大量网易邮箱账号遭公开叫卖,个人信息“裸奔”到何时?

一只“黑手”正悄悄伸向湖北宜昌人李慧勤。

一年前,她在“天天征婚网”注册信息被人公开叫卖,让她饱受骚扰电话困扰。人民网创投频道调查时发现在卖家发来数十条验证信息中,包含注册名、手机号码、微信号和ID。人民网创投频道试图添加多人微信,两人通过验证后,证实外泄的信息属实。“天天征婚网”回复称,经核查,数据是早期部分数据。

互联网市场快速生长,信息外泄事件不时出现。

在某交流平台,有人公开叫卖网易邮箱账号,百万邮箱售价仅50元。卖家自称可向这些邮箱发送营销信息,并展示了据说包含有百万个邮箱账号的文件。人民网创投频道发送数百条邮件测试,反馈信息显示,仅有6个邮箱发送失败。网易邮箱内部人士证实,如果没有退回,证明网易邮箱账号中心存在这个账号,也就是说账号真实存在。

这是个暴利行业。卖家自称曾一天赚过能买一台iphone7的钱,且称通过爬虫软件爬取邮箱并不犯法。但大成律师事务所高级合伙人张宏认为,从卖家获取数据方式来看,涉及抓取用户数据和个人买卖信息,可以认定这属于法律明令禁止的范畴,且卖家行为涉嫌违法层级较高。

某知名互联网安全技术工程师王怡表示,如今,信息交易黑市已经出现数据定制服务和一条龙服务,信息外泄原因主要是平台服务器安全措施等级低,很容易被黑客入侵;黑客通过软件漏洞进行攻击;公司内部人贩卖用户信息。

百万邮箱售价50元

市面上,个人信息的售价普遍很低。

卖家李娜自称拥有海量网易邮箱用户数据,量大且价低。一番讨价还价,人民网创投频道花费50元,看到其贩卖的100万条邮箱账号信息。

对于为何只售卖网易邮箱,李娜毫不避讳地说,客户喜欢网易邮箱,用户数量庞大,只要网易不倒闭,她就有生意。

自1997年成立起,网易邮箱已经走过了22个年头,旗下拥有八大系统(163、126、yeah、vip163、vip126、188、专业企业邮箱、免费企业邮箱)。截至2016年9月,网易邮箱用户总数达8.9亿,网易邮箱在中国市场占有率自2003年起至今,一直高居全国第一。

2019年2月份,某媒体记者问丁磊,“如果以对社会的推动为标准排名,你认为网易产品中排名前三的是哪三款产品?”

丁磊说,第一是网易邮箱,这个产品是1997年开始做的。网易坚持做邮箱20年,促进了互联网用户的通讯效率,特别是海外通讯。

众所周知,丁磊最初靠的是邮箱、门户网站业务等发展壮大,而后登陆美国纳斯达克。

李娜也挖掘到网易邮箱的商机。她说,几年前,她主要销售手机号码,每条3分钱,后来发现网易邮箱商机,现在她将邮箱卖给不同商户,每天都有资金入账,盈利模式稳定。“我赚的最多的时候,一天挣了买一台iphone7的钱。”据多家电商平台官方显示,一台iphone7售价在几年前高达数千元。

随后,李娜提供的截图显示,一名卖家花1000元,向她购买500万条数据,已支付500元订金,约定当晚交货。“只要你能付得起钱,我能提供足够数据,能卖的数量能让你‘倾家荡产’。”

另一名卖家在某社交平台公开叫卖“天天征婚网”用户信息,他自称手上有该网站七万人注册用户数据,售价1000元,并称多名客户要购买,但具体用途并不知,“有人单独要女性信息,也有人要男性信息。”

这名卖家表示,客户事先给客户提供“天天征婚网”的链接,他获得后台权限后,便能“窃取”用户注册信息,7万条注册用户数据,售价在2000元以上。

推销诈骗?

倒卖数据的暴利,曾让王怡心动不已。

他说,有段时间,他思考过是否参与数据盗取的生意,觉得太赚钱了。他认识一些朋友,通过买卖数据,每年会有几十万收入,而且只是利用工作外的额外时间。

王怡说,个人信息外泄已经涉及到衣食住行四大领域,包括开房记录、名下资产、乘坐航班,网吧上网记录。此外,手机实时定位、手机通话记录,被当作最为容易获取的数据,从而进行贩卖,甚至每周7×24小时不间断服务。“只要有人付钱,就可轻易被查到。”

王怡透露,这样信息并不属于昂贵的数据类型,即使是针对某个人,他获取这些信息,也仅仅花费不到千元。

王怡表示,如今,信息交易黑市已经出现数据定制和一条龙服务,这说明互联网黑产对个人隐私的侵害行为越来越明显。

这也说明外泄的个人数据有市场需求。王怡看来,如今,数据处理技术已经非常完善,仅用一台电脑,就可以将看似杂乱的数据进行深度分析,了解数据拥有者的具体收入,是否有房,是否单身,是否有私家车,喜欢什么颜色等,这为骗子创造了更多行骗的机会,因为通过定向推送进行诈骗比通过垃圾广告诈骗有效的多。

在柬埔寨从事中国地下博彩生意的张力认为,在东南亚,超万家不同规模的博彩公司,他们就需要大量靠谱数据。经过交流,博彩公司之间形成了信息的交换渠道,比如某家公司会用100个客户的数据与另外一家公司的100个客户数据进行交换。“通过数据交换,大家可以对不同客户实现开发利用。”

张力表示,在博彩行业,它带有鲜明特点,不同人会参与多种类型的博彩活动,因此某个客户信息可以多次利用,他们会在不同博彩公司消费。“一名优质‘客户’的相关信息,售价在5000元左右。”

“你不要认为价格高,如果一个数据敢卖这个价格,那就说明它可以给买家创造数倍收益,这也让大批人铤而走险。”

张力表示,他曾经有个合作伙伴,对方手上掌握大量有效数据,这些数据能够为市场扩展提供强力保障,对方曾对他说,这些数据是他在大公司工作的亲戚提供的。

“市场上遇到类似的交易,这也是无法避免的。”张力说,对于公司而言,它必须有相应制度和管理规范预防信息数据泄露,但从实际情况看,诸多中小型公司只能满足最基本的数据保护。

内鬼操作?

