黑产团伙通过境外社交平台招募行业“内鬼”。
正逢《个人信息保护法》实施两周年,南都大数据研究院调查发现,尽管近年我国不断加强对侵犯公民个人信息违法犯罪活动的打击,仍有黑产团伙顶风作案,使用境外通讯工具及资金交易平台逃避境内打击,以高额利益引诱关键行业人员充当“内鬼”,协助盗取个人信息。
调查
行业“内鬼”倒卖个人数据 黑产团伙境外平台做买卖
南都大数据研究院近日接到报料反映,有数个黑产团伙通过境外社交平台兜售个人隐私数据,从外卖、网购,到航班、火车行程信息,甚至连银行流水、征信报告等高度敏感的数据均在交易范围内。
根据报料线索,南都记者进入部分在某境外社交平台经营的聊天群组。观察发现,这些群组成员数量动辄过万,最多的一个甚至有超过24万名群组成员。在群组内,相关人员不时发布有关个人隐私数据交易的推销广告,并附上数张通过业务系统后台查询隐私数据的页面截图或照片,以彰显其实力。
对方向记者发来一份业务价格明细表,表中可见,该群组人员出售的数据涵盖户籍、民政婚姻、车辆登记、酒店住宿、通话记录等多种类型。不同数据售价不一,其中收费最高的一项是提取国内某社交软件好友清单,开价8000元一次。该人员声称,买家只需要提供目标对象的社交账号,即可提取该账号的所有好友名单,具体包括已添加联系人账号、头像、昵称、个人备注、已关注公众号等信息。
问及数据来源,该人员承认其数据大部分来自相关行业关键岗位人员。其会根据买家需求对接相关人员,直接从业务系统后台提取所需内容。为证明所言非虚,对方还发来多张不同平台业务系统后台截图,涉及国内多家知名企业。南都记者留意到,其中一张某外卖平台的业务系统截图显示,其查询到的个人订单时间为2023年10月24日,与南都记者发起调查的时间相距不到一周。
行动
持续严打形成阻吓 部分团伙删号“跑路”
近年,明星航班行程信息遭曝光、“内鬼”盗取快递运单、招聘网站倒卖简历等事件均曾引发公众关注。我国也一直在加强对个人信息保护力度。
据今年8月公安部新闻发布会透露数据,自2020年以来,全国公安机关依法重拳打击侵犯公民个人信息违法犯罪活动,累计侦破案件3.6万起,抓获犯罪嫌疑人6.4万名,其中抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。
最高人民检察院也曾披露数据,2020年,全国检察机关起诉侵犯公民个人信息犯罪6000余人,2021年起诉人数攀升至9800余人,2022年起诉9300余人,近年案件数量保持高位,近三成被告人被判处三年以上有期徒刑。
持续严打态势确实对黑产团伙形成一定阻吓。据知情人士向南都记者展示的一份社交群组记录,2022年下半年,曾陆续有黑产团伙发布通知建议成员“低调行事”,暂停部分业务,甚至有团伙直接删号“跑路”。
现状
黑产团伙死灰复燃 只以虚拟货币交易
但随着时间推移,一些逃过打击的团伙又再浮出水面、试探行情。据知情人士透露,今年下半年来,有黑产团伙开始尝试“重建产业链”,再次招募“内鬼”。相关社交群组记录显示,这些“复活”的黑产团伙大多打出“日入过万”“快速变现”等宣传语,诱惑关键岗位人员加入,并宣称可一对一指导对方如何规避风险。更有团伙点名提出希望与国内某知名银行的工作人员“合作”。
南都记者也尝试以购买外卖记录数据为由,接触其中一个“复活”群组。与其他团伙相比,他们交易时显得更加谨慎,虽然同样承认数据源来自行业“内鬼”,但拒绝提供业务系统截图或照片作为数据真实性凭证,只能以文字转述、整理表格等形式向买家交付数据。在支付渠道方面,该团伙也提出只能通过虚拟货币交易,不接受任何境内支付工具。
据知情人士介绍,以往执法部门和涉事企业调查“内鬼”时,可以根据相关业务系统截图信息或照片拍摄时间,比对企业内部的业务系统登录时间、数据查询记录等方式定位“内鬼”身份。黑产团伙显然已关注到这一“风险点”,有意隐藏“内鬼”踪迹。
追因
“内鬼”泄露公民个人信息 成信息遭侵犯的主要原因
今年8月,北京市高级人民法院曾召开新闻通报会,介绍北京法院侵犯公民个人信息犯罪案件审判情况。据北京高院党组成员、副院长孙玲玲介绍,2018年以来,北京全市各级法院共审结侵犯公民个人信息犯罪案件219件,其中一审179件、二审40件,判处犯罪分子294人。超过半数的案件,被告人供职于公司企业、事业单位或系个体企业经营者。其中,公司职员(包括中高级管理层、法人代表)所占比例最大,为50.3%。
侵犯公民个人信息的犯罪手段越发隐蔽,“内鬼”泄露公民个人信息的行为较为突出。据北京高院介绍,买卖和交换仍是侵犯公民个人信息犯罪的主要手段;放眼整个犯罪链条,内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。
近年来,我国出台《网络安全法》《数据安全法》《个人信息保护法》等一系列法律法规,对数据处理者形成法律约束,严禁数据随意共享和流转,业界也持续完善用户数据安全的“护城墙”。
《个人信息保护法》明确规定,个人信息处理者应当采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。也就是说,虽然企业可能也是数据泄露的受害者,但如果其未尽到个人信息保护义务的话,仍要承担包括行政处罚责任在内的法律责任。
数字化时代,个人信息保护与数据黑灰产治理是一项长期性、系统性的工程。奇富科技信息安全知微实验室负责人吴业超也曾指出,数据流通使用涉及多环节、多合作机构,企业注重自身数据安全管理的同时,也要把控好第三方合作和管理,完善数据全链路监控和管理体系,同时积极探索与监管机构、公安等合作打击治理数据黑灰产。
总第091期
统筹编辑:董晓妍
采写:李伟锋 袁炯贤
实习生 张欣 梁颖琛 傅纪岚
出品:南都大数据研究院
数据安全治理与发展研究课题组