新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > 新闻 > 互联网

大量网易邮箱账号遭公开叫卖,个人信息“裸奔”到何时?

时间:2019-05-07 10:06:34  来源:  作者:

图片

一只“黑手”正悄悄伸向湖北宜昌人李慧勤。

一年前,她在“天天征婚网”注册信息被人公开叫卖,让她饱受骚扰电话困扰。人民网创投频道调查时发现在卖家发来数十条验证信息中,包含注册名、手机号码、微信号和ID。人民网创投频道试图添加多人微信,两人通过验证后,证实外泄的信息属实。“天天征婚网”回复称,经核查,数据是早期部分数据。

互联网市场快速生长,信息外泄事件不时出现。

在某交流平台,有人公开叫卖网易邮箱账号,百万邮箱售价仅50元。卖家自称可向这些邮箱发送营销信息,并展示了据说包含有百万个邮箱账号的文件。人民网创投频道发送数百条邮件测试,反馈信息显示,仅有6个邮箱发送失败。网易邮箱内部人士证实,如果没有退回,证明网易邮箱账号中心存在这个账号,也就是说账号真实存在。

这是个暴利行业。卖家自称曾一天赚过能买一台iphone7的钱,且称通过爬虫软件爬取邮箱并不犯法。但大成律师事务所高级合伙人张宏认为,从卖家获取数据方式来看,涉及抓取用户数据和个人买卖信息,可以认定这属于法律明令禁止的范畴,且卖家行为涉嫌违法层级较高。

某知名互联网安全技术工程师王怡表示,如今,信息交易黑市已经出现数据定制服务和一条龙服务,信息外泄原因主要是平台服务器安全措施等级低,很容易被黑客入侵;黑客通过软件漏洞进行攻击;公司内部人贩卖用户信息。

百万邮箱售价50元

市面上,个人信息的售价普遍很低。

卖家李娜自称拥有海量网易邮箱用户数据,量大且价低。一番讨价还价,人民网创投频道花费50元,看到其贩卖的100万条邮箱账号信息。

对于为何只售卖网易邮箱,李娜毫不避讳地说,客户喜欢网易邮箱,用户数量庞大,只要网易不倒闭,她就有生意。

自1997年成立起,网易邮箱已经走过了22个年头,旗下拥有八大系统(163、126、yeah、vip163、vip126、188、专业企业邮箱、免费企业邮箱)。截至2016年9月,网易邮箱用户总数达8.9亿,网易邮箱在中国市场占有率自2003年起至今,一直高居全国第一。

2019年2月份,某媒体记者问丁磊,“如果以对社会的推动为标准排名,你认为网易产品中排名前三的是哪三款产品?”

丁磊说,第一是网易邮箱,这个产品是1997年开始做的。网易坚持做邮箱20年,促进了互联网用户的通讯效率,特别是海外通讯。

众所周知,丁磊最初靠的是邮箱、门户网站业务等发展壮大,而后登陆美国纳斯达克。

李娜也挖掘到网易邮箱的商机。她说,几年前,她主要销售手机号码,每条3分钱,后来发现网易邮箱商机,现在她将邮箱卖给不同商户,每天都有资金入账,盈利模式稳定。“我赚的最多的时候,一天挣了买一台iphone7的钱。”据多家电商平台官方显示,一台iphone7售价在几年前高达数千元。

随后,李娜提供的截图显示,一名卖家花1000元,向她购买500万条数据,已支付500元订金,约定当晚交货。“只要你能付得起钱,我能提供足够数据,能卖的数量能让你‘倾家荡产’。”

另一名卖家在某社交平台公开叫卖“天天征婚网”用户信息,他自称手上有该网站七万人注册用户数据,售价1000元,并称多名客户要购买,但具体用途并不知,“有人单独要女性信息,也有人要男性信息。”

这名卖家表示,客户事先给客户提供“天天征婚网”的链接,他获得后台权限后,便能“窃取”用户注册信息,7万条注册用户数据,售价在2000元以上。

推销诈骗?

