网易邮箱帐号 大量网易邮箱账号遭公开叫卖 个人信息裸奔到何时?
一只“黑手”正悄悄向湖北宜昌人李惠琴伸出手。
一年前,她在“每日婚姻网”上的注册信息被公开叫卖,让她饱受骚扰电话之苦。人民网创投频道发现,卖家发的几十条验证信息包括注册名称、手机号码、微信号、ID。人民网创投频道尝试加了很多人的微信。他们通过验证后,确认泄露的信息是真实的。《每日婚姻网》回复,经核实,数据为前期数据的一部分。
随着互联网市场的快速增长,信息泄漏时有发生。
在某个交流平台上,有人公然叫卖网易邮箱账号,几百万封邮件的价格只有50块钱。卖家声称能够向这些邮箱发送营销信息,并显示据说包含数百万个电子邮件帐户的文档。人民网创投频道发了几百封邮件测试,反馈信息显示只有6个邮箱没发。网易邮箱内部人士证实,如果不退,证明该账号存在于网易邮箱的账号中心,也就是说该账号确实存在。
这是一个暴利行业。卖家声称某天赚到了买iphone7的钱,并表示通过爬虫软件抓取邮箱不违法。但大成律师事务所高级合伙人张虹认为,从卖家获取数据的方式来看,涉及到捕捉用户数据和个人交易信息时,可以认定这是法律禁止的,卖家的行为有更高层次的违法嫌疑。
知名互联网安全技术工程师王一表示,如今,信息交易黑市已经出现了数据定制服务和一站式服务。信息泄露的主要原因是平台服务器安全措施低,容易被黑;黑客通过软件漏洞进行攻击;公司内部人员出售用户信息。
数百万个邮箱标价50元
在市场上,个人信息的售价一般都很低。
卖家李娜自称有大量网易邮箱用户数据,量大且便宜。经过一番讨价还价,人民网创投频道花了50块钱,看到了它卖出的100万个邮箱账号的信息。
至于为什么只卖网易邮箱,李娜毫不犹豫地表示,客户喜欢网易邮箱,用户数量巨大,只要网易不倒闭,她就有生意。
网易邮箱自1997年成立以来,已经走过了22年,拥有8个系统。截至2016年9月,网易邮箱用户总数达到8.9亿,网易邮箱在中国的市场份额自2003年以来一直位居全国第一。
2019年2月,有媒体记者问丁磊,“如果按照社会推广排名,你认为网易产品前三的是哪三款产品?”
丁磊说,首先是网易邮箱,1997年开始的。网易坚持做邮件20年,提升了网民的沟通效率,尤其是海外沟通。
众所周知,丁磊最初依靠发展电子邮件和门户业务,后来登陆美国纳斯达克(NASDAQ)。
李娜还挖掘了网易邮箱的商机。她说前几年主要卖手机号,每个3毛钱。后来,她发现了网易电子邮件的商机。现在她把邮件卖给不同的商家,每天账户里都有资金记录,盈利模式稳定。“当我挣得最多的时候,有一天我挣钱买了一台iphone7。”据多家电平台官方展示,几年前一台iphone7的价格高达几千元。
随后,李娜提供的截图显示,有卖家以1000元从她那里购买了500万条数据,交了500元定金,同意当天晚上发货。“只要你能出得起钱,我就能提供足够的数据,能卖出去的金额就能让你破产。”
另一个卖家在社交平台上公开出售“每日婚恋网”的用户信息。他声称自己有该网站7万注册用户数据,售价1000元。他还说很多客户都想买,但是具体用途不明。“有人要的是女性单独信息,有人要的是男性信息。”
卖家称,客户提前向客户提供了“每日婚恋网”链接,获得后台权限后可以“窃取”用户注册信息和7万注册用户数据,价格在2000元以上。
卖诈骗?
