今年3月,京东主动公布:处于试用期的京东网络工程师郑海鹏,与外部黑客团伙勾结,盗出大量物流、交易及用户身份信息。警方介入后,发现这竟是个“职业内鬼”,曾在多家互联网公司任职,盗窃个人隐私数据达到50亿条。
去年,也有3个来自京东物流部门的“内鬼”,盗走了9313条用户数据,这些信息最后被用于骗取了上百万用户的资金。
隐私数据倒卖远比你想象的猖獗。在已公布的案例中,携程、圆通快递、世纪佳缘、当当网、如家酒店……都曾遭遇过类似的数据洗劫。
大型互联网公司约等于一个又一个肥美的大型数据库。盗取和贩卖隐私则是个产业。
“全世界只有两种网站:被破解的网站,和还不知道自己被破解的网站。”网络安全工程师魏从对36氪说。
魏从这样的行内人,能看到黑色数据的贩卖在“暗网”上持续进行。全球共有7万个网站在暗网上潜伏,你可以在那找到隐私、军火、A片,甚至谋杀教程。尽管卖的都是些惊悚的“货品”,暗网看上去却与普通电商的货架无异。
在暗网上,身份证号、社保账号、电话住址等个人数据被打包售卖,依据详细程度要价不同。
由于数据是可复制的,一旦流入暗网就会被无限转手。从深网,逐渐上浮到卖到表层网络,甚至普通人能接触到的贴吧、网盘。与此同时,数据的价值和标价也层层稀释。一家100人体量互联网公司的用户数据,在暗网上标注的价格可能是1000元,倒过几手后,价格也会稀释到起初的十分之一。
对于有技术的黑客,把几十万人的隐私数据偷出来贩卖只是分分钟的事。他们成团伙作案,顶级的黑客会把入侵工具撒入互联网,自动破解触及到的网站,一扫“中弹”的可能就成百上千。数据得手后会被转给专人破解、加工和整理,在由负责销售的人以不同价格卖给不同的买家。
每时每刻,都有网站被攻破。
疯狂的窃取,驱动自最强烈的需求。
隔三差五,何崇就会接到客户买数据的要求。何崇经营着一家用人工智能技术做精准营销的公司,何崇发现,在移动营销领域想多赚点钱,几乎避不开数据购买,广告主越来越好奇自己的用户都是些什么人,他们希望何崇不仅仅提供算法,也能一站式补全用户数据。
精准营销、人工智能都是大的数据买家。百度一年仅在数据堂购买的语音数据就达到一两千万小时。初创人工智能公司的平均购买量,也动辄在30万至200万小时之间。数据堂创始人齐红威回忆,10年前在实验室训练机器人时,市面上的购买量也不过一两百个小时。
但人工智能底层技术离钱很远,而在互联网金融行业,数据约等同于钱。也因此,“买个人隐私数据最凶的,是金融类企业。”互金公司给何崇开出的补全数据价码最高,是一个人头100块钱。
何崇对36氪介绍,中国的金融信贷公司,大致有三条购买数据的渠道:央行征信中心、有公安背景的征信机构国政通、查学生数据的学信网、以及运营商等国有渠道;第三方大数据服务商;精准营销公司。
白色渠道的数据查询需求已经在急剧增长。据财新报道,2016年,有公安部背景的身份证查询中心,一套带人像照片比对的查询量共约26亿次;而在2012年,年查询量还不到10亿次。查询量激增主要源于大量的消费金融需求。
但在白色渠道外,绝大多数金融机构仍严重依赖来自后两类渠道的数据。因为“白色”渠道能提供的数据有限。以央行征信中心为例,截至去年下半年覆盖中国8.8亿人口的征信数据,这意味着其余5亿人口的信息是一片空白。
这5亿人口,多是蓝领、大学生或刚步入社会的年轻人,尚未在任何银行留下信用记录。与此同时,他们也是如今最时髦的现金贷、消费金融公司、以及陷入转型危机的传统银行紧盯的用户。
现金贷的风险控制方式,正是大数据新时代的典型案例。网贷之家CEO徐红伟告诉36氪,小额贷款的现金贷与传统十几万贷款的风控方式完全不同,后者采用线下尽调,而前者则是完全自动化在线上完成,依赖于智能手机中产生的用户数据和行为轨迹。
