| 加入桌面 | 手機版
免費發(fā)布信息網站
貿易服務免費平臺
 
 
當前位置: 貿易谷 » 資訊 » IT互聯(lián)網 » 網絡“黑色產業(yè)鏈”調查:環(huán)環(huán)相扣的數據泄露

網絡“黑色產業(yè)鏈”調查:環(huán)環(huán)相扣的數據泄露

放大字體  縮小字體 發(fā)布日期:2015-01-19 08:26  來源:21世紀經濟報道  瀏覽次數:16
  在大數據和云計算的時代,互聯(lián)網正在重構整個制造業(yè)和服務業(yè)的運行體系,買方和賣方的對接越來越依賴于大數據,而不是實體的店面、中介。數據庫的作用越來越重要,但安全卻難有保障。本專題中的調查試圖呈現(xiàn)互聯(lián)網數據泄露中環(huán)環(huán)相扣的鏈條,而對案例的分析則試圖呈現(xiàn)公民個人維權之難,這有賴于互聯(lián)網法治建設的推進。
 
  天微微亮,大鳥(化名)結束了一晚上的任務,他用涼水洗了一把臉,起身,去公司上班。
 
  在白天,他是某互聯(lián)網公司的程序員。晚上,他是互聯(lián)網論壇上活躍的“白帽子”。
 
  “白帽子”是業(yè)內的俗稱,即正面黑客,他們通過識別計算機系統(tǒng)或網絡系統(tǒng)中的安全漏洞,發(fā)出漏洞警告,從而提醒企業(yè)或其他單位在被黑客侵入前修補漏洞。
 
  由于白天工作時間不允許,大鳥只能用晚上的時間做“白帽子”的工作。這讓他很疲憊,如果進入到了活動狀態(tài),大鳥可能會有很長一段時間都在高度緊張的精神狀態(tài)中度過。
 
  除了在論壇中得到被同行贊許的快感,很多時候,他們面對的是一群對漏洞不屑的人。因為每次被曝出漏洞之后,許多企業(yè)的第一反應是“辟謠”,而不是直面問題。
 
  在大數據和云計算的時代,互聯(lián)網正在重構整個制造業(yè)和服務業(yè)的運行體系,買方和賣方的對接越來越依賴于大數據,而不是實體的店面、中介。數據庫的作用越來越重要,但安全卻難有保障。
 
  或許因為企業(yè)對漏洞不屑的態(tài)度,一些技術人員會警告企業(yè)——既然你不屑,我就干一單給你看。一些技術人員拿著漏洞去要挾企業(yè),換取報酬,涉及利益巨大,一些人甚至很短時間就完成原始資本積累。白帽子是以其行為來判斷,但也有可能在某些時間里,變成真正的黑客。
 
  在國內,目前逐漸形成了一些漏洞舉報的平臺,如烏云網、360都建立了舉報漏洞的機制,方法各不相同。國家互聯(lián)網應急中心也建立了漏洞共享平臺,每周發(fā)布信息安全漏洞周報。
 
  一些企業(yè)的態(tài)度也變得開明起來,如1月14日,特斯拉的官方訂購平臺被白帽子發(fā)現(xiàn)漏洞,原價30萬元的預訂金,白帽子可以在后臺將之修改為一元錢。特拉斯得知后迅速修復了該漏洞,并承認該筆訂單有效,同時還從總部郵寄了官方紀念品送給白帽子。
 
  21世紀經濟報道記者通過半個月的調查,接近了多位白帽子,他們中的部分不愿意透露真實姓名;同時,21世紀經濟報道記者也試圖從被業(yè)內稱之為“社會學工程庫”的論壇,尋找活躍在數據買賣鏈條上的人。此外,通過分析已有的案例和司法判決,也可以探尋這個龐大黑色產業(yè)在互聯(lián)網時代日益形成的安全隱患。
 
  入侵
 
  “你不要社我啊。”這是一句從事網絡安全程序員們的“行話”。“社”是指社會學工程庫,他們把獲取海量的個人信息稱為社會學工程分析。
 
  在社工論壇上,你可以找到各式各樣的賣家和買家。他們明目張膽地買賣各種個人信息資料,如開房資料、考研學生資料、公積金信息等,一般都是幾十上百萬條信息打包出售,他們將這些打包出售的數據庫俗稱為“褲子”。
 
