13年網安從業者的無奈：「隐私就是一種幻想」

今天小編分享的财經經驗：13年網安從業者的無奈：「隐私就是一種幻想」，歡迎閲讀。

文 | 鏡相工作室，作者 | 周近嶼，編輯 | 盧枕

在網絡安全領網域從業 13 年，面對個人信息泄露，盧聖龍多次提到 " 無力感 "。

他是一家網絡安全公司安全實驗室的負責人，工作之一是作為授權黑客，測試一些部門或公司的網絡安全，他們經常輕易拿到很多企業的内部數據；他的個人信息遭遇過泄露；我們習慣将個人信息交付給各個 APP 和小程式，但 " 大家對于數據的流向沒有知情權 "。

對此，他有一種深深的無力感：我很注重隐私安全，想保護隐私，但我的信息在很多企業的伺服器裏，你還得寄期望于存放數據的這些公司能保護好它們。

聊天過程中，盧聖龍在五秒鍾之内查到了我的身份證信息，以及一個十年前的、詳細到門牌号碼的住址。" 剛才我沒有花精力調查你，沒有花錢查詢，我就做了一個檢索。因為有人将之前所有泄露過的信息進行收集，免費或付費提供查詢服務，甚至泛濫到包括很基礎的信息。"

我們是如何在不經意間成為一個透明人的？是誰偷走了我們的隐私？個人信息如何成為地下論壇的商品？背後是怎樣一個龐大又隐秘的市場？

以下為盧聖龍的講述：

" 黑產團隊對深度偽造的利用，可能是會爆發的一點 "

從業經歷中，我印象最深的信息泄露事件是發生在 2011 年的 CSDN 數據泄露。

有兩個原因。首先，這件事和我的生活和工作強相關，它是一個技術論壇，用户都是像我一樣的 IT 人。當時，我的信息也被泄露了，對我的生活有很大影響，那段時間，我瘋狂改密碼、改賬户昵稱、更換郵箱。

第二個原因是，黑產團隊發現，原來數據有這麼大價值，後續引起了一連串數據泄露事件。

我個人認為，數據泄露開始泛濫就是從 "CSDN 事件 " 開始，至今過了 14 年，我可以從影響層面對數據泄露的現狀做一個概括。

第一，規模越來越大。CSDN 泄露的數據有數百萬，後來天涯論壇信息泄露時，有數千萬的數據，國外一些機構甚至涉及上億數據泄露。

2016 年，京東數據泄露，有 12G 左右的一個壓縮包流通售賣，包括用户的名稱、電話号碼、注冊郵箱、密碼，有些有身份證信息，還有購買商品的收件人信息。這是一件影響非常惡劣的事情，直到今天，你在很多所謂的 " 開盒 " 工具裏能查到個人信息，可能很多就來自于當初的京東數據泄露事件。（注：開盒是指公開曝光他人隐私的行為，是一種網絡暴力。）

第二，頻率在增加，幾乎每年都有多起數據泄露的事件被曝光。

第三，泄露的方式越來越多樣化了。剛開始，主要是黑客攻擊，後來擴展到内部人員作案，現在還發展出一些新的攻擊手法，比如通過公鏈攻擊獲取數據。

第四，危害程度和影響範圍也越來越大。比如京東的數據泄露更多受影響的是個人，後來擴展到企業層面，比如針對企業的勒索攻擊；現在很多機構甚至政府部門，也會面臨數據泄露的問題。大量的信息泄露，危害和影響範圍就會上升到社會層面，增加社會治理成本，削弱公眾對社會機構的信心。

現在，随着 AI 的發展，黑產團隊也在應用相關技術。

有些黑產團隊已經在使用 AI 做數據的關聯和分析。比如通過 AI 打标籤、出詐騙劇本。另外的一種可能，是通過 AI 發現安全漏洞，但我感覺在短期内還不太可能發生，可能未來有這個趨勢。

對于黑產團隊來説，AI 目前主要是提高效率，技術手段還沒有特别多的創新。但黑產團隊對深度偽造的利用，可能是會爆發的一點，如果黑產團隊有你的人臉信息，和其他足夠多的數據，可以生成足夠逼真的視頻或音頻詐騙。

當然，技術的發展也會驅動網絡安全的 AI 化建設，可以相應提高安全防護水平。在我們領網域，相信魔高一尺道高一丈。有一句話叫沒有絕對安全的系統，網絡攻防的對抗，本質是成本的對抗，我們建設網絡安全體系，目的不是保證系統 100% 安全，是阻止那些低水平的攻擊者，繼續投入，就能阻止中水平的攻擊者。我們投入防守，是去提高攻擊者的攻擊成本。