倒卖数据的暴利,曾让王怡心动不已。

他说,有段时间,他思考过是否参与数据盗取的生意,觉得太赚钱了。他认识一些朋友,通过买卖数据,每年会有几十万收入,而且只是利用工作外的额外时间。

王怡说,个人信息外泄已经涉及到衣食住行四大领域,包括开房记录、名下资产、乘坐航班,网吧上网记录。此外,手机实时定位、手机通话记录,被当作最为容易获取的数据,从而进行贩卖,甚至每周7×24小时不间断服务。“只要有人付钱,就可轻易被查到。”

王怡透露,这样信息并不属于昂贵的数据类型,即使是针对某个人,他获取这些信息,也仅仅花费不到千元。

王怡表示,如今,信息交易黑市已经出现数据定制和一条龙服务,这说明互联网黑产对个人隐私的侵害行为越来越明显。

这也说明外泄的个人数据有市场需求。王怡看来,如今,数据处理技术已经非常完善,仅用一台电脑,就可以将看似杂乱的数据进行深度分析,了解数据拥有者的具体收入,是否有房,是否单身,是否有私家车,喜欢什么颜色等,这为骗子创造了更多行骗的机会,因为通过定向推送进行诈骗比通过垃圾广告诈骗有效的多。

在柬埔寨从事中国地下博彩生意的张力认为,在东南亚,超万家不同规模的博彩公司,他们就需要大量靠谱数据。经过交流,博彩公司之间形成了信息的交换渠道,比如某家公司会用100个客户的数据与另外一家公司的100个客户数据进行交换。“通过数据交换,大家可以对不同客户实现开发利用。”

张力表示,在博彩行业,它带有鲜明特点,不同人会参与多种类型的博彩活动,因此某个客户信息可以多次利用,他们会在不同博彩公司消费。“一名优质‘客户’的相关信息,售价在5000元左右。”

“你不要认为价格高,如果一个数据敢卖这个价格,那就说明它可以给买家创造数倍收益,这也让大批人铤而走险。”

张力表示,他曾经有个合作伙伴,对方手上掌握大量有效数据,这些数据能够为市场扩展提供强力保障,对方曾对他说,这些数据是他在大公司工作的亲戚提供的。

“市场上遇到类似的交易,这也是无法避免的。”张力说,对于公司而言,它必须有相应制度和管理规范预防信息数据泄露,但从实际情况看,诸多中小型公司只能满足最基本的数据保护。

内鬼操作?

但在张力看来,在不考虑黑客因素下,公司内部人员数据泄露尤为普遍。

这种说法也得到王怡赞同。他说,类似金融产品明细、用户账户等安全级别相对较低的信息,少部分信息可以通过爬虫程序直接抓取。但从技术的角度看,大部分平台是没有办法通过爬虫软件获取用户电话、账户和其他明细。

王怡称,爬虫软件是模拟人的操作,直接登录抓取页面等常规操作。如果互联网上没有这些数据,那就需要从公司后台数据库直接抓取信息,这是没法使用爬虫程序的。

在王怡看来,通过爬虫软件就能够获得数据,说明安全级别并不高,如果直接获得安全级别高的数据,那就需要一定技术。

王怡表示,一般而言,获取公司数据库内部数据有三种方法,这也是市面上最常使用的方式。一是对方平台服务器的安全措施等级低,技术手段进入对方系统,获取操作权限。二是黑客通过渗透测试工具,通过软件漏洞进行攻击。三是内外勾结,公司内部人进行信息贩卖。

实际上,这已不是网易邮箱出事。

2013年3月15日,央视"3·15晚会"曝光了网易邮箱涉嫌偷窥用户信息,进行广告营销。央视调查发现,网易等一些网站同意第三方公司通过植入代码、获取cookie,从而锁定用户、精准投放广告。网易公司也会对自己的用户进行跟踪分析,甚至包括用户非常隐私的邮件内容。

对此,网易免费邮箱当时称,用户对信息安全的重视,网易感同身受,并一向注重对用户隐私的保护。网易邮箱一天处理约2亿封邮件,不存在任何个人参与窥探用户隐私的可能性。网易现在和将来都不存在、也不会容忍收集用户隐私用于商业目的的行为。同时,网易邮箱将对销售部门进行规范,避免因夸大宣传,引起误导。

华为资深工程师张合表示,如果网易出现邮箱账号泄露,不管是否参与交易,网易都应承担责任,“保护用户的数据隐私是平台最起码的责任。”

“网易应该承担责任。”张宏也说,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施。但是,这次网易邮箱账号泄露,尚未证实由网易内部人士所为。

买卖数据不违法?

