在網(wǎng)絡(luò)安全領(lǐng)域從業(yè)13年，面對(duì)個(gè)人信息泄露，盧圣龍多次提到“無力感”。

他是一家網(wǎng)絡(luò)安全公司安全實(shí)驗(yàn)室的負(fù)責(zé)人，工作之一是作為授權(quán)黑客，測(cè)試一些單位或公司的網(wǎng)絡(luò)安全，他們經(jīng)常輕易拿到很多企業(yè)的內(nèi)部數(shù)據(jù)；他的個(gè)人信息遭遇過泄露；我們習(xí)慣將個(gè)人信息交付給各個(gè)APP和小程序，但“大家對(duì)于數(shù)據(jù)的流向沒有知情權(quán)”。

對(duì)此，他有一種深深的無力感：我很注重隱私安全，想保護(hù)隱私，但我的信息在很多企業(yè)的服務(wù)器里，你還得寄期望于存放數(shù)據(jù)的這些公司能保護(hù)好它們。

聊天過程中，盧圣龍?jiān)谖迕腌娭畠?nèi)查到了我的身份證信息，以及一個(gè)十年前的、詳細(xì)到門牌號(hào)碼的住址。“剛才我沒有花精力調(diào)查你，沒有花錢查詢，我就做了一個(gè)檢索。因?yàn)橛腥藢⒅八行孤哆^的信息進(jìn)行收集，免費(fèi)或付費(fèi)提供查詢服務(wù)，甚至泛濫到包括很基礎(chǔ)的信息。”

我們是如何在不經(jīng)意間成為一個(gè)透明人的？是誰偷走了我們的隱私？個(gè)人信息如何成為地下論壇的商品？背后是怎樣一個(gè)龐大又隱秘的市場(chǎng)？

以下為盧圣龍的講述：

“黑產(chǎn)團(tuán)隊(duì)對(duì)深度偽造的利用，可能是會(huì)爆發(fā)的一點(diǎn)”

從業(yè)經(jīng)歷中，我印象最深的信息泄露事件是發(fā)生在2011年的CSDN數(shù)據(jù)泄露。

有兩個(gè)原因。首先，這件事和我的生活和工作強(qiáng)相關(guān)，它是一個(gè)技術(shù)論壇，用戶都是像我一樣的IT人。當(dāng)時(shí)，我的信息也被泄露了，對(duì)我的生活有很大影響，那段時(shí)間，我瘋狂改密碼、改賬戶昵稱、更換郵箱。

第二個(gè)原因是，黑產(chǎn)團(tuán)隊(duì)發(fā)現(xiàn)，原來數(shù)據(jù)有這么大價(jià)值，后續(xù)引起了一連串?dāng)?shù)據(jù)泄露事件。

我個(gè)人認(rèn)為，數(shù)據(jù)泄露開始泛濫就是從“CSDN事件”開始，至今過了14年，我可以從影響層面對(duì)數(shù)據(jù)泄露的現(xiàn)狀做一個(gè)概括。

第一，規(guī)模越來越大。CSDN泄露的數(shù)據(jù)有數(shù)百萬，后來天涯論壇信息泄露時(shí)，有數(shù)千萬的數(shù)據(jù)，國外一些機(jī)構(gòu)甚至涉及上億數(shù)據(jù)泄露。

2016年，京東數(shù)據(jù)泄露，有12G左右的一個(gè)壓縮包流通售賣，包括用戶的名稱、電話號(hào)碼、注冊(cè)郵箱、密碼，有些有身份證信息，還有購買商品的收件人信息。這是一件影響非常惡劣的事情，直到今天，你在很多所謂的“開盒”工具里能查到個(gè)人信息，可能很多就來自于當(dāng)初的京東數(shù)據(jù)泄露事件。（注：開盒是指公開曝光他人隱私的行為，是一種網(wǎng)絡(luò)暴力。）

第二，頻率在增加，幾乎每年都有多起數(shù)據(jù)泄露的事件被曝光。

第三，泄露的方式越來越多樣化了。剛開始，主要是黑客攻擊，后來擴(kuò)展到內(nèi)部人員作案，現(xiàn)在還發(fā)展出一些新的攻擊手法，比如通過公鏈攻擊獲取數(shù)據(jù)。

