内鬼黑客狂卖个人信息“年产值”上千亿 人均至少被泄露4条

[ 导读 ] 你是不是有过这样的疑惑：刚跟朋友聊完理财、美妆、买房、贷款等日常话题，怎么就收到包括抖音、腾讯新闻甚至一些视频网站推送的与聊天内容相关的广告？ 对于个人隐私，人们从未如当下这般焦虑。今年的315晚会曝光了智联招聘、前程无忧、猎聘网等由于缺乏管

你是不是有过这样的疑惑：刚跟朋友聊完理财、美妆、买房、贷款等日常话题，怎么就收到包括抖音、腾讯新闻甚至一些视频网站推送的与聊天内容相关的广告？

　　对于个人隐私，人们从未如当下这般焦虑。今年的“3·15晚会”曝光了智联招聘、前程无忧、猎聘网等由于缺乏管理，大量个人简历泄露，被倒卖形成黑色产业。此外，内存优化大师、超强清理大师、手机管家Pro打着清理内存的名义，却通过技术手段不断获取手机中的信息，包括应用列表、定位信息、通讯录等。

　　近期，证券时报记者深入多个数据交易千人QQ群发现，各行各业的用户隐私数据被肆意贩卖，触目惊心。不时有人在群里喊单，“出一手GM（股民）、WD（网贷）、BJ（保健）信息，拼多多、淘宝、京东一手网购数据，需要数据的联系我……”这些数据按照行业划分被明码标价。甚至还有采集个人信息的系统展示，号称可以采集全国老板的私人联系方式。还有五花八门爬取数据的软件，“爬”上网站，“嵌”入APP，“铲”下数据。

　　整个数据交易过程中，内鬼、黑客、爬虫软件开发商、清洗者、加工者、料商、买家等寄生于此，催生出一个“年产值”上千亿的数据黑市。

　　APP权限申请泛滥

　　2020年网飞出品的纪录片《监视资本主义：智能陷阱》中，形象地向人们展示了这样一幅场景：社交软件后台“三名工作人员”正在紧张地分析眼前这个年轻人，他在每张图片下停留多长时间，什么样的情感更能让人产生共鸣，什么样的广告会吸引他点开。这三个人一个叫停留目标，根据停留的时间帮你选择下一个推送内容，让你一直滑动屏幕；一个叫增长目标，让你尽可能多地邀请你的朋友加入增加社交依赖；一个叫广告目标，确保你在对某物感兴趣时精准为你送上一条下单链接。

　　这一切行为的背后就是所谓的算法模型，精准算法的背后正是依托海量数据(11.730, -0.04, -0.34%)作为支撑，将人数据化。

　　那么，这些数据从何而来？

　　获取权限，是大小商家通过APP或者小程序收集用户隐私数据的第一步。当你在安装一款APP时，上万字的用户协议，呈现在你巴掌大的手机屏幕上，你会逐字看还是快速按下“同意”？“不同意”很可能导致APP退出无法使用。

　　APP越界索权的现象已是不争的事实。以美图秀秀为例，实难想象，一款P图软件要获取一个人这么多信息，包括搜索记录、浏览记录，甚至是日历、地理位置。仔细阅读美图秀秀个人信息保护政策发现，若将美图秀秀内容分享至第三方平台时，还会读取用户的应用列表信息。美图秀秀还会向游戏合作伙伴提供身份证号信息，甚至还会向合作伙伴共享用户的付款信息。

　　条款中还声明，基于现代移动互联网产品互联互通的特性，产品可能接入美图关联公司或外部合作伙伴上线的其他产品或功能，比如在使用钱包功能时，美图可能从第三方获取用户的手机号、授信额度、还款金额、放款成功状态、逾期状态等。

　　这意味着，只要用户使用美图软件并授权，美图秀秀不仅可从自家APP上获取用户信息，还会从第三方平台上进一步获取用户更为详细具体的信息。

　　“这种行为其实十分普遍，国内用户可能对个人信息的保护意识并没有很强烈，这给了企业很大的选择度，行业称之为‘占坑’。有些数据现在不需要，但并不代表以后不需要，在获取用户授权后抓取到的用户信息当然越多越好。”某金融科技公司大数据风控架构师肖强称。

　　证券时报记者从衣、食、住、行、社交、娱乐、理财等方面对25款APP相关权限获取进行统计，发现和用户社交圈紧密相关的通讯录权限已经成为APP权限标配。除此之外，这些APP还会通过一些特定功能读取通讯地址、手机存储、照片、甚至记录面部识别、日历还有通话记录，手机APP权限申请已经到了泛滥成灾的地步。

　　稍微值得欣慰的是，APP过度申请权限收集数据正在被加强监管。

　　3月22日，国家网信办、工信部、公安部、国家市场监督管理总局联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，明确了地图导航、即时通信、网络购物等39类常见必要个人信息范围，要求运营商不得因用户不同意提供非必要个人信息，而拒绝用户使用APP基本功能服务。

　　不过，肖强向记者表示，“可能大家都知道APP在收集个人隐私数据，但除此之外，用户的数据还可能同时被隐藏在APP里的第三方SDK（软件开发工具包）收集。”

　　SDK收集的用户信息可以详细到什么程度？北京网贷协会数据安全专家韩洪慧表示，“SDK一旦嵌入，如果你注册登录了这个APP，并默认授权，所有的行为数据都能记录，它会在不知不觉中爬取手机通讯录、聊天记录、银行账号的密码口令、短信、通讯录、位置信息等。”

