接口隨意調用、數(shù)據花錢可買……為什么總有人能夠“輕易”獲取我們的隱私信息

2025-03-19 14:56 作者：顏之宏新華每日電訊責任編輯：吳靜

近年來，隨著數(shù)據安全法、個人信息保護法等一系列法律法規(guī)相繼出臺實施，我國信息安全事業(yè)取得長足發(fā)展。但是，一些掌握大量用戶數(shù)據的機構在網絡安全防護中措施不足，導致用戶數(shù)據被不法分子竊取。不法分子將獲取的用戶數(shù)據分門別類打上標簽，再以諸如“婚戀報告”“風險報告”等形式對外出售，破壞網絡安全生態(tài)。

相較于過去“打包販賣”用戶敏感數(shù)據的方式，當前網絡黑市以買家實際需求為導向，以“生成報告”的形式出賣個人信息。為什么我們的個人隱私總能被不法分子“輕易”獲取？記者就此展開調查。

網絡安全形勢仍不容樂觀

“提供身份證號，可查指定人征信、戶籍信息。”“婚姻狀態(tài)可查，USDT（一種虛擬貨幣）、微信、支付寶均可支付。”剛剛加入某境外通訊軟件的聊天群，就有群成員迫不及待發(fā)來招徠私信。

在一位賣家發(fā)來的“個人信用報告”的預覽版中，除姓名、性別、手機號等信息外，還細致記錄了每個人的工作崗位、公積金和社保繳納記錄、借貸額度等高度隱私內容。“這些報告可用于精準電話營銷。”該賣家說。

來自奇安信的數(shù)據顯示，2024年全年境內政企機構共發(fā)生個人信息泄露風險事件112起，涉及個人信息數(shù)據266.9億條，盡管這一數(shù)據較2023年減少54.5%，但是海量的數(shù)據泄露問題反映出政企機構的網絡安全形勢仍不容樂觀。

個人信息數(shù)據的頻繁泄露，不僅嚴重侵害公民隱私，帶來網絡詐騙風險，還可能對國家安全帶來威脅。“大量個人信息數(shù)據的匯聚、關聯(lián)和再組織，可以形成精準的人物畫像，還可以將人與人之間的關系網絡描繪出來。這就讓不法分子更容易鎖定目標群體、找到突破口。”奇安信安全專家裴智勇說。

此外，一些黑灰產還利用大數(shù)據和人工智能等技術，抓取和匹配個人的隱私圖片和視頻。有不法分子聲稱“只要一張照片就能查詢你的另一半有沒有外遇”，以此牟取不法利益。“通過網絡爬蟲技術獲取一些網站上的公開視頻和圖片資料，再進行人臉識別比對，這實際上侵害了當事人的隱私權。”中國科學技術大學網絡空間安全學院教授左曉棟說，不法分子有可能利用泄露的個人信息和肖像進行惡意匹配，由此形成的所謂“婚戀報告”也觸及法律紅線。

不法分子利用“數(shù)據接口”等渠道竊取數(shù)據

在落實網絡安全主體責任過程中，過去常見的“拖庫”漸漸少了，取而代之的是利用數(shù)據接口等渠道進行“螞蟻搬家”式的個人信息竊取。

姓名、身份證號、手機號、常用地址……在中國電子技術標準化研究院網安中心的一例安全測評中，測試人員發(fā)現(xiàn)有6萬份訂單數(shù)據有可能來自某平臺的數(shù)據接口泄露。

所謂數(shù)據接口，就是機構傳輸、共享數(shù)據時輸入和輸出數(shù)據的對接口，也就是數(shù)據出入的“大門”。“如果把這扇門看住了，來來往往的數(shù)據就都能被調閱。”中國電子技術標準化研究院網安中心測評實驗室副主任何延哲告訴記者，一些機構在設置數(shù)據接口時缺少身份認證、訪問控制等安全措施，導致黑客能夠隨時“劫持”接口并獲取實時數(shù)據。

在何延哲及其技術團隊以往隨機測試的數(shù)據接口中，存在安全問題的不在少數(shù)。“相較于‘陳年數(shù)據’，通過數(shù)據接口獲取的實時數(shù)據更新，在黑灰產上售賣的價格也會更高。”何延哲說。

在某不法論壇網站中，有人開設了專門群組用以分享各類數(shù)據接口。通過其所分享的數(shù)據接口，不法分子可獲取指定人員的社保信息、生育信息、車險購買信息等敏感數(shù)據。

