网络“黑色产业链”调查：环环相扣的数据泄露

本篇文章6229字，读完约16分钟

编辑

在大数据和云计算时代，互联网正在重建整个制造和服务行业的操作系统，买家和卖家之间的对接越来越依赖大数据，而不是实体店面和中介。数据库的作用越来越重要，但安全性却难以保证。本课题的调查试图揭示网络数据泄露的链条，而案例分析则试图揭示公民个人权利保护的难度，这有赖于网络法治的推进。

本报记者吴报道

黎明时分，大鸟(化名)整夜都在完成他的任务。他用冷水洗脸，然后起身去公司上班。

白天，他是一家互联网公司的程序员。晚上，他是网络论坛上活跃的“白帽子”。

“白帽”(White Hat)是业内的一个常见名称，即积极黑客，他们识别计算机系统或网络系统中的安全漏洞，并发出漏洞警告，从而提醒企业或其他单位在被黑客攻击之前修复漏洞。

因为白天不允许工作，这只大鸟只能在晚上做“白帽子”的工作。这让他很累。如果大鸟进入活跃状态，它可能会长时间处于高度紧张的状态。

除了在论坛上受到同行称赞的快乐之外，他们还经常面对一群鄙视漏洞的人。因为每次漏洞被暴露，很多企业的第一反应就是“辟谣”，而不是直接面对问题。

在大数据和云计算时代，互联网正在重建整个制造和服务行业的操作系统，买家和卖家之间的对接越来越依赖大数据，而不是实体店面和中介。数据库的作用越来越重要，但安全性却难以保证。

也许是因为企业看不起这些漏洞，一些技术人员会警告企业——既然你看不起，我就给你看一份清单。有些技术人员利用薪酬漏洞威胁企业，这涉及到巨大的利益，有些甚至在短时间内完成了原始资本的积累。白帽子是由它的行为来判断的，但它可能在某个时候成为一个真正的黑客。

在中国，一些漏洞报告平台已经逐步形成，如Wuyun.com和360，它们建立了漏洞报告机制，采用了不同的方法。国家互联网应急中心还建立了漏洞共享平台，每周发布信息安全漏洞报告。

一些企业的态度也变得开明了。例如，1月14日，白帽发现了特斯拉官方订购平台的一个漏洞。原来30万元的预订费可以通过后台的白帽子改成1元。得知此事后，特拉斯很快弥补了漏洞，并承认该命令是有效的。同时，他还从总部给白帽子送去了一份官方纪念品。

经过半个月的调查，《21世纪经济报道》的记者接触了许多白帽子，其中一些人不愿透露他们的真实姓名；与此同时，《21世纪经济报道》的记者们也试图从这个被称为“社会学工程图书馆”的行业论坛中找到活跃在数据买卖链中的人。此外，通过对现有案例和司法判决的分析，我们还可以探究互联网时代这一巨大的黑色产业的潜在安全隐患。

闯入

“你不想加入我。”这是从事网络安全的程序员的“行话”。“社会”指的是社会学工程数据库，它指的是作为社会学工程分析的海量个人信息的获取。

在社会工作论坛上，你可以找到各种各样的卖家和买家。他们公然买卖各种个人信息，如开房信息、考研信息、公积金信息等。，通常由数千万条信息打包出售。他们通常称这些打包出售的数据库为“裤子”。

“社交”是指在网络上挖掘与此人相关的各种信息，破解密码，通过不同网站的海量数据下载信息...

一般来说，第一步是入侵网站的后台系统。这个过程并不复杂。对于一个电脑呆子来说，一个新的中学生也许能够入侵一个普通的网站。

这只大鸟给我们讲了他的故事。第一次学习黑客技术是在大一的暑假，他花了一个月的时间在宿舍自学。很快，你就可以进入学校网站的背景了。

从此刻起，数据有被泄露的危险。大鸟不会下载数据供自己使用，只会用它来检测网站是否有漏洞。然而，他告诉《21世纪经济报道》，黑客网站和白帽检测网站在技术路线上几乎是一样的。

大鸟不崇拜仪式感，也不喜欢称之为战斗，但它确实是一场战斗。尽管这个奖杯只是为了满足孩子般的好奇心和对技术偏执狂的渴望，但称之为“入侵者”和技术“看守者”之间的战斗可能并不过分。