  而“社”一個人,則意味著在網絡上挖掘與這個人有關的各種資料,通過不同網站的海量數據,破解密碼、下載資料……
 
  一般而言,第一步需要入侵某個網站的后臺系統(tǒng)。這個過程并不復雜,對一個電腦迷而言,一個剛入行的中學生就可能有能力侵入一個普通網站。
 
  大鳥對我們講述了他的故事。第一次學習黑客技術是大一的暑假,他花了一個月的時間在寢室自學。不久后,就已經可以進入學校網站的后臺了。
 
  從這一刻開始,數據就有了被泄露的危險。大鳥不會將數據下載下來用于己用,僅用來檢測網站是否存在漏洞,但他告訴21世紀經濟報道記者,黑客入侵網站與白帽子檢測網站,在技術路徑上幾乎是相同的。
 
  大鳥不崇拜儀式感,他不喜歡稱之為戰(zhàn)斗,但這確實是一場戰(zhàn)斗,雖然戰(zhàn)利品只是為了滿足一種孩童式的好奇、對技術偏執(zhí)的渴望,但把它稱之為一場發(fā)生在“入侵者”與技術“看守者”之間的戰(zhàn)斗或許并不為過。
 
  在大鳥的印象中,記憶最深的一次入侵行動是他在正式做一名職業(yè)白帽子之前。那是一次比較復雜的行動。大鳥發(fā)現(xiàn)了一家國外網站,對其原代碼十分感興趣,為了看到代碼,他決定“入侵”這家網站。
 
  大鳥先找擁有域名的這個人,查他的信息,發(fā)現(xiàn)此人是外國人。因為不是中國人,所以不能掌握太多他的信息。接下來尋找這個域名下的子域名。
 
  經過分析,發(fā)現(xiàn)一些子域名放在幾臺普通VPS(Virtual Private Server 虛擬專用服務器)上,打開幾個頁面是空的。掃了幾個端口也沒發(fā)現(xiàn)端倪,他知道從這幾臺VPS上很難找到問題,于是他決定找一下它的VPS提供商。
 
  如果拿到VPS提供商的權限,就可以獲取它所有VPS的權限,自然也就獲取了該域名所指向的VPS權限。隨后他發(fā)現(xiàn)這個VPS服務商的運維配置有一些問題,一步一步滲透下去,最終找到了該VPS提供商所有用戶控制面板的賬號密碼,最后找到了對應人的賬戶密碼。
 
  拿到用戶密碼后,大鳥登陸了對方的控制面板。VPS是以控制面板進行操作的,進入控制面板就可以操控他服務器上的文件,但是沒有文件打包編輯功能。最后,大鳥上傳一個了網頁后門,便獲得了它的代碼。
 
  經過十分復雜的程序,大鳥獲取了這臺服務器的權限,順利看到了代碼。
 
  或許從技術上,這并不算很難,但對于大鳥來說,這次“入侵”的復雜性遠遠高于技術,經過一個多月的“戰(zhàn)斗”,看到代碼后,他選擇讓自己大睡一場,進入冬眠。
 
  竊取數據
 
  對于白帽子而言,發(fā)現(xiàn)了網站的漏洞,他的工作就接近了尾聲了。可對于黑色產業(yè)鏈(簡稱“黑產”)上的人來說,任務才剛剛開始,他們的目的是拿到數據,進而轉化成金錢。
 
  業(yè)內人士透露,黑客的慣用手法有很多種,但路徑上存在相似性:獲得外網服務器權限、進入內網、判斷核心業(yè)務范圍、獲取核心業(yè)務服務器權限,找到數據庫密碼、看到核心數據、下載核心數據、拿到最高權限、抹掉所有痕跡。
 
