第四色网站图片 13年网安从业者的无奈：「隐秘即是一种幻念念」

文 | 镜相使命室第四色网站图片，作家 | 周近屿，剪辑 | 卢枕

在采集安全范围从业 13 年，面对个东谈主信息泄露，卢圣龙屡次提到"无力感"。

他是一家采集安全公司安全实践室的持重东谈主，使命之一是作为授权黑客，测试一些单元或公司的采集安全，他们平时猖厥拿到好多企业的里面数据；他的个东谈主信息遭逢过泄露；咱们民俗将个东谈主信绝委用给各个 APP 和小圭臬，但"世界对于数据的流向莫得知情权"。

对此，他有一种深深的无力感：我很安适隐秘安全，念念保护隐秘，但我的信息在好多企业的办事器里，你还得寄渴望于存放数据的这些公司能保护好它们。

聊天历程中，卢圣龙在五秒钟之内查到了我的身份证信息，以及一个十年前的、安适到门招牌码的住址。"刚才我莫得花元气心灵打听你，没灵验钱查询，我就作念了一个检索。因为有东谈主将之前所有泄露过的信息进行采集，免费或付费提供查询办事，致使泛滥到包括很基础的信息。"

咱们是如安在不经意间成为一个透明东谈主的？是谁偷走了咱们的隐秘？个东谈主信息如何成为地下论坛的商品？背后是怎么一个宏大又防碍的商场？

以下为卢圣龙的发达：

"黑产团队对深度伪造的欺诈，可能是会爆发的少量"

从业经验中，我印象最深的信息泄露事件是发生在 2011 年的 CSDN 数据泄露。

有两个原因。最初，这件事和我的生涯和使命强关系，它是一个本事论坛，用户齐是像我雷同的 IT 东谈主。其时，我的信息也被泄露了，对我的生涯有很大影响，那段时刻，我荒诞改密码、改账户昵称、更换邮箱。

第二个原因是，黑产团队发现，本来数据有这样大价值，后续引起了一连串数据泄露事件。

我个东谈主认为，数据泄露运行泛滥即是从" CSDN 事件"运行，于今过了 14 年，我不错从影响层面对数据泄露的近况作念一个概述。

第一，限制越来越大。CSDN 泄露的数据很是百万，自后海角论坛信息泄露时，很是千万的数据，海外一些机构致使触及上亿数据泄露。

2016 年，京东数据泄露，有 12G 阁下的一个压缩包流畅售卖，包括用户的称号、电话号码、注册邮箱、密码，有些有身份证信息，还有购买商品的收件东谈主信息。这是一件影响相配恶劣的事情，直到今天，你在好多所谓的"开盒"器具里能查到个东谈主信息，可能好多就来自于当初的京东数据泄露事件。（注：开盒是指公开曝光他东谈主隐秘的举止，是一种采集暴力。）

第二，频率在加多，确实每年齐有多起数据泄露的事件被曝光。

第三，泄露的面目越来越千般化了。刚运行，主如果黑客攻击，自后延迟到里面东谈主员作案，目下还发展出一些新的攻击手法，比如通过公链攻击获得数据。

第四，危害进度和影响范围也越来越大。比如京东的数据泄露更多受影响的是个东谈主，自后延迟到企业层面，比如针对企业的敲诈攻击；目下好多机构致使政府单元，也会靠近数据泄露的问题。大批的信息泄露，危害和影响范围就会飞腾到社会层面，加多社会处罚老本，迫害公众对社会机构的信心。

目下，跟着 AI 的发展，黑产团队也在应用关系本事。

有些黑产团队如故在使用 AI 作念数据的关联和分析。比如通过 AI 打标签、出欺诈脚本。另外的一种可能，是通过 AI 发现安全谬误，但我嗅觉在短期内还不太可能发生，可能未来有这个趋势。

对于黑产团队来说，AI 目下主如果进步甩掉，本事技能还莫得很是多的改进。但黑产团队对深度伪造的欺诈，可能是会爆发的少量，如果黑产团队有你的东谈主脸信息，和其他宽裕多的数据，不错生成宽裕传神的视频或音频欺诈。

固然，本事的发展也会驱动采集安全的 AI 化开发，不错相应进步安全防护水平。在咱们范围，信服邪不压正谈高一丈。有一句话叫莫得全齐安全的系统，采集攻防的叛逆，本色是老本的叛逆，咱们开发采集安举座系，主见不是保证系统 100% 安全，是闭幕那些低水平的攻击者，不绝参预，就能闭幕中水平的攻击者。咱们参戒备御，是去进步攻击者的攻击老本。

