恐怖的數據黑產，你已涉身其中

科技 06-04

或者打開「喜馬拉雅」APP，搜索「甲小姐說」

文案策劃｜劉敏

錄音｜甲小姐

音頻製作｜戚宗濤

微信公眾號ID｜Xtecher

大家好，我是甲小姐。

這一期甲小姐說，我們聊一聊信息安全。

先從阿里和順豐的嘴仗說起，在國家郵政局火速召集菜鳥網路和順豐速運高層赴京後，之前你來我往、互不相讓的兩大巨頭，暫且握手言和了。戰火停歇得如此突然，讓人猝不及防，但這就是中國式商業特色。而明撕轉為暗戰，空氣中的火藥味依舊在瀰漫，除了仍在激烈進行的站隊大賽，後續談判桌上的事情想必也會很精彩。自3Q大戰後，互聯網已很久沒有上演這麼高規格的廝殺了。

回溯這次衝突的由來，大家都知道，這是一起以數據為表象、以商業利益為根本的糾葛。數據，已成為物流行業鏈條里最核心的生命線，正如馬雲所說，未來6到7年中國將進入一天10億個包裹的時代，傳統的物流模式難以滿足這一需求，物流行業即將步入以數據流做底層支撐的階段。在幾波大數據浪潮的教育下，馬雲的話，不僅物流公司懂了，公眾理解起來也不困難。

真正讓外界詫異的，是兩大巨頭為爭奪行業話語權，吃相竟如此難看。

菜鳥的聲明中就指出：

豐巢快遞櫃和菜鳥數據對接後，一直大量調取淘寶用戶電話號碼等信息，並超過合理使用範圍，存在嚴重安全隱患。

順豐也反過來指責菜鳥：

菜鳥於5月基於自身商業利益出發，要求豐巢提供與其無關的客戶隱私數據，此類信息隸屬於客戶，豐巢本著「客戶第一」的原則，拒絕這一不合理要求。

甲小姐猶記得，稜鏡門後，國際聯名公開信中的一段話，「國家濫用先進的技術手段、為進行大規模監控而展開合作，在這一過程中，上述基本人權被宣告無效。被監控的民眾不再自由，被監控的社會不再民主。監控等同於盜竊，這些數據不是公共資產，是屬於我們的。當個人資料被用作推斷我們的行動時，我們的自由已被奪去。」

將菜鳥和順豐的互毆比作當年的稜鏡門，無疑言過其實，但衝突揭示了一個關鍵的現實命題：

大數據的「隱私」邊界在哪兒？信息安全如何維護？

今天，甲小姐就為大家揭秘信息安全行業現狀的冰山一角，了解了信息行業的烏龍混雜，弄清楚了背後隱藏的利益鏈條和規則、以及見不得光的秘密，或許也就讀懂了阿里和順豐為何要用用戶隱私來說事，站在道德制高點上來為自己的利益代言。

用戶隱私，確實是個值得討論的話題，它和每個人密切相關，但在信息化如此徹底的時代，多數人除了直覺之外，對此卻一無所知，甚至連基本的準備都沒有。

歐盟司法和消費者委員會曾推出過一個視頻：視頻里有三個主人公，一位正在辦公室從網上預訂機票；一位在機場候機大廳玩社交網站打發時間，並準備發布一張自己前天在某處party的照片；另一位是一名父親，他正在家中往購買頁面輸入姓名、銀行卡、地址等信息。

下一幕的畫面是：這三人同時按下回車鍵，而他們的衣服也自動從身上脫落，女士赤條條坐在辦公室的格子間里，小伙在空曠的候機大廳里全身赤裸，那位父親則光不溜秋地坐在自家沙發上——他們對此渾然不覺，繼續做著接下來要做的事情。

視頻結尾打出兩行字：

Online you reveal more than you think.