借贷给这类高风险人群,最关键是要能收得回帐,预先识别出好人坏人。做好风控模型、预判违约成本,是这门生意最关键的命门,而养模型的前提就是先拿到用户数据。
风控对数据的渴求没有边界:身份证、学历学籍、信用卡和银行卡号、设备指纹、消费情况、LBS数据及手机中的使用行为数据,乃至你银行卡的金额和收支信息。每增加一项数据,坏账就少了一些,利润就多了一些。
出于风险考虑,何崇不愿意自己买数据,他管这叫“脏活”。一般做数据购买的是数据代理商,通常由数据服务公司、咨询公司来扮演。
这些数据服务公司通过自己的门路,找到上游或黑或白的卖家:盗取数据的黑客、通过在APP中植入SDK插件来获取数据的工具类公司、沉淀了大量用户数据的电商公司,甚至想偷偷赚上一笔、有用户系统权限的手机厂商。
据财新报道,一家叫做“联动优势”的公司提供的数据详尽得可怕,包括:个人开卡银行张数、借记卡张数、信用卡卡龄、账龄,近三个月到一年的账动笔数、出入账总金额,银行卡消费总额(包括线上消费)、当前余额、手机号入网年限、手机号是否实名等。一家叫百融金服的公司,产品清单上也有银行卡月度收支数据。
联动优势的关联方公司与运营商长期合作,为十余万家客户提供短信群发服务,包括政府机构、互联网、商业企业、金融保险、银行、物流等。与其有业务往来的人士认为,联动优势加工数据后,“将金融有关的信息,比如银行发给客户的交易信息,卖给金融行业有风控需求的公司,以及贷款催收部门。”
从黑灰色渠道购买,也是为了省钱。“灰色渠道的卖法无非是拷贝一份数据,所以可以卖得很便宜。去白色渠道国政通查询一次身份证需要5块钱,但很多互联网公司其实都掌握了大量的用户数据,开价2毛钱,甚至几分钱就可以查一次。”融之家CEO张建梁告诉36氪。
企业对隐私数据的贪婪和越界获取,终归引发了政府的关注。是6月1日新出台的《网络安全法》,首批打击目标就是黑客、数据交易公司,互联网公司“内鬼”。
根据最高法、最高检的司法解释,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上”,即属情节严重,可入刑。
整肃开始了。
今年的网络安全大会,魏从看到台上罕见的出现了“蓝帽子”嘉宾(即公安背景的“黑客”),演讲的核心就是不同程度的盗取数据行为,将受到怎样的法律制裁。
9月的一宗判决起了杀鸡儆猴的作用。地产经纪杨某,因侵犯个人信息罪被法院判决拘役三个月,并处罚4000元人民币。起因是,她通过微信给上级主管发送了113条某小区业主的个人信息。其中包括房产面积、门牌号、楼栋号、楼层、姓名、电话及楼盘名称。这些信息,是她所在的公司准备用来“拉客户”的。
鉴于“买房、借贷、孩子上学”,是中国骚扰电话的永恒的三大主题,个人隐私信息在房产中介圈的疯狂流转,早已成为潜规则,行里人常在QQ群中交换和买卖业主的信息。如今,地产圈风声鹤唳。“现在风声太紧了,前两天刚有同事被抓,”36氪接触的十几位房产中介,皆以太过敏感为由,拒绝了采访。
为了规避政策风险,在《网络安全法》实施前,同盾停掉了“失联人修复”服务。因为这项服务涉及为有的银行提供用户的联系方式,在新规之下颇为敏感。
“过去我们给一些银行提供过这项服务,但对方具有完整的用户授权,”同盾科技副总裁顾威对36氪解释称,“我们并不靠这项边缘业务赚钱,只是为解决客户针对其恶意逾期用户的催款需求。”
据他估计,“至少80%沾染黑产,从事征信和反欺诈数据交易的公司会倒闭。”
未完待续。
(文章首发于36kr,版权归36kr所有。应采访对象要求,文中何崇、魏从为化名。36氪作者林渟对此文亦有贡献)