在大鸟的印象中，最难忘的入侵发生在他正式成为职业白帽子之前。这是一个复杂的操作。大鸟发现了一个外国网站，并对其原始代码非常感兴趣。为了查看代码，他决定“入侵”网站。

大鸟首先用域名寻找这个人，检查他的信息，发现这个人是一个外国人。因为他不是中国人，所以他不可能有很多关于他的信息。接下来，查找该域名下的子域。

经过分析，发现一些子域被放置在几个常见的vps(虚拟私有服务器虚拟私有服务器)上，并且有几个打开的页面是空.扫描了几个港口后，他没有发现任何线索。他知道很难从这些虚拟专用网上找到问题，所以他决定寻找它的虚拟专用网提供商。

如果你获得了虚拟专用网服务提供商的授权，你就可以获得它所有虚拟专用网服务的授权，当然你也就获得了域名所指向的虚拟专用网服务的授权。后来，他在vps服务商的运行维护配置中发现了一些问题，并逐步渗透，最终找到了vps服务商所有用户控制面板的账号密码，最后找到了相应人员的账号密码。

获得用户密码后，大鸟登录到对方的控制面板。vps由控制面板操作，他的服务器上的文件可以通过进入控制面板来操作，但是没有文件打包和编辑功能。最后，大鸟上传了网页的后门并得到了它的代码。

经过一个非常复杂的过程，大鸟获得了这个服务器的授权，并顺利地看到了代码。

也许从技术上讲，这并不是很困难，但是对于大鸟来说，这种“入侵”的复杂性远远高于技术。经过一个多月的“战斗”，在看到代码后，他选择让自己睡觉并进入冬眠。

窃取数据

对于白帽来说，当他发现网站的漏洞时，他的工作就要结束了。但对于黑色产业链中的人来说，任务才刚刚开始，他们的目的是获取数据并将其转化为金钱。

据业内人士称，黑客使用的方法有很多，但路径有相似之处:访问外部网络服务器、进入内部网络、判断核心业务范围、访问核心业务服务器、查找数据库密码、查看核心数据、下载核心数据、获得最高访问权限以及清除所有痕迹。

这是一个相对理想的操作链，但并不意味着所有的黑客都能完成上述步骤。例如，“获得最高权威”并不容易，所以一些黑客下载了所有的核心数据，但痕迹仍然被记录下来。

至于目标搜索，一位接近黑色产品的人士表示，有时黑客会主动搜索含金量高的网站，入侵网站并窃取数据。这主要涉及一些与货币交易相关的公共服务行业，如信用卡或网上支付、火车票购买网站、空航空公司机票购买系统、网上购物网站等。

其他人接受直接委托。一般来说，委托方来自商业竞争对手，需要获得竞争对手的客户数据，所以他们雇佣黑客。

当进入内部网时，有时黑客会直接检查对方的员工信息是否被泄露，或者根据常用的密码进行测试。如果他们成功登录员工帐户，他们可以直接进入内部网。

然而，对于需要核心数据的黑客来说，进入内部网只是第一步。接下来，黑客需要分析数据并判断核心数据的位置，这就要求黑客熟悉网站的业务，甚至比网站的运营和维护人员更熟悉，从而判断核心数据的子域在哪个ip段，然后找到核心数据。

当然，时机是非常重要的，所有这些都应该在一个合适的时间完成:当网站流量很大，观察者很难找到它的时候。例如，一般的社交网站在上午10点和下午3点更活跃。在这样的时代，“拖库”是相对不易察觉的。

“拖库”也是行话，意思是下载目标数据。但是在许多情况下，他们不需要通过复杂的入侵程序来获取数据。因为许多人在不同的网站上注册信息时使用相同或相似的密码。因此，通过“撞上数据库”可以获得更多的数据。

2014年底，12306网站的用户信息泄露最初被称为“数据库冲突”，即用户的用户名和密码在其他网站上泄露，黑客利用从其他网站获得的用户数据包自动登录到另一个网站，匹配一些用户信息，形成一个数据库。