第四，危害程度和影響范圍也越來越大。比如京東的數(shù)據(jù)泄露更多受影響的是個(gè)人，后來擴(kuò)展到企業(yè)層面，比如針對(duì)企業(yè)的勒索攻擊；現(xiàn)在很多機(jī)構(gòu)甚至政府單位，也會(huì)面臨數(shù)據(jù)泄露的問題。大量的信息泄露，危害和影響范圍就會(huì)上升到社會(huì)層面，增加社會(huì)治理成本，削弱公眾對(duì)社會(huì)機(jī)構(gòu)的信心。

有些黑產(chǎn)團(tuán)隊(duì)已經(jīng)在使用AI做數(shù)據(jù)的關(guān)聯(lián)和分析。比如通過AI打標(biāo)簽、出詐騙劇本。另外的一種可能，是通過AI發(fā)現(xiàn)安全漏洞，但我感覺在短期內(nèi)還不太可能發(fā)生，可能未來有這個(gè)趨勢(shì)。

對(duì)于黑產(chǎn)團(tuán)隊(duì)來說，AI目前主要是提高效率，技術(shù)手段還沒有特別多的創(chuàng)新。但黑產(chǎn)團(tuán)隊(duì)對(duì)深度偽造的利用，可能是會(huì)爆發(fā)的一點(diǎn)，如果黑產(chǎn)團(tuán)隊(duì)有你的人臉信息，和其他足夠多的數(shù)據(jù)，可以生成足夠逼真的視頻或音頻詐騙。

當(dāng)然，技術(shù)的發(fā)展也會(huì)驅(qū)動(dòng)網(wǎng)絡(luò)安全的AI化建設(shè)，可以相應(yīng)提高安全防護(hù)水平。在我們領(lǐng)域，相信魔高一尺道高一丈。有一句話叫沒有絕對(duì)安全的系統(tǒng)，網(wǎng)絡(luò)攻防的對(duì)抗，本質(zhì)是成本的對(duì)抗，我們建設(shè)網(wǎng)絡(luò)安全體系，目的不是保證系統(tǒng)100%安全，是阻止那些低水平的攻擊者，繼續(xù)投入，就能阻止中水平的攻擊者。我們投入防守，是去提高攻擊者的攻擊成本。

最容易被盯上的四類人群

泄露的個(gè)人信息大概可以分為五類。

最常見的是基礎(chǔ)信息，姓名、地址、身份證等；其次是應(yīng)用數(shù)據(jù)，有很多企業(yè)會(huì)對(duì)用戶做分析打標(biāo)簽，比如喜歡吃什么食物、消費(fèi)水平怎么樣、有怎樣的資產(chǎn)，這些標(biāo)簽數(shù)據(jù)就屬于應(yīng)用數(shù)據(jù)。還有設(shè)備信息，比如手機(jī)設(shè)備的數(shù)據(jù)；還有網(wǎng)絡(luò)信息，包括IP信息；還有就是關(guān)聯(lián)出來的家庭、好友圈信息等。

個(gè)人信息在買賣環(huán)節(jié)是明碼標(biāo)價(jià)的，價(jià)格高低在于它的價(jià)值、數(shù)據(jù)完整程度，以及新鮮度等。

帶有行業(yè)屬性的信息比較值錢。金融數(shù)據(jù)有很高價(jià)值；投資網(wǎng)站泄露的信息，價(jià)格也會(huì)高一些，比較新的數(shù)據(jù)一條可能賣到幾塊錢。你肯定有錢才想去投資，對(duì)于詐騙的人來說，是比較好的目標(biāo)。

另外就是外賣或者快遞數(shù)據(jù)，因?yàn)楹械刂沸畔?。大多?shù)的信息注冊(cè)需要姓名、身份證、手機(jī)號(hào)，但不需要住址，所以這個(gè)信息相對(duì)來說比較稀缺。