最容易被盯上的四類人群

泄露的個人信息大概可以分為五類。

最常見的是基礎信息，姓名、地址、身份證等；其次是應用數據，有很多企業會對用户做分析打标籤，比如喜歡吃什麼食物、消費水平怎麼樣、有怎樣的資產，這些标籤數據就屬于應用數據。還有設備信息，比如手機設備的數據；還有網絡信息，包括 IP 信息；還有就是關聯出來的家庭、好友圈信息等。

個人信息在買賣環節是明碼标價的，價格高低在于它的價值、數據完整程度，以及新鮮度等。

帶有行業屬性的信息比較值錢。金融數據有很高價值；投資網站泄露的信息，價格也會高一些，比較新的數據一條可能賣到幾塊錢。你肯定有錢才想去投資，對于詐騙的人來説，是比較好的目标。

另外就是外賣或者快遞數據，因為含有地址信息。大多數的信息注冊需要姓名、身份證、手機号，但不需要住址，所以這個信息相對來説比較稀缺。

地址有很多應用場景。比如説催收需要你的地址信息，網絡暴力需要地址信息，詐騙也需要地址信息。之前有一種詐騙，中秋節給你寄一張蟹卡，需要掃碼綁定一些信息，然後把你的錢轉走。

如果單純是姓名、身份證等基礎信息，就不太值錢，黑產團隊需要對這些數據進行深度挖掘才能拿來所用，這樣的數據幾萬條可能就幾塊錢。

我曾經見到過一份來自貸款網站的數據，它包含了姓名、身份證正反面，手持照片人臉識别的認證視頻，包括念數字認證的聲音。這種數據賣得貴一些，一條可能要十幾二十塊。每個人的聲紋和人臉是具有唯一性的生物數據，他們可能會利用 AI 技術做人臉替換。

個人信息泄露之後，大多會用在這些場景：

一個是營銷，比如我們買房後收到裝修電話。

還有詐騙，冒充你的領導讓你轉錢。詐騙的很多場景是基于泄露的數據做的畫像構造，然後設定劇本，這樣的話成功率要高很多。

第三是競争對手；第四是個人，比如 " 人肉開盒 "，對應的是網絡暴力。

從信息泄露的主體來看，企業數據泄露是最多的，包含了我們常用的互聯網工具的公司；醫療機構、教育機構信息泄露相對來説也比較多；還有第三方的服務提供商。之前，有一份大概上億條的外賣訂單地址的數據泄露，泄露的源頭就是第三方的配送商。

企業、醫療、教育和供應鏈，有一個共同點，他們不像金融機構、大型互聯網公司在安全投入方面這麼高，甚至有些第三方的服務提供商，幾乎沒有網絡安全建設。

從工作經驗來看，有四類人群的個人信息最容易被盯上。

第一類是高淨值人群，對于詐騙團夥或者推銷人員來説，都意味着很高價值。

第二類是在校學生，個人防護意識和能力比較弱，對于詐騙團隊來説是比較好下手的對象。

第三類是老年人，對應保健品推銷和詐騙。老人對于互聯網技術了解的不多，容易受騙；也有相當的經濟能力。

最後是患者信息，這也是比較高危的信息，因為大家都很在乎身體健康，對于黑產團隊來説，價值就比較高。

個人信息買賣產業鏈的上中下遊

個人信息泄露背後是一門生意，這個產業鏈條可以分為上遊、中遊和下遊。

上遊是黑客和 " 内鬼 "。他們以批發或零售的形式快速獲利。

黑客群體也分三六九等，初級和中級黑客廣撒網，可能一次性攻擊 1000 家或者 1 萬家公司，高級黑客就選 3 到 5 家有價值的定向攻擊。

還有被業内稱為 " 腳本小子 " 的黑客，這些人不懂攻擊原理，也不懂漏洞挖掘，只會用開源工具對一些幾乎沒有防護的網站進行傻瓜式攻擊。" 腳本小子 " 的組成非常混亂，有社會不良分子，甚至有初中生、高中生，他們對黑客技術沒興趣，只想掙錢。

現在很尴尬的一點是，有很多以往的安全防護人員，因為一些原因，在做攻擊類型的黑產。我之前團隊的一個兄弟離職之後，去了國外，我從其他渠道獲知，他就在做黑產相關工作。我當時很吃驚，曾經身邊很鮮活的一個人，讓我有些捉摸不透。

其實做技術，多多少少會對技術有敬畏，你知道什麼事做了之後就很難回頭了。

随着個人、社會等各個層面對數據安全的重視，我覺得 " 内鬼 " 是現在數據泄露源頭在增長的重要原因。

我們常見的很多信息都是内部人員泄露的。比如酒店相關的業務人員，有查詢開房記錄的權限，有可能一次查詢收費大幾百塊、一兩千塊，包括一些可以查資產信息、婚姻信息的人員。