最容易被盯上的四类东谈主群

泄露的个东谈主信息能够不错分为五类。

最常见的是基础信息，姓名、地址、身份证等；其次是应用数据，有好多企业会对用户作念分析打标签第四色网站图片，比如心爱吃什么食品、破钞水平如何样、有怎么的钞票，这些标签数据就属于应用数据。还有征战信息，比如手机征战的数据；还有采集信息，包括 IP 信息；还有即是关联出来的家庭、好友圈信息等。

个东谈主信息在买卖才能是明码标价的，价钱上下在于它的价值、数据无缺进度，以及崭新度等。

带有行业属性的信息比拟值钱。金融数据有很高价值；投资网站泄露的信息，价钱也会高一些，比拟新的数据一条可能卖到几块钱。你笃定有钱才念念去投资，对于欺诈的东谈主来说，是比拟好的筹画。

另外即是外卖或者快递数据，因为含有地址信息。大多数的信息注册需要姓名、身份证、手机号，但不需要住址，是以这个信息相对来说比拟稀缺。

地址有好多应用场景。比如说催收需要你的地址信息，采集暴力需要塞址信息，欺诈也需要塞址信息。之前有一种欺诈，中秋节给你寄一张蟹卡，需要扫码绑定一些信息，然后把你的钱转走。

如果单纯是姓名、身份证等基础信息，就不太值钱，黑产团队需要对这些数据进行深度挖掘才能拿来所用，这样的数据几万条可能就几块钱。

我也曾见到过一份来自贷款网站的数据，它包含了姓名、身份证正反面，手持像片东谈主脸识别的认证视频，包括念数字认证的声息。这种数据卖得贵一些，一条可能要十几二十块。每个东谈主的声纹和东谈主脸是具有惟一性的生物数据，他们可能会欺诈 AI 本事作念东谈主脸替换。

个东谈主信息泄露之后，大多会用在这些场景：

一个是营销，比如咱们买房后收到装修电话。

还有欺诈，冒充你的带领让你转钱。欺诈的好多场景是基于泄露的数据作念的画像构造，然后设立脚本，这样的话得手率要高好多。

第三是竞争敌手；第四是个东谈主，比如"东谈主肉开盒"，对应的是采集暴力。

从信息泄露的主体来看，企业数据泄露是最多的，包含了咱们常用的互联网器具的公司；医疗机构、讲授机构信息泄露相对来说也比拟多；还有第三方的办事提供商。之前，有一份能够上亿条的外卖订单地址的数据泄露，泄露的起源即是第三方的配送商。

企业、医疗、讲授和供应链，有一个共同点，他们不像金融机构、大型互联网公司在安全参预方面这样高，致使有些第三方的办事提供商，确实莫得采集安全开发。

从使命教化来看，有四类东谈主群的个东谈主信息最容易被盯上。

第一类是高净值东谈主群，对于欺诈团伙或者倾销东谈主员来说，齐意味着很高价值。

第二类是在校学生，个东谈主防护相识和才能比拟弱，对于欺诈团队来说是比拟好下手的对象。

第三类是老年东谈主，对应保健品倾销和欺诈。老东谈主对于互联网本事了解的未几，容易上当；也有尽头的经济才能。

临了是患者信息，这亦然比拟高危的信息，因为世界齐很在乎形体健康，对于黑产团队来说，价值就比拟高。

个东谈主信息买卖产业链的上中卑劣

个东谈主信息泄露背后是一门生意，这个产业链条不错分为上游、中游和卑劣。

上游是黑客和"内鬼"。他们以批发或零卖的面目快速赚钱。

黑客群体也分三六九等，低级和中级黑客广撒网，可能一次性攻击 1000 家或者 1 万家公司，高等黑客就选 3 到 5 家有价值的定向攻击。

还有被业内称为"脚本小子"的黑客，这些东谈主不懂攻击旨趣，也不懂谬误挖掘，只会用开源器具对一些确实莫得防护的网站进行傻瓜式攻击。"脚本小子"的构成相配纷乱，有社会不良分子，致使有初中生、高中生，他们对黑客本事没意思意思，只念念挣钱。

目下很窘态的少量是，有好多以往的安全防护东谈主员，因为一些原因，在作念攻击类型的黑产。我之前团队的一个昆玉下野之后，去了海外，我从其他渠谈获知，他就在作念黑产关系使命。我其时很吃惊，也曾身边很鲜美的一个东谈主，让我有些捉摸不透。

其实作念本事，多若干少会对本事有敬畏，你知谈什么事作念了之后就很难回头了。

跟着个东谈主、社会等各个层面对数据安全的怜爱，我认为"内鬼"是目下数据泄露起源在增长的迫切原因。

咱们常见的好多信息齐是里面东谈主员泄露的。比如旅社关系的业务东谈主员，有查询开房记载的权限，有可能一次查询收费大几百块、一两千块，包括一些不错查钞票信息、婚配信息的东谈主员。