  這是一個相對理想的操作鏈條,但并不意味所有的黑客都能完成上述步驟,比如“拿到最高權限”并不容易,因此有些黑客下載了所有核心數據,但痕跡仍被記錄。
 
  對于目標的尋找,一位接近黑產的人士稱,有時是黑客主動尋找“含金量高”的網站,侵入網站,竊取數據。這主要涉及的是一些與金錢交易有關的公共服務行業(yè),如信用卡或網絡支付、火車票購票網站、航空公司購票系統(tǒng)、網絡購物網站等等。
 
  還有一些則是接受定向委托,一般委托方來自商業(yè)競爭對手,需要獲得競爭對手的客戶數據,于是雇傭黑客。
 
  在進入內網時,有時候黑客會直接查看對方的員工信息是否存在泄露,或根據常用密碼top 100來進行測試,如果順利登陸員工賬號,就可以直接進入內網。
 
  但對于需要核心數據的黑客而言,進入內網只是第一步,接下來,黑客需要對數據進行分析,判斷核心數據所在位置,這就需要黑客對該網站的業(yè)務十分熟悉,甚至熟悉程度要高于網站運維人員,這樣才能判斷核心數據的子域名在哪一個IP段,進而找到核心數據。
 
  當然,時機的選擇十分重要,這一切都要在一個合適的時間里進行:一個網站流量大,看守者不容易發(fā)現(xiàn)的時間。比如,一般的社交網站,上午十點和下午三點比較活躍。在這樣的時間里“拖庫”相對不易被察覺。
 
  “拖庫”同樣是行話,意思是將目標數據下載下來。但在許多時候,他們并非需要經過復雜的入侵程序獲得數據。因為許多人在不同的網站注冊信息時,會使用相同或相似的密碼。因此,這就存在利用“撞庫”的方式獲得更多的數據的可能。
 
  2014年底發(fā)生的12306網站用戶信息泄露的事件,起初就被指是“撞庫”行為,即用戶的用戶名和密碼在其他網站泄露了,黑客利用其他網站獲得的用戶數據包,自動登錄另一個網站,匹配出部分用戶信息,形成數據庫。
 
  不過,即使是通過“撞庫”發(fā)生的信息泄露,相關網站也難脫其責,因為只有存在安全漏洞,網站才可能被“撞庫”。
 
  目前,12306網站用戶信息泄露事件發(fā)生的原因仍不明,官方仍未公布調查進展,網絡也曾一度流傳出泄露不是“撞庫”行為產生用戶信息泄露的例證。
 
  黑色產業(yè)鏈
 
  在數據被竊取之后,黑客不一定可以將這些數據銷售出去。職業(yè)“中介”應運而生。黑產鏈條上,有人負責竊取數據,有人專門從事分銷,尋找目標買家或幫買家尋找黑客。
 
  21世紀經濟報道記者試圖尋找這樣的人,于是在一些社工庫論壇注冊,發(fā)帖“雇傭黑客”,并且尋找一些專門從事數據交易的QQ群。在QQ群搜索功能中,只要輸入“數據買賣”、“數據交易”等關鍵字就會看到有大量的活躍群,它們的名字直白簡單,一般以“數據交易群”、“淘寶數據交易”等字樣為主。
 
  21世紀經濟報道記者偽裝成買家進入了其中一個交易群,并與一位聲稱可以提供“進線數據(打進某個電話的數據)”的人進行對接。該人士稱,自己可以拿到每個行業(yè)里任意一家企業(yè)的進線數據。通過進入機房,實時監(jiān)控撥打該公司號碼的電話,并將其截取下來,進行銷售。
 
  但陌生人的網絡交易,確保交易安全是個難題,數據提供方可能提供假數據,而數據購買方也不希望自己的購買行為被記錄下來。對于這些疑問,該人士稱,自己可以提供前一天的進線數據,并保證數據是一手信息。交易的過程,需要買家先少量購買,付錢后再工作,如果買家對第一批數據滿意,再進行下一步更多數據的交易。
 
  至于交易價格,該人士說,每個行業(yè)的價格不同,21世紀經濟報道記者問到餐飲行業(yè)的某家巨頭企業(yè),他稱這些數據價格1條10元,而這個價格稱得上是“不便宜”。
 