然而，即使信息是通过“数据库碰撞”泄露的，相关网站也很难推卸责任，因为只有存在安全漏洞，网站才有可能“数据库碰撞”。

目前，12306网站用户信息泄露的原因仍不清楚，官方也没有公布调查进展，而网络上曾经流传的泄露不是“数据库碰撞”导致用户信息泄露的例子。

黑色产业链

数据被盗后，黑客可能无法出售数据。专业“中介”应运而生。在黑色生产链中，一些人负责窃取数据，而另一些人专门从事分销，寻找目标买家或帮助买家找到黑客。

《21世纪经济报道》的记者试图找到这样的人，于是他们注册了一些社会工作图书馆论坛，发布了“雇佣黑客”的消息，并寻找一些专门从事数据交易的qq群。在qq群搜索功能中，只要您输入“数据交易”和“数据交易”等关键字，您就会看到大量活跃的群。他们的名字直截了当、简单明了，通常以“数据交易集团”和“淘宝数据交易”为特征。

《21世纪经济报道》的记者伪装成买家进入其中一个交易小组，与一个自称能够提供“来电数据(某个电话的数据)”的人进行了对接。这个人说他可以得到每个行业任何企业的收入数据。通过进入机房，实时监控拨打公司电话号码的电话，并拦截它进行销售。

然而，保证陌生人网上交易的安全性是一个难题。数据提供者可能提供虚假数据，数据购买者不希望他们的购买行为被记录下来。对于这些问题，该人士表示，他可以提供前一天的传入数据，并确保这些数据是第一手信息。在交易过程中，买家需要先买少量，然后付款后再工作。如果买家对第一批数据满意，他可以在下一步交易更多的数据。

至于交易价格，这个人说每个行业的价格都不一样。当《21世纪经济报道》的记者问及餐饮业的一个大企业时，他说这些数据的价格是1 10元，这个价格可以说是“不便宜”。

在数据交易结束后的六个月内，买方和数据提供者是唯一的所有者，数据提供者保证数据不会泄露给第三方。半年后，数据供应商可以打包并出售数据，但此时，数据已大幅贬值，一块数据的价格约为几美分。

这时，“二手资料”就出现了，它通常被转售几次，基本上被认为是“公开的”信息。这些数据在一些社会工作网站上随处可见。《21世纪经济报道》的记者已经在几个社会工作论坛潜心研究了很多天，发现每天都有几个数据供应站被发送出去。论坛用户只需支付几枚金币(一枚金币和一元钱)就可以购买大量数据，有些数据(如个别企业的内部通讯录)甚至可以免费下载。

此外，在交易组中，经常有一些交易请求，一些是寻找数据供应商，一些是销售数据。在qq群记录中，《21世纪经济报道》记者看到了其中一条信息，其中涉及到各公司老板的手机号码和电子邮件地址等关键信息。数据持有者删除了关键号码，留下了qq号码以吸引买家。

然而，拥有这种功能的qq群很多，只有《21世纪经济报道》的一名记者申请加入几十个群并通过了申请。上述知情人士表示，这种情况并不意外。

黑色生产链中中介的出现仍然是模糊的。靠近这些人的一些白帽子说，这些人有一个小圈子，他们中的一些人发展的方式是“老乡加老乡”。网络犯罪的一些特征也证实了这一特征。2014年12月6日，公安部网络安全局法务部部长李晶晶在论坛上介绍，中国网络犯罪案件区域化现象明显，如广西南宁qq好友诈骗案、福建安溪网购诈骗案、海南儋州网赢诈骗案等。

通过中国裁判文书网的公开搜索，我们还可以发现这些地区相关案件的判决数量明显高于周边地区。

《刑法》第285条规定了非法侵入计算机信息系统罪，通过已判决的司法案件也可以窥见黑市的情况。自2014年1月1日以来，中国裁判文书网共发布了15份关于非法侵入计算机信息系统罪的判决书，其中大部分是关于非法获取和买卖公民个人信息的，少数是关于买卖国家机关证件和公共机构印章的。

例如，2013年3月，1986年出生的陈某和1981年出生的崔某在两家网络游戏公司的系统中植入木马，下载了数十万个游戏账号和密码，并以1.4万元的价格售出。此后，这些账户和密码一直在网络“黑市”交易。分别被判处有期徒刑4年和2年，并处罚金3000元和2000元。