但在张力看来,在不考虑黑客因素下,公司内部人员数据泄露尤为普遍。

这种说法也得到王怡赞同。他说,类似金融产品明细、用户账户等安全级别相对较低的信息,少部分信息可以通过爬虫程序直接抓取。但从技术的角度看,大部分平台是没有办法通过爬虫软件获取用户电话、账户和其他明细。

王怡称,爬虫软件是模拟人的操作,直接登录抓取页面等常规操作。如果互联网上没有这些数据,那就需要从公司后台数据库直接抓取信息,这是没法使用爬虫程序的。

在王怡看来,通过爬虫软件就能够获得数据,说明安全级别并不高,如果直接获得安全级别高的数据,那就需要一定技术。

王怡表示,一般而言,获取公司数据库内部数据有三种方法,这也是市面上最常使用的方式。一是对方平台服务器的安全措施等级低,技术手段进入对方系统,获取操作权限。二是黑客通过渗透测试工具,通过软件漏洞进行攻击。三是内外勾结,公司内部人进行信息贩卖。

实际上,这已不是网易邮箱出事。

对此,网易免费邮箱当时称,用户对信息安全的重视,网易感同身受,并一向注重对用户隐私的保护。网易邮箱一天处理约2亿封邮件,不存在任何个人参与窥探用户隐私的可能性。网易现在和将来都不存在、也不会容忍收集用户隐私用于商业目的的行为。同时,网易邮箱将对销售部门进行规范,避免因夸大宣传,引起误导。

华为资深工程师张合表示,如果网易出现邮箱账号泄露,不管是否参与交易,网易都应承担责任,“保护用户的数据隐私是平台最起码的责任。”

“网易应该承担责任。”张宏也说,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施。但是,这次网易邮箱账号泄露,尚未证实由网易内部人士所为。

买卖数据不违法?

在卖家李娜看来,通过爬虫技术获取网易邮箱并进行交易不违法,“爬虫程序是我男朋友做的,爬取的是网络上公开信息,不涉及违法行为。”

“爬取数据的合法性其实很窄,只有不妨害网站的正常运行、严格遵守网站设置的robots协议,不强行突破网站的反爬措施,这才是真正合法的数据爬取行为。”张宏表示,从法律角度来看,虽然数据的爬取是从公开数据当中进行数据抽查,但如果使用不当,也会突破法律的边缘。

《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

另外,《电信和互联网用户个人信息保护规定》第十条规定,电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。

2017年6月1日,《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定了较低的入刑门槛——该司法解释将个人信息根据敏感度的高低分为三档,非法出售的数量分别达到50条、500条、5000条,或违法所得达5000元以上即可定罪,如果是在履行职责、提供服务过程中“监守自盗”的,标准减半。

“这说明,所有的条件都必须是共同存在,才可以保证最终的合法性,但凡有一个条件违反了,就是违法行为。据我所知,大量程序员在从事数据的爬取过程中,或多或少都有违法的嫌疑。”张宏说。

在张宏看来,企业若要实现数据合法获取,必须满足两个条件。一是互联网企业只能收集其提供服务所必需的个人信息,非必需信息一概不得收集;二是企业必须明示收集、使用的目的、方式和范围,并征得用户的同意,最常见的形式是平时注册账号前需要打勾的“隐私协议”。

如何保护数据隐私?

近年来,在互联网市场快速成长的背景下,个人信息保护不力的事件屡见不鲜。

3月27日,上海市消保委发布了针对39款网购、旅游、生活类常用手机APP涉及个人信息权限的评测结果。结果显示,25款APP存在数据问题,尤其关于“日历”权限的过度申请和随意授权更令人担忧。

这也就是说,这些APP申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限,却未在应用中进行使用。

张合向人民网创投频道表示,在市场中,侵权行为俯拾即是,有显性的,也有隐性的。

所谓显性,就是数据泄露已经影响市民生活。商家通过电话、邮件等方式对市民狂轰滥炸发送广告,甚至开展诈骗行为。

所谓的隐形数据泄露最简单也是最常见的表现形式是,当你在搜索软件进行搜索的时候,关于你的数据已经传播至其他软件公司,任何公司都能够根据用户需求,提供相应产品,然后以机票、新闻、商户等推荐形式展现。

“这是令人不寒而栗的。”张合说,人的记忆并不可靠,每个人都对自己没有绝对的理解,但是互联网数据是固定的,互联网会比你更了解你自己,如果不加以控制,任何人都没有隐私。

在我国,随着《网络安全法》及《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等政策的实施,配合既有的法律、法规、规章,已形成刑事、行政、民事三位一体的法律保护体系。

张宏认为,从惩戒力度上看,在我国侵犯隐私的行为入刑门槛低、刑罚重,但行政处罚力度不及欧盟,民事诉讼也较难取得大额赔偿;相较之下,欧洲更为推崇行政监管,美国则倚重民事救济,体现了各国政府选择治理手段上的不同侧重。

(文中李慧勤、李娜、张合、王怡均为化名)