《经济参考报》记者获得某证券机构资金50万以上优质股民信息页面截图。页面显示,25969条数据,标价168美元,拥有姓名、开户证件号、性别、年龄、籍贯、手机号、浮动盈亏等9个数据维度。发帖者表示:“姓名、身份证号码、手机号码等信息可自行验证,数据不多,贵在真实。”该数据自2021年1月17日发布,显示已成交3单。
另一个在售的数据包为某证券公司多达16万的客户信息,标价368美元。发帖者表示,该数据为2021年最新一手客户数据,内部渠道流出,暗网首发。“数据一共16.5万条,已去重,实号率95%以上,数据保真。”
此外,某商业银行的银行卡、理财信息等多项泄露出来的数据被售卖。交易编号为41884的帖子表示,该数据包拥有2021年某商业银行客户数据48566条,内含详细个人信息、银行卡号、银行卡种类多项信息。
交易编号为41847的帖子显示,其拥有前述商业银行理财客户数据48800条。“该数据为内鬼带出,首次在暗网发布,每份售价168美元。”发帖者称。
记者查看该发帖者提供的可自行验证数据看到,该数据内容详实,包括理财认购人姓名、身份证号、手机号、产品名称、认购金额、预期收益率、期限以及该认购人具体住址信息。记者登录上述银行官方网站,可以看到多个目前在售理财产品与被泄露信息一致。
除了黑客等技术人员盗取批量信息之外,也有一些“内鬼”直接参与其中。交易编号为40046的帖子显示:“只要提供身份证和姓名信息,便可代查名下所有银行卡具体信息,不带余额1100美元,结果带余额需2200美元,1-5个工作日即可出结果。”值得注意的是,该贴自2020年8月24日发布以来,目前已交易多达360单。
中国司法大数据研究院社会治理研究中心主任李俊慧表示,2016年至2020年,全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件中,从所涉个人信息数据来源行业来看,金融行业占比为39.10%,位列第一。
“金融、中介、招聘等服务行业由于严重依赖电话、短信等途径进行营销,为了提升营销的针对性、有效性,买卖公民个人信息已成了行业‘潜规则’。”北京市朝阳区人民检察院检察官助理陈莹璐说。
记者了解到,金融行业信息泄露不仅发生在中国。在境外,金融行业数据也是暗网“常客”。2020年4月9日,价值近200万美元的韩国和美国支付卡信息在暗网出售。位于新加坡的网络安全公司Group-IB检测到一个数据库,其中包含韩国、美国的银行和金融组织将近40万张支付卡记录的详细信息,并且这些信息已于2020年4月9日上载到暗网。
信息贩卖成“潜规则”
泄露规模呈“指数级”增长
几乎我们每个人都有如下类似的经历:刚买了房子,就有装修公司打来电话;生完小孩没多久,就有早教中心来联系;买完车刚一年,就有保险公司来推销车险……推销人员借助“隐私信息”无孔不入。个人信息泄露规模到底有多大?
业务情报安全企业永安在线产品经理邹洪志对《经济参考报》记者表示,永安在线数据泄露监测平台从2018年正式开始运营至今,已发现数据泄露事件超70000起,影响人数超过2亿。
事实上,数据泄露在全球都处于高发态势。近日,据外媒报道,WizCase安全团队在扫描国际在线外汇交易平台FBS服务器时发现了严重的数据泄露事件。此次数据泄漏多达20TB,包括超过160亿条记录。泄漏信息包括姓名、电话、邮件、护照号、个人照片、驾驶执照等个人基础信息。同时,存款金额、货币、交易ID、交易日期、余额、股本等用户财务数据也在其内。
根据ForgeRock《消费者身份信息违规报告》最近公布的数据,网络犯罪分子在2019年暴露了超过50亿条数据记录。尽管2020年第一季度数据泄露事故数量下降了57%,但从泄露量来看,只增未减,泄露了多达16亿条记录,比2019年同期增加了9%。
“被侵犯的公民个人信息数量从‘倍数级’进阶至‘指数级’爆炸式增长。”北京市第三中级人民法院副院长辛尚民此前在介绍涉公民个人信息犯罪案件审理情况时指出,随着信息技术的发展,可利用的信息数量日益庞大,从过去的姓名、身份证号、手机号、住址等传统静态信息,增加了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面多维度信息。同时,储存信息的载体从传统的U盘、硬盘等变为储存量更大的云盘,也让存储成本和难度大幅度降低。