地址有很多應(yīng)用場(chǎng)景。比如說催收需要你的地址信息，網(wǎng)絡(luò)暴力需要地址信息，詐騙也需要地址信息。之前有一種詐騙，中秋節(jié)給你寄一張蟹卡，需要掃碼綁定一些信息，然后把你的錢轉(zhuǎn)走。

如果單純是姓名、身份證等基礎(chǔ)信息，就不太值錢，黑產(chǎn)團(tuán)隊(duì)需要對(duì)這些數(shù)據(jù)進(jìn)行深度挖掘才能拿來所用，這樣的數(shù)據(jù)幾萬條可能就幾塊錢。

我曾經(jīng)見到過一份來自貸款網(wǎng)站的數(shù)據(jù)，它包含了姓名、身份證正反面，手持照片人臉識(shí)別的認(rèn)證視頻，包括念數(shù)字認(rèn)證的聲音。這種數(shù)據(jù)賣得貴一些，一條可能要十幾二十塊。每個(gè)人的聲紋和人臉是具有唯一性的生物數(shù)據(jù)，他們可能會(huì)利用AI技術(shù)做人臉替換。

一個(gè)是營銷，比如我們買房后收到裝修電話。

還有詐騙，冒充你的領(lǐng)導(dǎo)讓你轉(zhuǎn)錢。詐騙的很多場(chǎng)景是基于泄露的數(shù)據(jù)做的畫像構(gòu)造，然后設(shè)置劇本，這樣的話成功率要高很多。

第三是競(jìng)爭(zhēng)對(duì)手；第四是個(gè)人，比如“人肉開盒”，對(duì)應(yīng)的是網(wǎng)絡(luò)暴力。

從信息泄露的主體來看，企業(yè)數(shù)據(jù)泄露是最多的，包含了我們常用的互聯(lián)網(wǎng)工具的公司；醫(yī)療機(jī)構(gòu)、教育機(jī)構(gòu)信息泄露相對(duì)來說也比較多；還有第三方的服務(wù)提供商。之前，有一份大概上億條的外賣訂單地址的數(shù)據(jù)泄露，泄露的源頭就是第三方的配送商。

企業(yè)、醫(yī)療、教育和供應(yīng)鏈，有一個(gè)共同點(diǎn)，他們不像金融機(jī)構(gòu)、大型互聯(lián)網(wǎng)公司在安全投入方面這么高，甚至有些第三方的服務(wù)提供商，幾乎沒有網(wǎng)絡(luò)安全建設(shè)。

從工作經(jīng)驗(yàn)來看，有四類人群的個(gè)人信息最容易被盯上。

第一類是高凈值人群，對(duì)于詐騙團(tuán)伙或者推銷人員來說，都意味著很高價(jià)值。

第二類是在校學(xué)生，個(gè)人防護(hù)意識(shí)和能力比較弱，對(duì)于詐騙團(tuán)隊(duì)來說是比較好下手的對(duì)象。

第三類是老年人，對(duì)應(yīng)保健品推銷和詐騙。老人對(duì)于互聯(lián)網(wǎng)技術(shù)了解的不多，容易受騙；也有相當(dāng)?shù)慕?jīng)濟(jì)能力。

最后是患者信息，這也是比較高危的信息，因?yàn)榇蠹叶己茉诤跎眢w健康，對(duì)于黑產(chǎn)團(tuán)隊(duì)來說，價(jià)值就比較高。

個(gè)人信息買賣產(chǎn)業(yè)鏈的上中下游

個(gè)人信息泄露背后是一門生意，這個(gè)產(chǎn)業(yè)鏈條可以分為上游、中游和下游。

上游是黑客和“內(nèi)鬼”。他們以批發(fā)或零售的形式快速獲利。

黑客群體也分三六九等，初級(jí)和中級(jí)黑客廣撒網(wǎng)，可能一次性攻擊1000家或者1萬家公司，高級(jí)黑客就選3到5家有價(jià)值的定向攻擊。