Take controlof your personal data

這條有點黑色幽默的視頻希望提醒人們，很多時候，我們都是這樣在網上「裸奔」，你的數據早已經泄露了你的一切。

這條廣告用充滿視覺衝擊力的真實裸體，讓我們感覺到了暴露身份信息的可怕，但現實中被收集的數據遠遠多於基本的身份信息，最可怕的事情是，你在不同地方的數據被匯總到一起，它們足以計算出你整個人的生活軌跡，毫無隱私可言。

現實生活中，為什麼你的密碼總是會被破譯？也許你認為你的密碼設置得很好，可如果你是黑客，只要黑掉的數據達到一定量，你就會發現一個規律：人們為了圖方便，簡單好記，看似複雜的密碼其實就是他們生活中真實信息的組合，甚至就是單一的信息。學過統計學的都知道，一旦你掌握了這個規律，那麼你就多了一條商機。這就是群體隱私。

不妨聽個案例，聽完後或許你會出一身冷汗：

2015年，美中情局局長約翰·布倫南的郵箱和國土安全部長Johnson的康卡斯特賬號先後被黑掉，黑客只是一名高中生。他聲稱，攻擊的技術含量很低，他們只是用了點「小手段」，就修改了布倫南AOL郵箱的登錄密碼。

他用的是什麼「小手段」？據媒體報道，黑客首先通過反向調查，獲得了布倫南的手機號碼，得知其是運營商Verizon的客戶，然後冒充Verizon技術員，聲稱因為工具都壞掉了所以無法訪問用戶數據，在向Verizon提供了一個偽造的驗證碼後，他們就拿到了包括布倫南的賬號、四位數的手機PIN碼、備份的手機號碼、AOL電郵地址以及銀行卡的後四位數字，最終，根據這些組合信息，他們成功重置了布倫南AOL郵箱的登錄密碼，還訪問到了一份長達47頁的SF-86s表格信息。這個表格包含了軍人和合同工等美國政府僱員的多項信息，甚至會關聯到這些人的朋友、配偶和其他家庭成員。

這張表格一旦被泄露，黑客則可以利用這些信息騙過聯邦官員，盜取更多人的信息。2015年6月，美國聯邦政府機構就遭遇了一次這樣的黑客攻擊，導致2150萬美國人的信息被泄露。

在黑客圈，這幾名黑客套取信息所利用的技術手段，被稱之為「社會工程學」。

「社會工程學」原本是世界第一黑客米特尼克在《反欺騙的藝術》中所提出的概念，其初始目的是讓全球的網民們能夠懂得網路安全，提高警惕，防止沒必要的個人損失。然而，由於米特尼克在黑客界的傳奇地位，很快社會工程學就開始被深入研究並且發揚光大。但由於不少黑客將其用於非法活動，在很多國家地區被嚴厲的打擊，社會工程學也變成了一個見不得光的學派。

社會工程學是非傳統的信息安全，它不是利用軟體或系統的漏洞實現入侵的，而是一種通過人際交流，也就是「套話」的方式獲得信息的滲透手段。

個人用戶或企業用戶經常會通過安裝硬體防火牆、虛擬專用網路或者其他安全軟體產品的方式進行防護，但是這些並不能完全保障安全。我們經常說，「最安全的計算機就是已經拔去了插頭的那一台」。然而，即便拔去了插頭，你的數據也不一定安全。

凱文米特尼克在《反欺騙的藝術》中就警示，「人為因素」才是安全的軟肋，這意味著沒有把「人」這個因素放進企業安全管理策略中，就會構成一個很大的安全「裂縫」。社會工程學正是利用人性的弱點、心理的缺陷，以順從意願、滿足慾望的方式，讓人們上當，或以此為入口進行攻擊。事實上，很多此類安全事件的發生，其方式就是騙取敏感信息管理員或擁有者的信任，從而輕鬆繞過所有技術上的防護，實現惡意攻擊的目的。相比在BIOS晶元中植入病毒木馬，攻擊漏洞，安裝rootkit，利用虛擬機實施攻擊，或者通過手機、無線區域網、藍牙進行無線入侵等更具技術性的手段，社會工程學不僅有效，而且效率很高，已成為企業安全最大的威脅之一。

它的危險之處在於，能夠形成龐大甚至數量不可知的「社工庫」。

「社工庫」，即黑客在運用社會工程學進行攻擊的時候，積累的各方面數據的結構化資料庫。簡單說，社工庫是黑客用來記錄攻擊手段和方法的資料庫，這個資料庫裡面有大量的信息，甚至可以找到每個人的各種行為記錄，包括每個人在各個網站上的賬號、密碼、照片、信用卡記錄、訂票記錄、通話記錄、簡訊內容、各種社交軟體的聊天記錄等，包羅萬象。京東用戶密碼泄露，12306火車購票網站用戶數據滿天飛等，就是典型的社工庫的例子。