  數據交易達成的半年內,買家和數據提供商為唯一擁有者,數據商保證不會泄露給第三方。半年后,數據商就可以將數據打包銷售,但此時數據已經大大貶值,一條的價格大概是幾毛錢。
 
  這時候,就產生了“二手數據”,二手數據一般會倒賣好幾次,基本已經算是“公開”信息,這樣的數據在一些社工網站上隨處可見。21世紀經濟報道記者潛水幾個社工論壇多天,發(fā)現(xiàn)每天都會有幾條數據供應帖發(fā)出,論壇用戶只需要支付幾個金幣(一金幣一元錢)的價錢就可以購買到大量數據,有的數據(如個別企業(yè)內部通訊錄)甚至可以免費下載。
 
  另外,在交易群里,經常出現(xiàn)一些交易請求,有的在尋找數據商,有的在出售數據。而在QQ群記錄中,21世紀經濟報道記者看到其中一條信息,涉及各公司大佬的手機號、郵箱等關鍵信息,該數據持有者將關鍵數字抹去,留下QQ號,吸引買家。
 
  不過,擁有這類功能的QQ群有很多,21世紀經濟報道記者申請進入數十個群,只有一個通過了請求。上述知情人士表示,這種情況并不意外。
 
  黑產鏈條上的中介人士面貌仍模糊不清。一些接近這些人士的白帽子稱,這些人的圈子很小,有些是“老鄉(xiāng)帶老鄉(xiāng)”的方式發(fā)展。而網絡犯罪呈現(xiàn)的一些特征也印證了這個特征。2014年12月6日,公安部網絡安全保衛(wèi)局法制工作處處長李菁菁在一次論壇上介紹,目前我國網絡犯罪案件地域化明顯,比如廣西南寧QQ好友詐騙、福建安溪網絡購物詐騙、海南儋州網絡中獎詐騙等。
 
  通過中國裁判文書網的公開檢索也可以發(fā)現(xiàn),這些地區(qū)相關案件判決書數量明顯高于周邊地區(qū)。
 
  《刑法》第285條規(guī)定了非法入侵計算機信息系統(tǒng)罪,通過已判決的司法案件也可以窺視黑產業(yè)的狀況。2014年1月1日至今,中國裁判文書網公布了15份非法入侵計算機信息系統(tǒng)罪判決書,其中除少數目的為買賣國家機關證件和事業(yè)單位印章外,大多是為非法獲取、買賣公民個人信息。
 
  如,2013年3月,1986年出生的陳某和1981年出生的崔某在兩家網絡游戲公司的系統(tǒng)中植入木馬,下載了幾十萬條游戲賬號及密碼,并以1.4萬元價格賣出,此后這批賬號和密碼又在網絡“黑市”中被輾轉交易。他們分別被判處有期徒刑4年和2年,并各處3000元和2000元的罰金。
 
  不過,黑市上所出售的個人信息并非都是來自非法侵入計算機系統(tǒng),有些是來自內部人的監(jiān)守自盜,這些案例也并不少見。
 
  需求方
 
  黑產的形成在于存在強大的市場需求,參與購買數據的最終需求者多種多樣。如,一些商業(yè)機構是強大的需求方,他們?yōu)榱双@取潛在的客戶資料、了解競爭對手的核心數據,從而從黑市購買數據。還有一些創(chuàng)業(yè)公司,是為了充實客戶量,制造“虛假的繁榮”,以吸引風險投資。
 
  一位業(yè)內人士對21世紀經濟報道記者分析了幾起案例,如2014年底,130萬考研考生信息泄露。他分析稱,許多考研培訓機構需要這些數據,進而進行精準的市場推廣。
 
  與此同理,此前還發(fā)生過新生兒信息泄露事件。他稱,許多母嬰保健機構、培訓機構、奶粉經銷商、玩具經銷商等各種盈利性組織對此類信息都有需求。
 
  快遞服務業(yè)同樣是被黑產盯上的“重災區(qū)”。有白帽子對21世紀經濟報道記者表示,快遞單號十分容易獲得,只要對網址進行修改,就可以看到單號的具體信息。而在一些交易網站上,快遞單號被明碼標價,幾毛錢就能買到一個單號信息。
 