在卖家李娜看来,通过爬虫技术获取网易邮箱并进行交易不违法,“爬虫程序是我男朋友做的,爬取的是网络上公开信息,不涉及违法行为。”

“爬取数据的合法性其实很窄,只有不妨害网站的正常运行、严格遵守网站设置的robots协议,不强行突破网站的反爬措施,这才是真正合法的数据爬取行为。”张宏表示,从法律角度来看,虽然数据的爬取是从公开数据当中进行数据抽查,但如果使用不当,也会突破法律的边缘。

《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

另外,《电信和互联网用户个人信息保护规定》第十条规定,电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。

2017年6月1日,《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定了较低的入刑门槛——该司法解释将个人信息根据敏感度的高低分为三档,非法出售的数量分别达到50条、500条、5000条,或违法所得达5000元以上即可定罪,如果是在履行职责、提供服务过程中“监守自盗”的,标准减半。

“这说明,所有的条件都必须是共同存在,才可以保证最终的合法性,但凡有一个条件违反了,就是违法行为。据我所知,大量程序员在从事数据的爬取过程中,或多或少都有违法的嫌疑。”张宏说。

在张宏看来,企业若要实现数据合法获取,必须满足两个条件。一是互联网企业只能收集其提供服务所必需的个人信息,非必需信息一概不得收集;二是企业必须明示收集、使用的目的、方式和范围,并征得用户的同意,最常见的形式是平时注册账号前需要打勾的“隐私协议”。

如何保护数据隐私?

近年来,在互联网市场快速成长的背景下,个人信息保护不力的事件屡见不鲜。

3月27日,上海市消保委发布了针对39款网购、旅游、生活类常用手机App涉及个人信息权限的评测结果。结果显示,25款APP存在数据问题,尤其关于“日历”权限的过度申请和随意授权更令人担忧。

这也就是说,这些APP申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限,却未在应用中进行使用。

张合向人民网创投频道表示,在市场中,侵权行为俯拾即是,有显性的,也有隐性的。

所谓显性,就是数据泄露已经影响市民生活。商家通过电话、邮件等方式对市民狂轰滥炸发送广告,甚至开展诈骗行为。

所谓的隐形数据泄露最简单也是最常见的表现形式是,当你在搜索软件进行搜索的时候,关于你的数据已经传播至其他软件公司,任何公司都能够根据用户需求,提供相应产品,然后以机票、新闻、商户等推荐形式展现。

“这是令人不寒而栗的。”张合说,人的记忆并不可靠,每个人都对自己没有绝对的理解,但是互联网数据是固定的,互联网会比你更了解你自己,如果不加以控制,任何人都没有隐私。

在我国,随着《网络安全法》及《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等政策的实施,配合既有的法律、法规、规章,已形成刑事、行政、民事三位一体的法律保护体系。

张宏认为,从惩戒力度上看,在我国侵犯隐私的行为入刑门槛低、刑罚重,但行政处罚力度不及欧盟,民事诉讼也较难取得大额赔偿;相较之下,欧洲更为推崇行政监管,美国则倚重民事救济,体现了各国政府选择治理手段上的不同侧重。

张宏还称,在执法层面,我国相关部门也在愈发频繁地采取行动,一方面得益于法律的不断完善、办案技术水平的不断提高,另一方面,地下数据产业本身经过洗牌、重整、资源集中后,许多“大公司”浮出水面,成为执法机关调查公民信息泄露源头的重要切入点。

(文中李慧勤、李娜、张合、王怡均为化名)
 



Tags:网易 邮箱   点击:()  评论:()
声明:本站部分内容来自互联网,如有任何版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
一只“黑手”正悄悄伸向湖北宜昌人李慧勤。一年前,她在“天天征婚网”注册信息被人公开叫卖,让她饱受骚扰电话困扰。人民网创投频道调查时发现在卖家发来数十条验证信息中,包含...【详细内容】
2019-05-07   网易 邮箱  点击:(12)  评论:(0)  加入收藏
推荐资讯
相关文章
    无相关信息
栏目更新
栏目热门