另外,電信運營商、短信通道、第三方平台等也已經成為近些年來不可忽視的洩露渠道。“用戶訪問客戶網站/App的記錄被運營商洩露、用戶數據被第三方工具或平台洩露、企業下發給用戶的短信被第三方短信通道洩露等,都時有發生。”業務情報安全企業永安在線產品經理鄒洪志表示。
他對記者說,永安在線最近協助某證券公司發現了一條數據資產洩露渠道,該證券公司的數據並不存在直接洩露,但與其客戶相關的資產數據在暗網或Telegram群被持續出售。
“黑灰產人員可以獲取到訪問過該證券公司官網的用戶手機號碼,有些還可以獲取到用戶姓名、運營商、省份、城市等相關數據。”他說,運營商能拿到用戶的上網流量,可以通過用戶手機號-設備-流量(訪問網址)對應上,然後通過內鬼或者某個接口洩露到第三方“大數據營”公司之類去賣。鄒洪志說,一些數據賣家明確表示只支持某一家電信運營商,也從側面證明這些賣家是與運營商合作的。
專家指出,實名制的深入實施讓個人信息常與設備、賬號綁定,進一步放大了信息洩露的風險。360集團手機安全研究員俞奎表示,某種程度上,身份信息、支付等校驗的是設備、賬號,而不是本人,即誰掌握了他人的信息,即可實現身份冒充。如果平台遭受黑客攻擊,或有內鬼洩露,那麼用戶交付出去的個人信息用途並不可控。
層層加密無法追蹤 暗網等平台成信息買賣“大本營”
在一些隱秘的角落,有關個人信息的非法交易“無時無刻”都在進行。“傳統的洩露數據大都在QQ、微信以及地下論壇等交易。然而,隨著國家對網絡空間治理和打擊力度的加大,越來越多的洩露數據在‘暗網’這種匿名、匿蹤的黑市交易平台出售。”姚磊說。
|
