学生被诈骗离世背后的数据贩卖链条:几分钟可黑进教育局网站
短短3天之内,接连发生两起学生遭遇电信诈骗,继而发生心脏骤停离世惨剧。舆论在痛斥诈骗分子的同时,也开始关注:学生的信息是如何被精准泄漏的?据沂蒙晚报...
短短3天之内,接连发生两起学生遭遇电信诈骗,继而发生心脏骤停离世惨剧。舆论在痛斥诈骗分子的同时,也开始关注:学生的信息是如何被精准泄漏的?
据沂蒙晚报报道,山东临沂罗庄女孩徐玉玉8月19日接到了一通陌生电话,对方声称有一笔2600元助学金要发放给她。按照对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号……让骗子得手的一个关键是,在这通陌生电话之前,徐玉玉曾接到过教育部门发放助学金的通知。这意味着,骗子精准掌握了徐玉玉的多类个人信息。
8月25日,一名资深计算机技术人员对澎湃新闻(www.thepaper.cn)表示,徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。据他称,有团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。
这名技术人员告诉澎湃新闻,目前黑客盗取个人信息,已形成一个巨大产业链,一部分黑客在黑进某些网站获取信息后,再在一些论坛、社交群中贩卖信息。
与之相对应的,网络上的数据贩子则随处可见。
据部分数据贩子称,他们手上有全国各地区各行业的各类数据,不只是学生的电话数据,股民的账户数据、机票数据、网络购物数据、新生儿数据等等,他们都可以出售。
网络安全专家、猎豹移动安全研究员李铁军(微博)对澎湃新闻(www.thepaper.cn),其实不是这些黑客的技术有多好,主要是像学校、医院等机构在网络安全防范上投入不够,导致黑客用很简单技术就可以侵入,而这些网站存有大量个人信息。
数据贩子猖獗:有人宣称“国内学校,有一半数据我都有”
经知情人士指点,澎湃新闻(www.thepaper.cn)记者以“购买数据”、“电话销售”等关键词,通过QQ软件查找,找到一两百个相关的群,这些群销售包括“精确数据购买”、“机票数据”、“淘宝数据”、“保健数据”、“电话数据”、“丰胸减肥数据“、“一手新生儿数据”等等手机号码资源。
记者通过QQ加好友方式联系到了几名数据卖家。
据几位卖家介绍,他们主要是做电话数据销售,这种数据可以简单分为两类,一类是比较精准的,电话与机主的姓名都有;另一类是比较模糊,仅有电话号码。
卖家称,在售的数据类型包括,今年新开的股票账户,这种一般兜售股票资产类的公司会买的比较多;还有像老年人电话数据,可以推销保健品之类的;当然还有像学生类的电话数据,但买这类数据会相对少些。原因是学生本身不太好骗,且经济能力有限。
这种数据根据新鲜程度,价格也不一样。
根据这几名卖家的报价,100元可以买到2000个电话信息、300元能买10000个电话信息;10万个电话信息卖到1200元,20万个电话信息卖到1800元。
卖家新拿到的信息则贵一点。一位卖家称,8月份刚拿到的数据1毛一条。当然,如果是“没有卖过”的纯一手数据,售价可能会高到1-2元。
关于售卖数据的范围,有卖家宣称销售的是全国数据,买家可以根据地区来选择。
某专业财经媒体的报道还提及,有“业内人士”宣称,“国内学校,有一半数据我都有。即使手头没有的,只要你告诉我名字,我也都能拿到。”
以往,购买高中毕业生数据的,多是一些不正规的成人教育或者网络教育学校,但随着生源的减少,这类生意已经熄火。
新的买主中,职业骗子占了大多数。
谁泄漏了个人隐私信息:教育机构信息安全投入不足
关于这些个人隐私数据的来源,绝大多数卖家都不愿透露。
有一位卖家称,他们获得电话号码的其中一个来源,是通过财经网站提取的。
李铁军解释,这可能是通过一个程序,只要用户登录这个网站,电话号码就会被抓取,但这些电话号码绝大多数不是实名的。
前述卖家还透露,其出售的数据的另一个来源是,自己去“开发”。这个所谓“开发”,正是向银行、证券公司、大型门户网站、购物网站等机构里的个人去购买。
不过该卖家称,现在这样的渠道越来越难了。
除了上述渠道,李铁军告诉澎湃新闻(www.thepaper.cn)记者,黑客正成为泄漏个人信息产业链上最大一环,一部分黑客开始专门倒卖各种数据,一些教育机构、医疗机构的数据往往很容易被盗取,因为这些机构的业务现在与互联网的结合很紧密,但这些机构在国内一直是比较缺钱的部门,而做好信息安全需要比较大的投入,其在选择安全方案上就受限,这还包括后续的投入和维护,所以这些机构面临掌握了大量信息,但安全方面却是做得不够。
按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),当然学校可以根据自己需求提升安全保护等级。
可资对照的是,银行部分系统的最高防护等级为第四级。
“另外一个情况是,这些教育机构网站存在的漏洞并不高深,很容易被入侵“,李铁军表示。
上述资深计算机技术人员也表示过,其了解到,一个黑客团队几分钟内绕过某市教育局的网站防火墙进入后台。
监管缺位:防范仍只能靠个人
那么,问题这么多,监管去哪儿了。
关于个人隐私泄漏带来的损失甚至灾难,一位地方经侦警官表示很无奈,他们很理解也很同情受害者,但他们对这类案件也很苦恼,有时候牵涉金额不大,但案件的调查却很复杂,一方面涉及查案侦查地域范围会很广,另一方面一些零碎案件可能要积累到一定时候才一起侦办,对他们来说,精力很有限,不太可能到处去灭火。
这名警官认为,如果不从根本上解决问题,很难通过公安、司法机构来减少案件的发生。
据光明网报道,北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的网络诈骗全民举报平台——猎网平台于去年底发布的《现代网络诈骗产业链分析报告》初步统计,在中国,从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。
李铁军直言,现在中国个人信息泄漏正面临失控的危险,每个人都不安全,但这个系统的改善需要花的时间会非常长,包括国家相关法律法规的出台、司法机关办案能力是否跟的上、还有管理数据机构能力是否能提升等等,这中间需要花的时间和代价都会很大。
光明网在一篇评论中直言,骗子之所以得手,其“成功”之处远不止于电信主管部门和电信运营商对“骗子专用号段”公然存在的无睹和无视,其他掌握公民个人信息的部门和机构、以及负责审核(骗子开卡)客户信息的相关银行,都不能与此撇开关系。
李铁军提醒,在相关监管完善之前,最主要的防范还是靠自己,尽可能保护个人的信息,“比如在提供个人数据时,只有在那些必须提供个人真实数据的地方提供。”
另外,李铁军还认为,在这些容易泄露信息机构缺乏安全方面的管理人才时,这些机构找是不是可以找专门的第三方安全服务公司,比如现在用的较多的云技术,可以将他们的资料交给专业公司的云服务器托管,这些专业公司被黑客攻陷的可能远要低于他们本身。虽然无法从根本上解决这个问题,但可以安全方面上个台阶。
李铁军,社会不应该通过一个少女的死亡来警醒民众。在法制、网络安全相对滞后的今天,需要改善的地方也有太多,更需要个人清醒认识到这种电信骗局,让悲剧不再发生。