  這樣的案例不勝枚舉,交通、醫(yī)療、教育、金融服務、酒店業(yè)、快遞業(yè)等公共服務行業(yè)機構都掌握了大量的用戶信息,使之成為其上下游產業(yè)及類似機構覬覦的目標。
 
  近年來,還有創(chuàng)業(yè)公司購買數據,迅速做大客戶群,從而吸引外來投資。該人士舉例,曾遇到過一位朋友的創(chuàng)業(yè)公司,通過購買數據,讓自己的用戶數據庫看起來龐大一些。這種情況并不少見。
 
  企業(yè)為何“休眠”?
 
  在數據泄露的過程中,數據保管者有著不可推卸的責任。
 
  烏云網合伙人鄔迪告訴21世紀經濟報道記者,幾乎每一個網站都可能存在漏洞。漏洞是造成泄露的一大因素,烏云網建立的初衷之一就是為了減少因漏洞造成的泄露,在泄露之前對漏洞曝光,并通知廠商及時修補。
 
  鄔迪表示,國內企業(yè)的安全意識并不強,一開始,很多企業(yè)在被通知漏洞后會選擇置之不理,這是造成之后信息被泄露的原因之一。
 
  21世紀經濟報道記者梳理了以往發(fā)生的信息泄露事件,一些漏洞引起的問題反復出現(xiàn)。
 
  如此前被烏云網頻頻爆出漏洞的12306網站,并非首次出現(xiàn)用戶信息泄露事件,漏洞卻遲遲未修復。
 
  再比如, 2014年3月22日,烏云漏洞平臺發(fā)布消息稱,攜程系統(tǒng)存在技術漏洞,可導致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼以及銀行卡6位Bin(用于支付的6位數字)。而在此之前,攜程信息安全漏洞事件就已經多次發(fā)生,其中2014年1月,在被媒體指出儲存信用卡敏感信息存在泄露風險時,攜程網回應稱采用的信用卡支付方式符合國際慣例。
 
  業(yè)內人士分析,企業(yè)數據安全意識不強、懲處機制的不明是導致企業(yè)在漏洞發(fā)生后沒有及時修補的原因之一。
 
  另外,數據庫的設計缺陷也是數據可能泄露的原因。一位數據庫的設計人員告訴21世紀經濟報道記者,一些公司尋找第三方設計數據庫,確實存在泄露的風險。雙方在合作之前,一般會簽署保密協(xié)議,但由于設計者可以看到客戶的核心數據,因此數據是否泄露,不僅要看保密協(xié)議,還要看設計者的人品。
 
  一位創(chuàng)業(yè)公司的負責人告訴21世紀經濟報道記者,公司的數據庫自己設計,其考量的因素就是擔心核心用戶數據泄露。
 
  政府網站同樣是高危行業(yè),一位白帽子告訴21世紀經濟報道記者,他們一般只去測試省級政府網站的漏洞,更低層級的政府網站漏洞甚至可能找不到負責人。有些網站的技術水平,在他們看來根本達不到采購中所需耗費的價格。
 
  相對樂觀的是,隨著大數據和移動互聯(lián)網在各行各業(yè)的深入運用,很多廠商的信息安全意識都在提高,表現(xiàn)之一是在接收到漏洞舉報后大多會及時修補。而發(fā)現(xiàn)和舉報漏洞的白帽子人才市場一旦形成,從事黑產的人就會越來越少。
 
  “讓黑產上的人變成白帽子,這是未來的方向。”一位白帽子對21世紀經濟報道記者說。
分享與收藏:  資訊搜索  告訴好友  關閉窗口  打印本文 本文關鍵字:
 
推薦圖文
過半廣州白領未買房 代號Android L的新系統(tǒng)截圖曝光
互聯(lián)網電視監(jiān)管再加碼 行業(yè)面臨大洗牌 美航空局叫停商用無人機
贊助商鏈接
推薦資訊
贊助商鏈接
 
站內信(0)     新對話(0)