我认为这些东谈主齐不是很高职位，大多来自业务一线。我之前看到过新闻，有辅警查个东谈主信息，有车管所的东谈主往据说递新车的注册信息。致使房产售楼处的东谈主也有可能成为"内鬼"，世界买房后平时接到千般电话，深受其害。

从行业上来分，掌捏个东谈主信息的行业里齐有可能有里面东谈主员作念这样的事情，旅社、外卖、快递、行政机关的使命主谈主员等等。阐明教化，旅社行业"内鬼"相对多一些，可能查询的需求会比拟历害，还有即是有见地斗争到户籍信息的行业。

暗网里面售卖起源信息的这些东谈主，会提供快查和慢查办事。慢查基本即是"内鬼"去查，他们涓滴不会销毁"内鬼"这件事情，会把"内鬼"作为宣传的技能和获客才能。

中游分为信息加工者和数据分销者，两者也可能是一体的，主要赚取信息差。他们将买到的数据清洗和整合，进步数据的价值，也可能针对卑劣需求进取游定制数据。打个比喻，如果上游是菜商场，卑劣是破钞者，中游即是饭店，起到一个烹调的脚色。

上游藏隐性很强，很难溯源。中游相对来说更好定位，但中游目下基本齐是通过数字货币进行分销，如果反侦查相识宽裕高的话，也很难定位到他的信息了。

卑劣即是信息购买者和使用者，比如常见的欺诈团伙，发垃圾短信的营销公司，获得买卖谍报作念不正直竞争的敌手。还有即是个东谈主，主要的主见可能是念念跟踪某个东谈主、袭击某个东谈主，或者采集暴力。

"世界齐在赌，赌我不会被攻击"

有一种不雅点认为，信息泄露和个东谈主或社会层面对隐秘的冷漠沟通，我是不认同的。以我个东谈主为例，我很安适隐秘安全，可是我的信息泄露的也好多，我念念去保护隐秘，可是我作念不到。

我的信息托管在好多公司的办事器中，我方笃定是我方数据的第一包袱东谈主，可是你保护好的同期，还得寄渴望于存放数据的这些单元或公司。是以说，我有一种无力感。

我在点外卖、寄快递的时候起一个不是本名的名字，比如京东收件东谈主叫卢京东，淘宝叫卢淘宝，如果有东谈主打电话问是不是卢淘宝，我知谈是在淘宝泄露的。有些软件我也会用小号登录，其实背后即是一种无奈和无力。

目下 APP 采集个东谈主信息，我认为是过度采集违法采集的。咱们使用的这些 APP，有一个隐秘采集公约，表明了会获得哪些数据，阿谁很长，好多页，好多东谈主可能不太会去关注。

个东谈主隐秘保护很大的一个痛点，即是世界对于数据的流向莫得知情权，不显露你的数据作念什么用了，比如输入法数据，或者一些聊天数据可能会被用来作念大数据的奉行。

对于信息泄露的处罚，其实咱们国度一直在出台一些法律，比如《采集安全法》、《个东谈主信息保护法》，还有《数据安全法》，包括近两年数据安全的需求也越来越大，总体来看笃定是向好的。

可是屡禁不啻的原因主要有这样几个：

数据泄露很难监控。比如企业不会主动上报，不会奉告用户，你不知谈他的数据泄露了。比如有些数据可能在暗网流畅，但也有可能莫得到外部渠谈，他们里面就有流转需求，等数据流畅出来，可能是两年或者三、四年之后了。

从企业安全处罚来说，国内好多公司对于数据安全的参预还不大，好多企业致使刚运行作念基础安全，它齐莫得安沿路门，致使对于安全漠不存眷。安全是一个老本部门，不是盈利部门，世界齐在赌，赌我不会被攻击，赌我本年不花这钱也没什么影响。他们的相识也不高，致使好多企业会把咱们的数据看成念一种商品，拿来售卖或者加工。

这里还要提一下暗网，它是导致信息泄露更泛滥、处罚难度加重的一个迫切原因。

伴跟着加密货币的兴起，来往才能运行搬动到暗网。它是匿名化的，念念要跟踪来往者的身份，老本很高；它有一定的本事壁垒；另外，来往很复杂，可能触及好多国度，法律监管和王法妥洽相对来说也比拟远程。

在我十几年的从业经验中，个东谈主信息泄露之后，我从莫得见过维权的案例。我知谈数据泄露不好，但也知谈莫得见地，维权老本太高，即是刚才提到的那种无力感。

目下的生涯很智能化第四色网站图片，咱们的数据陆续地在千般 APP 流转。有东谈主提过一个不雅点，隐秘即是一种幻念念，我目下是认同这句话的。世界一定要有相识，无谓要的权限不开，尽量幸免太多的信息被采集。我电脑里好多软件，如果我认为它没必要联网，会用防火墙软件不容联网；我基本不会把通信录授权给他们。作为个东谈主，只可尽量减少涌现的可能性。