然而，這些被爆出來的數據泄露，僅僅是冰山一角，真正地下的社工庫的數據信息，其豐富程度要遠遠更大——因為黑客與黑客之間還會合作，將手頭的數據匯總，積累越多，價值越大，其詳盡的程度已十分可怕，完全可以利用這些數據完整模擬出一個人。

那麼，互聯網上的用戶信息已被掃蕩成什麼樣子了？

業內有句話叫「十墓九空」，還有一個說法是「大數據有多大的潛能，社工庫就有多大。」這可能略顯誇張，但也可以參考。

被盜的數據有什麼用？

百度安全中心表示，黑客千方百計獲取用戶信息的唯一目的無非是為獲利。目前，黑客在獲得用戶信息後，一般會通過以下幾種途徑來迅速變現。

一是售賣用戶賬號中的虛擬貨幣、遊戲賬號、裝備等變現，也就是俗稱的「盜號」；

二是對於金融類賬號，比如支付寶、網銀、信用卡、股票的賬號和密碼等，可以用來進行金融犯罪和詐騙；

三是對於一些比較特殊的用戶信息，如學生、打工者、老闆，會通過發送廣告、垃圾簡訊、電商營銷等方式變相獲利；

四是會將有價值的用戶信息直接出售給第三方，如網店經營者和廣告投放公司等。

社工庫的潛在危害又有哪些？

首先，讓「洗庫」變得更加容易。「洗庫」，是數據黑產完整鏈中的一環，其餘還包括「脫庫」和「撞庫」。「脫庫」是指入侵有價值的網路站點，把資料庫全部盜走的行為。在取得大量的用戶數據之後，黑客會通過一系列的技術手段清洗數據，並在黑市上將有價值的用戶數據變現交易，這通常也被稱作「洗庫」。黑客將得到的數據在其它網站上進行嘗試登陸，叫做「撞庫」，因為很多用戶喜歡使用統一的用戶名密碼，「撞庫」也可以讓黑客收穫頗豐。

為什麼說社工庫會讓洗庫更容易？這是由於數據量很大信息很全，很多賬號的虛擬財產的轉移就不像之前那麼困難，以黑客們了解到的信息之多，他們甚至可以偽裝成這個用戶去進行操作了。

社工庫的危害還在於它會讓各種詐騙變得簡單：之前大多數詐騙都是廣撒網模式，而社工庫可以非常有針對性對一些特定的用戶進行詐騙。利用數據技術，甚至通過木馬分析一些用戶QQ聊天的內容，尋找有價值的目標，和相對更信任的關係網路。

最後，「社工庫」也成為了地下產業鏈的基礎服務商：全面的社工庫基礎數據，也是精準的流量獲取來源，成為流量獲取分發的地下產業鏈的基礎服務和大數據服務商。一些特有的黑色產業目前非常依賴社工庫，例如精準定位的賭博平台、一些p2p金融類型的詐騙、或者是一些商業騙術。

面對如此強大的欺詐力量，反欺詐究竟有多難？

2016年，百度發布的《百度安全打擊網路黑產白皮書》顯示：

2016年上半年涉嫌泄露或竊取用戶信息超10.6億次，其中用戶信息被泄露已超5.4億條，平均每天信息泄露300萬條；竊取用戶隱私6.3億次，日均竊取用戶隱私348萬次；通過使用手機過程中竊取用戶隱私4.1億次，使用電腦竊取用戶隱私2.2億次。

個人信息泄露形勢嚴峻，與之對應的網路黑產大軍卻在不斷「壯大」。在2016阿里安全峰會上，阿里巴巴首席風險官劉振飛表示，目前中國網路黑灰產業鏈的「從業者」已超過了40萬人，依託其進行網路詐騙人數至少有160萬，「年產值」超過1100億元。

而我們只能坐以待斃嗎？

值得慶幸的是，大數據、人工智慧、活體識別、人像比對、設備指紋、人臉識別……大量的風控技術，都開始運用到場景之中。人們試圖搭建起核心信息數據的安全城堡，守住最後的陣地。