還有被業(yè)內(nèi)稱為“腳本小子”的黑客，這些人不懂攻擊原理，也不懂漏洞挖掘，只會(huì)用開源工具對(duì)一些幾乎沒有防護(hù)的網(wǎng)站進(jìn)行傻瓜式攻擊。“腳本小子”的組成非?；靵y，有社會(huì)不良分子，甚至有初中生、高中生，他們對(duì)黑客技術(shù)沒興趣，只想掙錢。

現(xiàn)在很尷尬的一點(diǎn)是，有很多以往的安全防護(hù)人員，因?yàn)橐恍┰?，在做攻擊類型的黑產(chǎn)。我之前團(tuán)隊(duì)的一個(gè)兄弟離職之后，去了國外，我從其他渠道獲知，他就在做黑產(chǎn)相關(guān)工作。我當(dāng)時(shí)很吃驚，曾經(jīng)身邊很鮮活的一個(gè)人，讓我有些捉摸不透。

其實(shí)做技術(shù)，多多少少會(huì)對(duì)技術(shù)有敬畏，你知道什么事做了之后就很難回頭了。

我們常見的很多信息都是內(nèi)部人員泄露的。比如酒店相關(guān)的業(yè)務(wù)人員，有查詢開房記錄的權(quán)限，有可能一次查詢收費(fèi)大幾百塊、一兩千塊，包括一些可以查資產(chǎn)信息、婚姻信息的人員。

我覺得這些人都不是很高職位，大多來自業(yè)務(wù)一線。我之前看到過新聞，有輔警查個(gè)人信息，有車管所的人往外傳遞新車的注冊(cè)信息。甚至房產(chǎn)售樓處的人也有可能成為“內(nèi)鬼”，大家買房后經(jīng)常接到各種電話，深受其害。

從行業(yè)上來分，掌握個(gè)人信息的行業(yè)里都有可能有內(nèi)部人員做這樣的事情，酒店、外賣、快遞、行政機(jī)關(guān)的工作人員等等。根據(jù)經(jīng)驗(yàn)，酒店行業(yè)“內(nèi)鬼”相對(duì)多一些，可能查詢的需求會(huì)比較強(qiáng)烈，還有就是有辦法接觸到戶籍信息的行業(yè)。

暗網(wǎng)里面售賣源頭信息的這些人，會(huì)提供快查和慢查服務(wù)。慢查基本就是“內(nèi)鬼”去查，他們絲毫不會(huì)掩飾“內(nèi)鬼”這件事情，會(huì)把“內(nèi)鬼”作為宣傳的手段和獲客能力。

中游分為信息加工者和數(shù)據(jù)分銷者，兩者也可能是一體的，主要賺取信息差。他們將買到的數(shù)據(jù)清洗和整合，提高數(shù)據(jù)的價(jià)值，也可能針對(duì)下游需求向上游定制數(shù)據(jù)。打個(gè)比方，如果上游是菜市場(chǎng)，下游是消費(fèi)者，中游就是飯館，起到一個(gè)烹飪的角色。

上游隱匿性很強(qiáng)，很難溯源。中游相對(duì)來說更好定位，但中游現(xiàn)在基本都是通過數(shù)字貨幣進(jìn)行分銷，如果反偵察意識(shí)足夠高的話，也很難定位到他的信息了。

下游就是信息購買者和使用者，比如常見的詐騙團(tuán)伙，發(fā)垃圾短信的營銷公司，獲取商業(yè)情報(bào)做不正當(dāng)競(jìng)爭(zhēng)的對(duì)手。還有就是個(gè)人，主要的目的可能是想追蹤某個(gè)人、報(bào)復(fù)某個(gè)人，或者網(wǎng)絡(luò)暴力。

“大家都在賭，賭我不會(huì)被攻擊”

有一種觀點(diǎn)認(rèn)為，信息泄露和個(gè)人或社會(huì)層面對(duì)隱私的漠視有關(guān)，我是不認(rèn)同的。以我個(gè)人為例，我很注重隱私安全，但是我的信息泄露的也很多，我想去保護(hù)隱私，但是我做不到。