倒卖数据的巨额利润一度让王一感到兴奋。
他说,有一段时间,他思考自己是否参与了数据窃取的业务,觉得太赚钱了。他认识一些朋友,通过买卖数据,他每年会赚几十万美元,只利用工作之外的额外时间。
王一说,个人信息泄露涉及四大领域,包括开房记录、名下资产、乘飞机记录、网吧上网记录。此外,手机实时定位和手机通话记录被视为最容易获取的数据,以便出售,甚至提供每周7×24小时不间断服务。“只要有人付钱,就很容易找到。”
王一透露,这种信息并不是一种昂贵的数据类型,即使对某个人来说,获取这种信息也只需要不到1000元。
王一表示,如今,信息交易黑市出现了数据定制和一站式服务,这表明互联网黑产品侵犯个人隐私的现象越来越明显。
这也说明了泄露的个人数据是有市场需求的。据王一说,现在的数据处理技术非常完善。只用一台电脑,就可以深入分析看似杂乱的数据,了解数据拥有者的具体收入,是否有房,是否单身,是否有私家车,喜欢什么颜色等。这为欺诈者创造了更多的欺诈机会,因为通过定向推送进行欺诈比通过垃圾邮件进行欺诈更有效。
在柬从事中国地下赌博业务的张莉认为,东南亚有一万多家不同规模的赌博公司,他们需要大量可靠的数据。经过沟通,游戏公司之间形成了信息交流渠道。例如,一家公司将100个客户的数据与另一家公司的100个客户的数据进行交换。"通过数据交换,每个人都可以开发和利用不同的客户."
张莉说,在游戏行业,它有着鲜明的特点,不同的人会参与各种类型的游戏活动,所以某个客户信息可以多次使用,他们会在不同的游戏公司消费。"关于高质量‘顾客’的信息定价在5000元左右."
“你别以为价格高。如果一个数据敢卖这个价,就意味着可以为买家创造数倍的收益,这也让一大批人铤而走险。”
张莉说,他曾经有一个合作伙伴,对方有很多有效数据,可以为市场拓展提供有力保障。对方告诉他,数据是他在大公司工作的亲戚提供的。
"市场上不可避免地会遇到类似的交易."张莉表示,对于公司来说,必须有相应的制度和管理规范来防止信息和数据泄漏,但从实际情况来看,许多中小型公司只能满足最基本的数据保护。
内幕操作?
但从紧张的角度来看,公司里的人不考虑黑客因素就泄露数据的现象尤为普遍。
王一也赞同这一声明。他说,少量安全级别相对较低的信息,如金融产品细节、用户账户等,可以直接被爬虫程序捕获。但是从技术角度来说,大部分平台都没有办法通过爬虫软件获取用户的电话号码、账号等细节。
王一说,爬虫软件是模拟人类操作、直接登录、抓取页面等常规操作。如果网上没有这样的数据,就需要直接从公司后端数据库抓取信息,不能使用爬虫程序。
在王一看来,数据可以通过爬虫软件获取,这说明安全级别不高。如果直接获取安全级别高的数据,需要一定的技术。
王一说,一般来说,有三种方法可以获得公司数据库的内部数据,这也是市场上最常用的方法。一是对方平台服务器安全措施低,技术手段进入对方系统获取操作权限。第二,黑客通过渗透测试工具和软件漏洞进行攻击。第三,内外勾结,公司内部人出卖信息。
其实这已经不是网易邮箱的意外了。
对此,网易的免费邮件当时说用户重视信息安全,网易也有同感,一直注重保护用户隐私。网易邮箱每天处理约2亿封邮件,不存在任何个人参与窥探用户隐私的可能性。网易不存在也不会容忍出于商业目的收集用户隐私的行为。同时,网易E-mail将规范营业部,避免因夸大宣传而产生误导。
华为高级工程师张赫表示,如果网易邮箱账户泄露,无论是否参与交易,网易都应该承担责任。"保护用户的数据隐私是平台的最低责任."
“网易应该承担责任。”张虹还表示,网络运营商应采取技术措施和其他必要措施,以确保他们收集的个人信息的安全,防止信息泄露、损坏或丢失。当个人信息被泄露、损坏或丢失时,应立即采取补救措施。但网易邮箱账号的披露并未得到网易内部人士的证实。
买卖数据不违法?
