央视财经客户端
消费者在享受数字化时代带来的便利时,个人信息也不可避免地留存在了不同的服务平台上。每年盗取、滥用个人敏感信息的犯罪事件并不罕见,到底是谁在背后收集这些数据?这些数据又是怎么流出的?《财经调查》起底非法贩卖个人信息黑色产业链条。院内的灶台前,陶罐内白色汁液沸腾,奶香扑鼻,他正在熬煮兽奶,此外不时将一些药草等投放进去,以木勺慢慢搅动。
日常停车竟能暴露公民敏感信息?!
这几年,市场上一种被称为“智慧停车”的新业态应运而生。它依托于物联网和大数据技术,覆盖各种类型的停车场,大大提升了居民出行的便利度。停车信息包括了车辆进入和离开某个地点的完整闭环,属于《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。智慧停车,很智慧,但是够安全吗?
总台记者对北京两个采用了“智慧停车”系统的停车场进行了技术检测。驾驶员将车驶入停车场,远在几公里外的专业技术人员,输入车辆的车牌号后,无需身份验证,轻而易举就获得了车辆所在停车场、车辆入场时间等敏感信息。
在记者采用同样的方式测试第三个“智慧”停车场时,并没有直接显示出车辆的敏感信息,但经过技术专家的辨别,发现该停车场只是没有在前台显示信息,后台实际上有了应答,返回的数据包里同样有着车辆敏感信息。专家告诉记者,这样的招数只能让消费者不能直接看到。但是,不法分子依然能轻易获取这些敏感的个人信息。“噢,居然有土龙肉,给我一块” 这些孩子都很活泼与好动,即便吃饭时也都不太老实,不少人抱着陶碗从自家出来,凑到了一起。
2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定:
犯罪分子利用停车信息追踪社会车辆
违法安装跟踪器,对公民人身安全造成巨大隐患
犯罪分子的聊天群里每天在滚动发布着各种车辆的实时停车信息,包括了车牌号、停车场具体地址、进场时间等等。
被犯罪分子“盯上”的车辆一旦进入停车场,显示在群里,几十分钟之内,就会被装上GPS无线定位器,强磁吸附且超长待机。
2(2)02(2)3(3)年(nian)安(an)徽(hui)砀(dang)山(shan)网(wang)警(jing)破(po)获(huo)了(le)一(yi)起(qi)非(fei)法(fa)获(huo)取(qu)计(ji)算(suan)机(ji)信(xin)息(xi)系(xi)统(tong)数(shu)据(ju)侵(qin)犯(fan)公(gong)民(min)个(ge)人(ren)信(xin)息(xi)的(de)案(an)件(jian)犯(fan)罪(zui)分(fen)子(zi)的(de)突(tu)破(po)口(kou)就(jiu)是(shi)全(quan)国(guo)数(shu)千(qian)个(ge)智(zhi)慧(hui)停(ting)车(che)服(fu)务(wu)系(xi)统(tong)中(zhong)的(de)数(shu)据(ju)接(jie)口(kou)漏(lou)洞(dong)据(ju)安(an)徽(hui)省(sheng)砀(dang)山(shan)县(xian)公(gong)安(an)局(ju)网(wang)安(an)大(da)队(dui)侦(zhen)查(zha)中(zhong)队(dui)中(zhong)队(dui)长(chang)余(yu)天(tian)龙(long)介(jie)绍(shao)全(quan)国(guo)主(zhu)流(liu)的(de)这(zhe)些(xie)停(ting)车(che)场(chang)系(xi)统(tong)它(ta)们(men)都(dou)有(you)一(yi)个(ge)问(wen)题(ti)是(shi)任(ren)何(he)一(yi)个(ge)人(ren)都(dou)可(ke)以(yi)为(wei)任(ren)何(he)一(yi)个(ge)车(che)辆(liang)去(qu)缴(jiao)费(fei)通(tong)过(guo)批(pi)量(liang)地(di)在(zai)这(zhe)些(xie)停(ting)车(che)场(chang)系(xi)统(tong)里(li)面(mian)进(jin)行(xing)模(mo)拟(ni)缴(jiao)费(fei)获(huo)取(qu)返(fan)回(hui)值(zhi)进(jin)行(xing)解(jie)析(xi)就(jiu)可(ke)以(yi)确(que)定(ding)某(mou)一(yi)台(tai)车(che)是(shi)不(bu)是(shi)在(zai)某(mou)一(yi)个(ge)停(ting)车(che)场(chang)系(xi)统(tong)里(li)面(mian)