去年9月，山東大學生徐玉玉學費被騙身亡後，國家6部委發起史上最嚴的打擊電信詐騙行動，各個互聯網巨頭也利用自身的大數據、雲計算能力，協助警方進行打擊。

比如，電信詐騙中最典型的方式是通過偽基站進行。由於偽基站發現難、抓獲難、定罪難，一直是警方的打擊難點。去年，公安部刑偵局與螞蟻金服集團合作開發了「偽基站實時監控平台」，在大數據的支持下，在一張全國地圖上就能實時監控，且能精確到50米內定位，目前，這一平台已覆蓋全國31個省，一年內協助公安機關打擊37個偽基站涉案團伙。

但技術真的能阻擋互聯網金融黑產嗎？有業內人士不樂觀的表示，如今圍繞互聯網金融進行犯罪「黑色產業」已逐步成型，威脅著整個互聯網產業，沒有企業或個人能獨善其身。要想維護互聯網金融的安全，需要企業們聯手積極展開社會共治，共同提升安全能力，形成良性循環，為社會營造更安全、更便捷的網路及支付環境。

而更激進的主張也出來了——即呼籲「開放數據入口」。

什麼是開放數據入口？其邏輯是，當所有數據人手一份的時候，每個人之間會形成微妙平衡，你可以查閱我的信息，我也可以查閱你的，依靠群體智慧將更加可靠，也可以降低危害。此外，主張開放數據入口的人還認為，全部數據的流傳對於追查事情的起源也有所幫助。不同的人根據自己的知識，可以通過數據格式、範圍、特徵等猜測泄漏的方式，這些碎片的線索組合在一起，就有可能拼湊出泄漏的方式及起源，以及系統的漏洞。

在學界和產業界的呼籲下，這一十分理想化的主張竟得到政府部門的響應。2008年1月21日，奧巴馬在就職總統的第一天發表了一份總統備忘錄，命令美國聯邦機構的負責人公布儘可能多的數據，奧巴馬的指令促成了data.org網站的建立，這便是美國聯邦政府的公開信息資料庫。這個網站從2009年的47個數據集迅速發展起來，到2012年7月三周年時，數據集已達到45萬個左右，涵蓋了172個機構。

英國隨後也做出實質性轉變。以往，政府信息都封鎖在英國皇家版權手中，使用起來非常困難和昂貴，而現在英國政府已經頒布相關規定鼓勵信息公開，並支持創建萬維網的發明者蒂姆·伯納斯參與指導開放式數據中心。

其它國家，如澳大利亞、巴西、智利等也相繼出台了並實施了開放數據策略。一些國際組織也加入了開放數據的熱潮，如世界銀行就公開了數百個之前被限制的關於經濟和社會指標方面的數據集。

在甲小姐看來，信息安全和隱私是這個時代不可避免的威脅。解決這個威脅，不能靠情緒化的謾罵和煽動，而是需要確實可行的解決方案。這涉及現實世界、政府、立法等諸多層面，問題的完美解決十分複雜，且需要漫長的時間。而更有效的個人保護方式，是先調整好心態，清楚地知道什麼狀況下信息有可能被泄漏。

當你每一次提供個人信息的時候，都應該先考慮這些信息泄漏之後會對你造成什麼危害，並且想好處理辦法。如果會造成不可避免的危害，而且你又想不出辦法避免提供這些信息，那麼這件事最好乾脆不要做。有意識的狀態下主動泄露自己的信息，就像一個裸奔的人，拚命保護著身上僅有的一條的領帶，並且認為自己衣著整齊。這不是很諷刺嗎？

而話題回到阿里和順豐。企業可以做很多事情，能推動科技進步，能推動社會變革，前提是企業家擁有必要的社會責任感。喬·格蘭維爾曾說過「既然真理和堅貞均告徒勞，既然愛情、痛苦和理智的力量都不能將其說服，那麼就讓榜樣作為儆戒吧！」

由衷希望阿里和順豐能拿出榜樣的力量。

好了，這就是今天甲小姐的分享。感謝大家的收聽。

━━━━━

封面設計：王思寧排版：陳光校對：陳光

━━━━━

Xtecher官網平台現開通認證作者，

（添加好友請註明公司、職位、事由）

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！