各類機構在打造數(shù)字化平臺時缺乏網絡安全思維，部分敏感數(shù)據缺乏高等級保護，而通過數(shù)據接口竊取數(shù)據等不法操作并不需要多高的技術門檻。“有的平臺存在安全問題的數(shù)據接口長期‘暴露’在外，掌握一些基礎攻擊手段的黑客就能通過不安全的數(shù)據接口直接獲取平臺最新用戶數(shù)據。”何延哲說，把數(shù)據接口“保護起來”并非難事，不過由于缺乏對數(shù)據接口的安全風險監(jiān)測，機構在大多數(shù)情況下難以意識到自己的數(shù)據接口可能已經被網絡黑灰產惡意利用了。

此外，合作伙伴和機構“內鬼”也是數(shù)據泄露的重要渠道之一。2020年7月，某快遞企業(yè)員工私自向不法分子有償出借工作賬號，致使超過40萬條公民個人信息泄露。“各類機構在獲取用戶數(shù)據后，往往會和合作伙伴共享，以獲取數(shù)據的最大利用價值。”裴智勇說，在數(shù)據共享過程中，部分合作伙伴未完全遵守網絡安全協(xié)議，進而導致用戶數(shù)據泄露。同時，一些網絡黑灰產和機構“內鬼”相勾結，倒賣用戶數(shù)據。“在互聯(lián)網知識共享平臺上發(fā)生的數(shù)據泄露事件中，這兩種方式占比超過一半”。

一些機構在源頭端過度收集用戶數(shù)據，導致敏感數(shù)據過度集中。國內知名個人信息保護專家、清華大學法學院教授勞東燕認為，部分信息收集機構以包括“提升服務體驗”在內的各種理由要求用戶或消費者“一攬子授權”，是造成數(shù)據泄露的根本原因。2021年，個人信息保護法正式實施，其中明確規(guī)定“收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”。“這個‘最小范圍’的解釋權目前看仍然在收集數(shù)據的機構，而不是在用戶或者消費者手上”。

徹底斬斷伸向個人隱私的黑手

隨著法律法規(guī)的日益完善，近年來我國打擊涉公民個人信息犯罪工作成效顯著，一批以兜售公民個人信息牟利的不法分子受到法律嚴懲。

2024年，四川成都警方偵破侵犯公民個人信息、非法控制計算機信息系統(tǒng)等網絡犯罪案件1201起，依法采取刑事強制措施1116人；山西長治警方在2024年輾轉多地，成功打掉一個特大侵犯公民個人信息及掩飾、隱瞞犯罪所得犯罪團伙，抓獲犯罪嫌疑人10名，扣押涉案資金500余萬元；同年，安徽合肥警方偵破特大侵犯公民個人信息案，抓獲犯罪嫌疑人11名，查獲涉案金額120余萬元，保護了公民個人信息百萬余條……

提升機構網絡安全防護能力，構筑數(shù)據安全防火墻。裴智勇等專家建議，政企機構應進一步完善網絡安全的制度建設，確保責任到崗、到人。在出現(xiàn)網絡安全事件后，及時向國家有關部門報告，盡可能減少因數(shù)據泄露給用戶和社會帶來的損失。

減少前端數(shù)據收集，從源頭降低數(shù)據泄露風險。“比如點外賣，有手機號、有地址，確保外賣能送到，就不應該獲取其他信息。”勞東燕建議，根據個人信息保護法等法律法規(guī)要求，數(shù)據收集應遵循“最小必要原則”，有關部門可根據數(shù)據實際使用場景，明確相應的數(shù)據收集范圍，為“最小必要”設定標準。

強化隱私保護意識，對過度收集、濫用數(shù)據等行為說“不”。何延哲建議，機構和網絡平臺等應從用戶和消費者角度出發(fā)，更加重視個人信息保護，決不能為了蠅頭小利出讓個人信息權益。對明顯存在過度收集用戶信息和潛在的侵犯公民個人信息的違法犯罪線索，網絡用戶可及時向互聯(lián)網管理部門和公安部門舉報。（記者顏之宏）

關鍵詞：個人信息,數(shù)據接口,支付寶,人臉識別,用戶數(shù)據

本
網
聲
明

本網轉載內容出于更直觀傳遞信息之目的。該內容版權歸原作者所有，并不代表本網贊同其觀點和對其真實性負責。如該內容涉及任何第三方合法權利，請點擊投訴按鈕，我們會及時反饋并處理完畢。

投訴

新聞中心