我的信息托管在很多公司的服務(wù)器中，自己肯定是自己數(shù)據(jù)的第一責(zé)任人，但是你保護(hù)好的同時(shí)，還得寄期望于存放數(shù)據(jù)的這些單位或公司。所以說，我有一種無力感。

我在點(diǎn)外賣、寄快遞的時(shí)候起一個(gè)不是真名的名字，比如京東收件人叫盧京東，淘寶叫盧淘寶，如果有人打電話問是不是盧淘寶，我知道是在淘寶泄露的。有些軟件我也會(huì)用小號(hào)登錄，其實(shí)背后就是一種無奈和無力。

現(xiàn)在APP收集個(gè)人信息，我認(rèn)為是過度收集違規(guī)收集的。我們使用的這些APP，有一個(gè)隱私收集協(xié)議，標(biāo)明了會(huì)獲取哪些數(shù)據(jù)，那個(gè)很長，好多頁，很多人可能不太會(huì)去關(guān)注。

個(gè)人隱私保護(hù)很大的一個(gè)痛點(diǎn)，就是大家對(duì)于數(shù)據(jù)的流向沒有知情權(quán)，不清楚你的數(shù)據(jù)做什么用了，比如輸入法數(shù)據(jù)，或者一些聊天數(shù)據(jù)可能會(huì)被用來做大數(shù)據(jù)的推廣。

關(guān)于信息泄露的治理，其實(shí)我們國家一直在出臺(tái)一些法律，比如《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》，還有《數(shù)據(jù)安全法》，包括近兩年數(shù)據(jù)安全的需求也越來越大，總體來看肯定是向好的。

數(shù)據(jù)泄露很難監(jiān)控。比如企業(yè)不會(huì)主動(dòng)上報(bào)，不會(huì)通知用戶，你不知道他的數(shù)據(jù)泄露了。比如有些數(shù)據(jù)可能在暗網(wǎng)流通，但也有可能沒有到外部渠道，他們內(nèi)部就有流轉(zhuǎn)需求，等數(shù)據(jù)流通出來，可能是兩年或者三、四年之后了。

從企業(yè)安全治理來說，國內(nèi)很多公司對(duì)于數(shù)據(jù)安全的投入還不大，很多企業(yè)甚至剛開始做基礎(chǔ)安全，它都沒有安全部門，甚至對(duì)于安全漠不關(guān)心。安全是一個(gè)成本部門，不是盈利部門，大家都在賭，賭我不會(huì)被攻擊，賭我今年不花這錢也沒什么影響。他們的意識(shí)也不高，甚至很多企業(yè)會(huì)把我們的數(shù)據(jù)當(dāng)做一種商品，拿來售賣或者加工。

這里還要提一下暗網(wǎng)，它是導(dǎo)致信息泄露更泛濫、治理難度加劇的一個(gè)重要原因。

伴隨著加密貨幣的興起，交易環(huán)節(jié)開始遷移到暗網(wǎng)。它是匿名化的，想要追蹤交易者的身份，成本很高；它有一定的技術(shù)壁壘；另外，交易很復(fù)雜，可能涉及很多國家，法律監(jiān)管和執(zhí)法協(xié)作相對(duì)來說也比較困難。

在我十幾年的從業(yè)經(jīng)歷中，個(gè)人信息泄露之后，我從沒有見過維權(quán)的案例。我知道數(shù)據(jù)泄露不好，但也知道沒有辦法，維權(quán)成本太高，就是剛才提到的那種無力感。

現(xiàn)在的生活很智能化，我們的數(shù)據(jù)不停地在各種APP流轉(zhuǎn)。有人提過一個(gè)觀點(diǎn)，隱私就是一種幻想，我現(xiàn)在是認(rèn)可這句話的。大家一定要有意識(shí)，不必要的權(quán)限不開，盡量避免太多的信息被收集。我電腦里很多軟件，如果我認(rèn)為它沒必要聯(lián)網(wǎng)，會(huì)用防火墻軟件禁止聯(lián)網(wǎng)；我基本不會(huì)把通訊錄授權(quán)給他們。作為個(gè)人，只能盡量減少暴露的可能性。