网络黑客盗取个人信息已经并非新闻,但媒体近日曝出黑客窃取个人信息已经达到“无孔不入”的地步,甚至连当事人的位置都可以随时定位。
记者搜索发现,目前不仅个人隐私信息的兜售可以在网上随处可见,连窃取别人隐私的“黑技术”都可以出售,而且可以在线教学,“零起点,包学包会”。记者通过与这些“掌握技术”的黑客接触之后发现,想要获取黑技术以及通过这些黑技术再去窃取他人隐私信息并非难事。
200元“拜师” 15天学会
黑客们在互联网上的踪迹并不隐蔽。记者通过QQ检索,就能找到大量黑客或黑客交流群。
黑客们在此招揽生意,有的昵称就是“实力承接一切业务”,在个人说明中写着“承接破解各类密码/微信博客/聊天记录/定位找人/查手机短信内容”等业务范畴。
黑客小T是“白帽”和“黑帽”通吃的黑客。他既承接黑客业务,也有偿教学黑客技术。Web渗透、PHP代码审计等让普通人摸不着头脑的名词,都出现在小T的教学目录上。
记者以拜师名义向小T询问,零基础可否学习窃取网站数据。小T答复15天内包学会,学费200元。
当记者对其身份提出质疑时,小T发来一段视频,显示他边操作“某采购管理平台”,边说这是他成功入侵的网站。只见在屏幕上,小T熟练地点开一家供应商的采购管理页面,屏幕上立刻出现一列供应商的名称、地址、联系人、移动电话、银行账号等商业敏感信息。接着,他又点击采购审批查询,又显示出申请单号、申请日期、操作员姓名等企业内部信息。“这些姓名等东西,都是我入侵进去看到的。”
在小T的空间,展示着贷款数据、车主数据等众多表格。记者拨通贷款数据中的一个电话号码,其中姓名、邮箱等个人内容都得到了电话那边当事人的确认,而当事人并不知道自己的申请贷款的信息已经泄露。
在支付“学费”后,小T先提供了一些基础的教学视频,并承诺之后再教学撞库、SQL注入等获取数据的黑客技术。小T承诺15天学过后可月入过万。
好数据只在可信赖圈子交流
随着京东用户数据泄露的消息流传,黑客群里不时有人索求京东数据文件。记者询问“京东数据用来干吗?”有人称“用来撞库。”
业内人士解释称,“撞库就是用已知密码去尝试未知密码。”通俗地说,一个人有不同的账号,但是密码可能是一样的,如果黑客已知他的一个密码,就有可能登录他的其他账号。撞库是通过技术手段来反复尝试登录。
记者联系的小T则表示,“撞库技术”是在进行基础学习之后掌握的“技术”,就技术本身而言并非很难。
业内人士透露,每逢重大数据泄露,黑客群很快会有简单的数据出现在群共享。普通人在网络上找到黑客“水群”容易,进入灰黑色地带却很难。业内人士透露,“好的数据往往是在(黑客)可信赖的圈子中交流。”
获取账号密码“像嗑瓜子一样简单”
“随性”也是一名黑客,卖数据是他的收入来源。“为了一个QQ密码,有人给我开出5000块,我二话没说就成交了。”“随性”表示,获得一个账号密码“像嗑瓜子一样简单”。
技术不难,一学就会,这似乎是“随性”走上“黑客之路”的写照。他告诉记者,成为黑客是一次巧遇。2012年,他正好20岁,待业在家,处在“人生迷茫期”,在网吧玩游戏打发时间。偶然瞥见邻座一位大哥的电脑屏幕上一条条字符,似乎与网吧的环境很不相称。从这位大哥的言语中,“随性”得知他正用易语言编写软件。
此前,“随性”只在学校学过最简单的C语言编程。“当时觉得很神奇,以后搞这个肯定不错。”“随性”很快向身旁的大哥示好,请他上网,给他买饮料。“大哥也爽快,第二天就同意了,我就拉他上我家从基础教学。”他说。“后来大哥没教完,我们就没联系了。”
