定向查詢手機號服務，記者測試查詢了3個已綁定手機的微博賬號，結果有2個微博賬號顯示為正確的關聯(lián)手機號碼，其中1個還給出了微博綁定的QQ等更詳細的信息，另一個微博賬號的查詢結果顯示“無信息”。

李環(huán)告訴記者，能夠查詢到的信息均來自于該群組的“社工庫”，而無法查詢到的信息即該“社工庫”尚未收集到的信息。令人驚訝的是，該社工庫數(shù)據(jù)量極其龐大，記者隨機查詢了10條身份信息，均指向了正確的結果。

“黑灰產人士在這方面‘深耕’越久，數(shù)據(jù)量就越大，若有足夠耐心的黑灰產人士將歷史上各個時期泄露的數(shù)據(jù)都予以收集，其‘社工庫’的數(shù)據(jù)量會達到驚人的地步?！绻臁膿碛姓咄侨巳馑阉鳟a業(yè)鏈的上游，不少數(shù)據(jù)掮客、私家偵探等查用戶賬號密碼或查開房記錄時，其實都是從這些‘社工庫’中購買信息，再加價對客戶進行‘二倒手’售賣?！崩瞽h(huán)表示。

3月25日，新京報記者從多個網絡平臺上搜索到不少直接售賣社工庫數(shù)據(jù)的黑灰產項目，價格從50元到2萬元不等。其中，一個售價100元的“老密郵箱數(shù)據(jù)庫”信息，足足有4個G，里面全部都是曾經泄露過的用戶郵箱地址及密碼。對于這些數(shù)據(jù)的來源，賣家表示是“網上收集”的。

記者瀏覽到的數(shù)據(jù)量最大的是一個號稱包括70億有效數(shù)據(jù)的“已知全部泄露數(shù)據(jù)庫”。賣家聲稱該數(shù)據(jù)庫內含28.93億條郵箱信息，4.26億條身份證信息，8.27億條手機信息，售價2萬元人民幣。

號稱有70億條數(shù)據(jù)的社工庫售價2萬元。

貝松濤表示，社工庫是長期存在于黑市里的數(shù)據(jù)，來源很廣泛，有各種信息泄露事件中積累的個人信息，也有從爬蟲網絡上找得到的一些其他信息?！斑@些庫很多都是歷史信息，已經流轉多次，很難追尋源頭并封堵?！?/p>

在“社工庫”下游的，就是依托社工庫查詢各類私人信息的人肉搜索黑產。

在各類黑灰產平臺中，記者發(fā)現(xiàn)由于直接購買社工庫的海量數(shù)據(jù)價格昂貴，最為活躍的交易是人肉搜索。

如在某黑產相關的QQ群中，有人咨詢已知身份證號查詢開房記錄，有賣家報價2000元，而同等的“業(yè)務”在某平臺上一般報價700至1000元。對已知姓名查詢戶口簿頁面的“查全戶”業(yè)務，網上報價則在250元至400元不等。面對不同的買家，同一個賣家也經常抬價。

黑產人士表示250元可以提供戶口信息。

3月26日，記者使用某平臺發(fā)現(xiàn)，可通過姓名直接查詢到身份證號，花費固定為123元。而若使用社交平臺賬號查手機號服務，其會根據(jù)該賬號關聯(lián)到精確信息進行報價，例如查詢微博數(shù)據(jù)，若只能關聯(lián)到手機號碼信息，其收費37元，若還能關聯(lián)到QQ號等其他信息，則收費98元。

北京盈科(杭州)律師事務所律師方超強對新京報記者表示，非法獲取，買賣或者向他人提供公民個人信息情節(jié)嚴重的，構成侵犯公民個人信息罪。達到情節(jié)嚴重的，可處以三年以下有期徒刑；達到情節(jié)特別嚴重的，可以處三年以上七年以下有期徒刑?！爱斎?，并非所有與個人有關的信息都屬于構成該罪的信息，必須是能夠結合識別特定個人的信息，如果是處理過的，無法識別特定個人且不能復原的信息則不屬于?！?/p>

貝松濤則表示，社工庫主要觸犯了《網絡安全法》，例如第二十二條：網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序等規(guī)定；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定。

根據(jù)國家計算機網絡應急技術處理協(xié)調中心提供的數(shù)據(jù)，近年來，攻擊篡改、植入后門、數(shù)據(jù)竊取等危害互聯(lián)網網站安全的行為呈現(xiàn)快速增長趨勢。國家計算機網絡應急技術處理協(xié)調中心抽樣監(jiān)測發(fā)現(xiàn)，2019年前4個月我國境內被植入后門的網站10010個，同比增長22.5%，由于運營者安全配置不當，很多數(shù)據(jù)庫直接暴露在互聯(lián)網上，導致大量用戶個人信息泄露。

新京報記者注意到，對違法違規(guī)買賣個人信息的網絡黑產，政府一直采取嚴厲打擊的態(tài)度。如中央網信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門于2019年5月至2019年12月聯(lián)合開展全國范圍的互聯(lián)網網站安全專項整治工作，專項治理期間，各地通信管理局、公安機關將根據(jù)《網絡安全法》，對落實網絡安全義務不到位，發(fā)生網頁篡改、被植入后門木馬、大量公民個人信息被竊取等網絡安全事件，以及存在非法獲取、出售或提供個人信息等行為的網站，依據(jù)情節(jié)嚴重程度，采取約談主要負責人、停業(yè)整頓、關閉網站、注銷備案等措施并公開曝光，涉企行政處罰信息將依法納入市場監(jiān)管總局國家企業(yè)信用信息公示系統(tǒng)予以公示。

標簽：個人信息