在卖家李娜看来,通过爬虫技术获取网易邮箱和交易并不违法。“爬虫程序是我男朋友做的,是网上公开的信息,不涉及非法活动。”
“爬行数据的合法性其实很狭隘。只有在不妨碍网站正常运行,严格遵守网站设定的机器人协议,不强制网站采取反抓取措施的情况下,这才是真正合法的数据抓取行为。”张虹认为,从法律的角度来看,虽然数据抓取是对来自公共数据的数据进行随机检查,但如果使用不当,也会突破法律的边缘。
《网络安全法》第四十二条规定,网络经营者不得泄露、篡改或者损害其收集的个人信息;未经被征集人同意,不得向他人提供个人信息。但是,那些处理后无法识别特定个人且无法恢复的人。网络运营商应采取技术措施和其他必要措施,确保其收集的个人信息的安全,防止信息泄露、损坏或丢失。当个人信息被泄露、损坏或丢失时,应立即采取补救措施,并及时通知用户,按规定向有关主管部门报告。
此外,《电信和互联网用户个人信息保护条例》第十条规定,电信运营商、互联网信息服务提供者及其工作人员应当对在提供服务过程中收集和使用的用户个人信息严格保密,不得泄露、篡改或者损坏,不得出售或者非法提供给他人。
2017年6月1日,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的“两高”解释》规定了较低的准入门槛。本司法解释根据敏感程度将个人信息分为三档。非法销售数量分别达到5万、500、5000,或者违法所得达到5000元以上的。如果是在履行职责和提供服务过程中,可以定罪。
“这说明所有条件必须共同存在才能保证最终的合法性,但是违反一个条件就是违法的。据我所知,大量程序员在爬取数据的过程中或多或少都有违法嫌疑。”张虹说。
在张虹看来,如果一个企业想合法地获取数据,它必须满足两个条件。第一,互联网公司只能收集提供服务所必需的个人信息,非必要信息不宜收集;第二,企业必须明确收集和使用的目的、方法和范围,并征得用户同意。最常见的形式是注册账户前需要检查的“隐私协议”。
如何保护数据隐私?
近年来,随着互联网市场的快速增长,个人信息保护不力的情况屡见不鲜。
3月27日,上海市消费者权益保护委员会发布了39款网购、旅游、生活常用手机应用的评测结果,涉及个人信息权利。结果显示,25款应用存在数据问题,尤其是“日历”权限的过度应用和任意授权更令人担忧。
也就是说,这些应用已经申请了发送短信、录音、拨打电话、读取联系人、监控呼出、重置呼出、读取通话记录等敏感权限。,但它们尚未在应用程序中使用。
张赫告诉人民网风险投资频道,在市场上,侵权行为无处不在,有明有暗。
统治地位意味着数据泄露已经影响了人们的生活。商家通过电话、邮件等方式向公民发送广告,甚至进行欺诈。
所谓的隐形数据泄露最简单也是最常见的表现形式是,当你在搜索软件中搜索时,关于你的数据已经传播到其他软件公司,任何公司都可以根据用户的需求提供相应的产品,然后以机票、新闻、商家等推荐的形式呈现出来。
“这让人心寒。”张赫说,人的记忆是不可靠的,每个人对自己都没有绝对的认识,但是互联网数据是固定的,互联网会比你更了解自己。如果不受控制,谁也没有隐私。
在中国,随着《网络安全法》和《关于处理侵犯公民个人信息刑事案件适用法律若干问题的解释》的实施,并与现行法律、法规和规章相协调,形成了刑事、行政和民事三位一体的法律保障体系。
张虹认为,从惩戒力度来看,我国侵犯隐私权的门槛低,处罚重,但行政处罚力度不如欧盟,民事诉讼中难以获得大额赔偿;相比之下,欧洲更重视行政监督,而美国则严重依赖民事救济,这反映了不同国家的政府在选择治理手段时的侧重点不同。