学了些基础知识后,“随性”靠租游戏账号尝到了甜头。“每天能赚50元,当时已经觉得很不错了。”此后,他凭借东拼西凑的技术并最终盈利走上黑客道路。
“随性”以此谋生后,除非“客户”主动告知,绝不会询问其购买数据的目的。不过,“随性”从一个出高价的顾客的话语中得知“客户”找他是为离婚找出轨证据。“黑色产业就像一个生态链条。”他说,下游有需求,黑客就会出动,什么赚钱就干什么。“犯不犯法都是对方的事,反正不会找上我,我在网络上就像穿了‘隐身衣’”。
■ 解读
“产业链完整” 黑客分工精细
网络安全研究员刘彦硕表示,黑客盗取用户个人信息的方法一般有两种。一种是非法入侵数据库、后台管理系统,比如进入某宾馆的后台管理系统,来了解某人的开房情况。另一种方法是,贿赂掌握用户数据内部人员,通过这些人来获悉你所需要的信息。
早在2014年初,支付宝被曝有内部人员泄露用户信息。新京报此前报道,超过20G的海量用户信息被前员工李某在后台下载并售卖。据悉,犯罪嫌疑人李某已于2013年11月底被刑拘。刘彦硕称,除了通过“内鬼”的形式盗取数据,一些单位内部管理系统安全防范系数较低,黑客很容易入侵。“他们入侵之后,往往会植入病毒,方便他们收集并实施监测用户信息。”刘彦硕称。
计算机技术爱好者自发成立的非营利性组织——中国红客联盟负责人邵彤先生告诉记者,目前,个人信息的盗取、收集和售卖已形成完整的“黑色产业链”。“这个产业链上有需求者、中间人和黑客三方。”邵彤称,需求者可能是公司,也可能是个人;中间人的手中掌握黑客资源,是两者中间的“纽带”;而黑客则通过非法入侵、贿赂内部人员等方式,获取需求者所需要的个人信息。
“现在黑客分工很精细,获取私人信息的速度也极快。”邵彤称,中间人手中会有一批黑客资源,这些黑客中有负责盗取宾馆酒店信息的、有负责入侵航空数据库的,也有专门侵入电商网站的。“你如果想查询一个人的信息,就把这个人的姓名、身份证号、电话号码等信息发给中间人,中间人会把‘业务’分散给多个黑客,一天时间内,这个人的通话记录、开房记录、交易记录等私人信息都可以获取。
邵彤称,也有些黑客会结成组织,一手做黑客培训,发展人手;另一手去频繁入侵一些公司的数据库,盗取用户信息。掌握一定的信息量后,他们会通过中间人售卖给需求者,以此获利。
■ 说法
盗取买卖个人信息担刑责
北京康达律师事务所韩骁律师表示,依据《侵权责任法》第二条公民依法享有隐私权,因此盗取、出卖个人信息首先违反了侵权责任法,侵害了公民的隐私权。
依据《刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
此外,韩律师表示,购买个人信息者也将面临刑事处罚。依据刑法第二百五十三条之一规定了非法获取公民个人信息罪,即窃取或者以其他方法非法获取公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
■ 链接
公安部:整治行动延至2017年底
新京报讯(记者王煜)针对昨日媒体报道互联网灰黑产业链猖獗未得到有效抑制,公安部回应称,今年4月底,公安部网安局牵头全国公安机关开展了为期六个月的打击整治网络侵犯公民个人信息犯罪专项行动。全国公安机关已侦破案件1868起,抓获犯罪嫌疑人4219人,其中各行业内鬼391人、黑客98人,查获各类公民个人信息305亿条。虽然行动取得阶段成效,但网络侵犯公民个人信息犯罪尚未得到根本解决。公安部网安局决定将打击整治网络侵犯公民个人信息专项行动延长至2017年12月底。(采写/新京报记者陈奕凯 赵凯迪)