我覺得這些人都不是很高職位，大多來自業務一線。我之前看到過新聞，有輔警查個人信息，有車管所的人往外傳遞新車的注冊信息。甚至房產售樓處的人也有可能成為 " 内鬼 "，大家買房後經常接到各種電話，深受其害。

從行業上來分，掌握個人信息的行業裏都有可能有内部人員做這樣的事情，酒店、外賣、快遞、行政機關的工作人員等等。根據經驗，酒店行業 " 内鬼 " 相對多一些，可能查詢的需求會比較強烈，還有就是有辦法接觸到户籍信息的行業。

暗網裏面售賣源頭信息的這些人，會提供快查和慢查服務。慢查基本就是 " 内鬼 " 去查，他們絲毫不會掩飾 " 内鬼 " 這件事情，會把 " 内鬼 " 作為宣傳的手段和獲客能力。

中遊分為信息加工者和數據分銷者，兩者也可能是一體的，主要賺取信息差。他們将買到的數據清洗和整合，提高數據的價值，也可能針對下遊需求向上遊定制數據。打個比方，如果上遊是菜市場，下遊是消費者，中遊就是飯館，起到一個烹饪的角色。

上遊隐匿性很強，很難溯源。中遊相對來説更好定位，但中遊現在基本都是通過數字貨币進行分銷，如果反偵察意識足夠高的話，也很難定位到他的信息了。

下遊就是信息購買者和使用者，比如常見的詐騙團夥，發垃圾短信的營銷公司，獲取商業情報做不正當競争的對手。還有就是個人，主要的目的可能是想追蹤某個人、報復某個人，或者網絡暴力。

" 大家都在賭，賭我不會被攻擊 "

有一種觀點認為，信息泄露和個人或社會層面對隐私的漠視有關，我是不認同的。以我個人為例，我很注重隐私安全，但是我的信息泄露的也很多，我想去保護隐私，但是我做不到。

我的信息托管在很多公司的伺服器中，自己肯定是自己數據的第一責任人，但是你保護好的同時，還得寄期望于存放數據的這些部門或公司。所以説，我有一種無力感。

我在點外賣、寄快遞的時候起一個不是真名的名字，比如京東收件人叫盧京東，淘寶叫盧淘寶，如果有人打電話問是不是盧淘寶，我知道是在淘寶泄露的。有些軟體我也會用小号登錄，其實背後就是一種無奈和無力。

現在 APP 收集個人信息，我認為是過度收集違規收集的。我們使用的這些 APP，有一個隐私收集協定，标明了會獲取哪些數據，那個很長，好多頁，很多人可能不太會去關注。

個人隐私保護很大的一個痛點，就是大家對于數據的流向沒有知情權，不清楚你的數據做什麼用了，比如輸入法數據，或者一些聊天數據可能會被用來做大數據的推廣。

關于信息泄露的治理，其實我們國家一直在出台一些法律，比如《網絡安全法》、《個人信息保護法》，還有《數據安全法》，包括近兩年數據安全的需求也越來越大，總體來看肯定是向好的。

但是屢禁不止的原因主要有這麼幾個：

數據泄露很難監控。比如企業不會主動上報，不會通知用户，你不知道他的數據泄露了。比如有些數據可能在暗網流通，但也有可能沒有到外部渠道，他們内部就有流轉需求，等數據流通出來，可能是兩年或者三、四年之後了。

從企業安全治理來説，國内很多公司對于數據安全的投入還不大，很多企業甚至剛開始做基礎安全，它都沒有安全部門，甚至對于安全漠不關心。安全是一個成本部門，不是盈利部門，大家都在賭，賭我不會被攻擊，賭我今年不花這錢也沒什麼影響。他們的意識也不高，甚至很多企業會把我們的數據當做一種商品，拿來售賣或者加工。

這裏還要提一下暗網，它是導致信息泄露更泛濫、治理難度加劇的一個重要原因。

伴随着加密貨币的興起，交易環節開始遷移到暗網。它是匿名化的，想要追蹤交易者的身份，成本很高；它有一定的技術壁壘；另外，交易很復雜，可能涉及很多國家，法律監管和執法協作相對來説也比較困難。

在我十幾年的從業經歷中，個人信息泄露之後，我從沒有見過維權的案例。我知道數據泄露不好，但也知道沒有辦法，維權成本太高，就是剛才提到的那種無力感。

現在的生活很智能化，我們的數據不停地在各種 APP 流轉。有人提過一個觀點，隐私就是一種幻想，我現在是認可這句話的。大家一定要有意識，不必要的權限不開，盡量避免太多的信息被收集。我電腦裏很多軟體，如果我認為它沒必要聯網，會用防火牆軟體禁止聯網；我基本不會把通訊錄授權給他們。作為個人，只能盡量減少暴露的可能性。