然而，并不是所有在黑市上出售的个人信息都来自对计算机系统的非法入侵，其中一些来自内部人员，这种情况并不少见。

需要面

黑色产品的形成在于强大市场需求的存在，并且有各种最终需求者参与购买数据。例如，一些商业组织是强大的需求者，他们从黑市购买数据，以便获得潜在的客户信息和了解竞争对手的核心数据。也有一些初创公司，为了丰富客户和创造“虚假繁荣”来吸引风险资本。

一位业内人士分析了《21世纪经济报道》记者的几个案例，比如2014年底130万考研考生的信息泄露。他分析说，许多研究生培训机构需要这些数据来进行准确的营销。

同样，以前也有新生儿信息泄露的案例。他说，许多营利组织，如妇幼保健机构、培训机构、奶粉经销商、玩具经销商等。，对这样的信息有需求。

快递服务行业也是黑色产品的“重灾区”。一位白帽子告诉《21世纪经济报道》记者，快递单号很容易获得，只要网站修改一下，就可以看到快递单号的具体信息。在一些交易网站上，快递单号被清楚地标示出来，几美分就可以买到一个单独的号码信息。

此类案例太多，交通、医疗、教育、金融服务、酒店行业、快递行业等公共服务机构掌握了大量用户信息，成为上下游行业和类似机构梦寐以求的目标。

近年来，也有初创企业购买数据，并迅速扩大客户群，以吸引外国投资。例如，这个人曾经遇到一个朋友的创业公司，该公司通过购买数据使其用户数据库看起来更大。这种情况并不少见。

企业为什么“睡觉”？

在数据泄露的过程中，数据保管员有着不可推卸的责任。

Wuyun.com合伙人吴迪告诉《21世纪经济报道》，几乎每个网站都可能存在漏洞。漏洞是导致泄漏的主要因素。Wuyun.com的初衷之一是减少漏洞造成的泄漏，在泄漏前暴露漏洞，并通知制造商及时修复。

吴迪表示，国内企业的安全意识不强。起初，很多企业在接到通知后会选择忽略漏洞，这也是后来信息被泄露的原因之一。

《21世纪经济报道》记者梳理了过去的信息泄露事件，一些漏洞引发的问题屡屡出现。

因此，被Wuyun.com频繁曝光的12306网站，并不是第一次用户信息被泄露，但漏洞并没有被修补。

又如，2014年3月22日，五云漏洞平台发布消息称携程系统存在技术漏洞，可能导致用户个人信息和银行卡信息泄露。泄露的信息包括用户名、身份证号码、银行卡类型、银行卡号码、银行卡cvv代码和银行卡6位数箱(6位数用于支付)。在此之前，携程的信息安全漏洞已经多次出现。2014年1月，当媒体指出存储敏感信用卡信息存在泄露风险时，携程回应称，采用的信用卡支付方式符合国际惯例。

据业内人士分析，企业数据安全意识薄弱、处罚机制不明确是企业未能及时修补漏洞的原因之一。

此外，数据库的设计缺陷也是数据可能泄露的原因。一位数据库设计师告诉《21世纪经济报道》，一些公司正在寻找第三方设计数据库，这确实存在泄露的风险。在合作之前，双方通常会签署保密协议，但由于设计者可以看到客户的核心数据，数据是否泄露不仅取决于保密协议，还取决于设计者的性格。

一家初创公司的负责人告诉《21世纪经济报道》，该公司的数据库是自己设计的，考虑因素是担心核心用户的数据泄露。

政府网站也是高风险行业。一位白帽子告诉《21世纪经济报道》记者，他们通常只检测省级政府网站的漏洞，甚至连下级政府网站都找不到负责人。在他们看来，一些网站的技术水平根本达不到购买所需的价格。

相对乐观的是，随着大数据和移动互联网在各行各业的深入应用，许多厂商的信息安全意识正在提高。其中一个性能就是在收到漏洞报告后，大部分漏洞都会被及时修复。一旦发现和报告漏洞的白帽人才市场形成，从事黑色生产的人就会越来越少。

"让黑色生产的人变成白色的帽子，这是未来的方向."一顶白帽子告诉《21世纪经济报道》记者。