据(ju)警(jing)方(fang)介(jie)绍(shao)不(bu)法(fa)分(fen)子(zi)通(tong)过(guo)互(hu)联(lian)网(wang)接(jie)单(dan)帮(bang)助(zhu)客(ke)户(hu)寻(xun)找(zhao)指(zhi)定(ding)车(che)辆(liang)在(zai)实(shi)施(shi)犯(fan)罪(zui)的(de)过(guo)程(cheng)中(zhong)正(zheng)是(shi)利(li)用(yong)了(le)停(ting)车(che)小(xiao)程(cheng)序(xu)数(shu)据(ju)接(jie)口(kou)上(shang)的(de)漏(lou)洞(dong)之(zhi)后(hou)短(duan)则(ze)几(ji)分(fen)钟(zhong)贴(tie)手(shou)就(jiu)会(hui)找(zhao)到(dao)指(zhi)定(ding)车(che)辆(liang)贴(tie)上(shang)G(G)P(P)S(S)追(zhui)踪(zong)器(qi)据(ju)警(jing)方(fang)资(zi)料(liao)显(xian)示(shi)贴(tie)手(shou)每(mei)贴(tie)一(yi)辆(liang)车(che)能(neng)获(huo)利(li)8(8)00元(yuan)到(dao)1(1)000元(yuan)那(na)些(xie)位(wei)于(yu)上(shang)游(you)的(de)入(ru)侵(qin)停(ting)车(che)场(chang)数(shu)据(ju)系(xi)统(tong)的(de)不(bu)法(fa)分(fen)子(zi)更(geng)是(shi)获(huo)利(li)不(bu)菲(fei)
这起案件中,安徽砀山网警成功打掉了这个非法获取售卖停车数据的犯罪团伙,抓获犯罪嫌疑人32名,查封远程服务器9台、关键脚本程序5套、车辆位置数据50余万条。
芦云律师向记者介绍,案件中犯罪分子的行为涉嫌非法侵入计算机信息系统,或者是非法获取计算机信息系统数据这样的罪名,那么同时也有可能涉嫌侵犯公民个人信息罪。
2(2)02(2)4(4)年(nian)1(1)0月(yue)法(fa)院(yuan)判(pan)决(jue)该(gai)案(an)系(xi)列(lie)被(bei)告(gao)人(ren)犯(fan)侵(qin)犯(fan)公(gong)民(min)个(ge)人(ren)信(xin)息(xi)罪(zui)判(pan)决(jue)有(you)期(qi)徒(tu)刑(xing)二(er)年(nian)至(zhi)四(si)年(nian)不(bu)等(deng)
点餐、办卡、订酒店,你的个人信息根本藏不住
就连医院验血的结果别人也能随意查看
眼下,骚扰电话和各类骚扰信息一直是困扰广大消费者的一个问题。最值得注意的是这些推销对消费者的选择,也异常精准。中国电子技术标准化研究院网安中心的何延哲表示,问题就出在API上,它也被称为应用程序接口,其中与开放、传输数据相关的则被称为数据接口。
购买机票时,输入起点、终点的输入框就是一个接口。消费者进一步点击某个航班,此时这个网页链接,也是一个数据接口。消费者获得服务的过程就是一个个数据接口通过不断与后台进行数据交互来实现的。专家告诉记者,眼下消费市场上的网站和应用程序上,存在着海量的数据接口。仅一个简单的App应用,平均就拥有成百上千个数据接口,一个小型平台,就可能拥有上万个数据接口。恰恰是这些承载着海量数据流转和交互的数据接口正是不法分子眼中的薄弱环节,也逐步成为他们主要攻击的目标。
记者会同网络安全技术专家,针对不同消费场景中数据接口的使用情况进行了一系列实时测试和深入调查。技术测试分为三步:
——测试场景1:咖啡茶饮店的手机点餐
测试结果:专家仅仅使用最基础的解码程序,就轻而易举地从小程序的数据接口返回的数据包中,获取了记者下单消费的完整且没有加密的后台数据。这家咖啡店的网络小程序数据接口授权不严密,导致任意人员能轻易获取该企业数据库中用户的个人信息,比如手机号。
——测试场景2:运动健身购买月卡
测试结果:专家仅仅使用最基础的解码程序,就顺利通过了该小程序数据接口的用户身份校验,毫无阻拦地就拿到了完整且未加密的用户信息。这其中包括身高、体重、职业、生日等敏感信息。
——测试场景3:生活服务
测试结果:这家企业的小程序接口存在一个非常明显的漏洞:当消费者查询的订单号为空的时候,该接口就会返回数据库中所有订单的信息,这几乎让程序平台里的整个用户信息都存在极大的泄露风险。敏感信息包括手机号、姓名和居住地址。
——测试场景4:酒店订房
测试结果:这个小程序的接口虽然做了一定的加密措施,但是由于生成的订单号非常有规律,专业人员可以根据规律构造查询指令,也可以很轻易地查看到指定日期的所有订单信息。
——测试场景5:医疗信息
本期编辑 邢潭