　　因此，用户授权APP采集个人信息，但往往并不知道自己的个人信息在何时、以何种方式被共享给了第三方SDK。很多APP“隐私政策”的内容关于共享的相关表述中，最常见的是“可能会将用户的个人信息分享给第三方”。但是，几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。

　　对于个人信息安全的忧虑，折射出的是用户日益敏感的神经，更是用户缺乏对个人数据的知情权和主动权的表现。SDK对于用户来说，犹如一颗隐藏的“定时炸弹”，危险性不言而喻。

　　SDK提供商泄露和滥用用户信息非常隐蔽，甚至成为了泄露用户隐私的源头之一。

　　谁窃取了用户隐私？

　　数腾科技一位销售经理向记者表示，他们有自己特殊渠道去拿取一些数据，其中最为主要的渠道就是通过第三方SDK获取数据。

　　“这个渠道拿到的数据会更精确，类似漏斗模式，会把数据按照需求进行筛选。比如说网贷行业的用户数据，用户登录XX普惠，使用此款APP就要授权，一旦授权SDK就会收集这个用户的所有登录痕迹。其他消费金融公司如果也使用了这家SDK软件开发包，同样也能共享。”

　　记者进一步追问具体是跟哪家SDK友商合作时，该经理以“敏感信息”为由拒绝透露。

　　无法忽视的是，用户个人信息通过网络倒卖非常猖獗。近期记者潜入多个千人QQ群，发现群里不时有人喊单出售来自各行各业的公民个人信息。

　　记者以买家身份接触了一位QQ名为“空城”的卖家，并提出先测试数据真实性为由，要求对方提供股民个人信息数据。

　　为证明自己的数据来源，“空城”给记者提供了一张数据来源截图，收集的股民个人信息来自各大证券公司APP，广发证券(15.770, 0.08,0.51%)、中投证券、国泰君安(16.420, 0.05, 0.31%)等都中招。

　　正如“空城”所说，QQ群里的确有部分人在卖数据的时候打着“公司内部信息”旗号公开倒卖数据。“内鬼”监守自盗是个人信息流入黑产的重要渠道之一。可以接触到大量个人信息的职业，并非高门槛，岗位职级也不需要太高，泄露源可能来自各层级。

　　2020年，公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为，各行业内部都有涉案人员，查获重点行业内部涉案人员500余名，而这不过是冰山一角。

　　除了“内鬼”泄密，还有通过各种技术手段窃取公民隐私。

　　在调查采访过程中，黑市数据交易市场非常活跃且采集数据软件五花八门，其中一款名为汇容客的APP，号称“全网最全大数据获客软件”。其销售经理向记者称，“我们这款软件是全自动采集，只要搜索关键词，就能在各大网站、三大地图、三大运营商搜索出你想要的客户资源和群体，不仅是获客功能，我们还能提供营销素材，带货视频等，每档功能都会对应不同价格。”

　　当记者问及跟哪三大地图合作时，该销售经理称主要是腾讯地图、高德地图以及百度地图，并且是经过授权使用他们的数据接口，并向记者发来跟三大地图运营商盖章的合同协议。

　　就此记者向百度、腾讯以及高德公司求证是否授权汇容客使用平台用户数据，对方均一致表示不清楚这家公司，也不会将API（数据接口）随意授权。腾讯内部相关人士向记者称，这个章是假的，字体不一样。

　　为力证此款软件的数据爬取能力，上述销售经理称可以帮忙后台注册后先测试。随后记者下载了此款APP，发现这款软件可以按照地理位置、行业、客户类型等进行搜索，然后导出相应的用户数据，并且一键添加微信。

　　“因为只是体验所以你不会看到客户手机号，这也是我们公司为了维护其他会员权益。我们会跟一些第三方SDK合作，也会跟一些大的互联网公司进行API数据接口对接，我们跟腾讯、百度、华为、阿里、抖音、快手、美团、饿了么都有战略级合作关系，资源高度整合。”该销售经理称。

　　记者发现汇容客软件上显示数据来源主要为地图数据、工商数据、抖音、快手、阿里巴巴、美团、饿了么、京东互联网巨头。

　　针对软件所提及的数据来源，证券时报记者向腾讯、阿里、美团、京东等都一一核实，多数均表示并没有将API数据接口跟名为汇容客的第三方共享，仅快手表示不回应。阿里公关进一步称，集团不可能允许该公司通过API接口爬取调用蚂蚁用户信息，目前已经在深入调查此事。

　　“能从这些网站爬取到用户数据肯定是用了相关一些技术，其实爬虫技术并不神秘，‘爬’上网页，‘铲’下数据，然后再进行加工清洗。这类软件众多，大部分是在全网进行无差别爬取客户资料，后面通过加工进行精准分类。由此还延伸出职业清洗数据和标注的人。”专门编写爬虫代码的阿强向记者透露。

　　除内鬼和通过技术手段之外，黑客是盗取大量个人信息的另一重要源头。从此前京东用户密码泄露事件到如家酒店的用户数据泄露，网站和黑客在用户数据上一直在进行着旷日持久的攻防战。

　　而黑客通过技术入侵网站盗取公民个人信息并不难，少则几天多则一个月，而且很少被管理员发现。在黑客圈子里，大家都有个默契，入侵网站获取权限和信息后，都会互相交换数据，互通有无，让盗取的公民个人信息库越来越大，掌握的个人信息也越全。

　　2020年全国公安机关在“净网2020”专项行动中，侦办黑客攻击及新技术犯罪案件1782起，共有2952名涉案黑客被抓获。事实上更多的黑客依然潜伏于地下。