徐玉玉沉冤昭雪了，然而個人信息灰產還沒消亡

作者 | 亦萱

法律今天終於還了本應步入大學校園，卻因電信詐騙心跳驟停的徐玉玉一個公道。主犯陳文輝因詐騙罪、非法獲取公民個人信息罪被判無期徒刑，其餘6名被告人被判15年到3年不等的有期徒刑並處罰金。

但是究竟還有多少個人隱私數據，不被保護，暴露在外呢？

2016年8月份，18歲的徐玉玉以568分的成績被南京郵電大學英語專業錄取。全家人歡天喜地。父親省吃儉用大半年，湊齊了一萬元學費。徐玉玉家生活並不富裕。母親李自雲腿部殘疾，全家開銷只靠父親徐連彬在村子附近的建築工地打零工。

徐玉玉母親接到了騙子電話，聲稱有2600元助學金，但是需要將9900元匯入指定賬號來激活銀行卡。徐玉玉照做了，騙子隨即關機。和父親去派出所報案後，她在路上暈厥，因心臟驟停次日離世。

徐玉玉的死亡只是詐騙案的冰山一角。主犯陳文輝供述，在徐玉玉之外，犯罪團伙以發放貧困生助學金為名還騙取了山東、福建等地多名高考生的錢款，撥打詐騙電話累計2.3萬餘次，騙取他人錢款共計人民幣56萬餘元。

臨沂市檢察院有關負責人表示，個人信息遭到泄露是造成徐玉玉詐騙致死重要原因。信息泄露並非個案。

早在去年，南都記者只用了700元就買到了同事的所有開房記錄、名下資產、乘坐航班、上網記錄，銀行存款記錄，手機實時定位，手機通話記錄。

你在現實生活中西裝革履、光鮮亮麗，都不知道你的個人信息早已在網上明碼實價標好，變成了待宰的躺在砧板上的肥羊。

據說可以查詢到開房記錄的網站

個人隱私信息在網上裸奔，早已是業內公認的事實。「大數據」主義盛行的另一面，是如果擁有海量數據的機構沒有保護數據安全的技術能力，個人信息安全岌岌可危。數據買賣已經在中國形成了一條灰色的產業鏈。

明碼標價的數據買賣

在徐玉玉案中，犯罪嫌疑人鄭金峰接受央視法制採訪的時候，坦言之所以選擇學生為目標，是因為學生的個人信息最便宜，在網上購買個人信息幾乎沒有難度，幾毛錢就能夠買到包括學生姓名、學校、家庭住址和聯繫電話的全套信息。

搜索「數據買賣」，「一手數據」，會出現數百個QQ群。銀行、信用卡、老年保健、網購、電購數據應有盡有。也有網友販賣打包信息，銀行數據，個人數據，100塊打包一萬條。而包括身份證複印件、家庭成員、戶口本複印件、到網路賬戶名的個人全套信息，僅售3元。

這些數據究竟是怎麼來的？要先從社工庫談起。

「社工庫」的傳說

現在但凡有些科技含量的公司，言必談「大數據」。但是數據量真要做到「大」，從何而來？

第一種是自有龐大的數據源，如BATJ、通訊商、快遞公司、互聯網金融公司的徵信數據、甚至是快消公司等手上握有大量的用戶行為數據等公司，本就佔了上風。

自有數據共享、買賣、合作，本來就在合法的範疇內。但是互聯網金融的業內人士曾表示，不太敢直接使用同行提供的徵信數據，因為無法保證數據的真實性，怕「埋雷」。

第二種來自於徵信數據公司。但是為了打價格戰，目前大量的數據公司往往採取收購黑市數據，經過清洗和挖掘，出售給其他公司的做法。

根據一本財經，目前已經有15家數據公司被列入調查名單，幾家估值都超幾十億。涉及到數據黑市買賣的公司已經撞上了監管的槍口。

坊間傳聞的「社工庫」是數據黑市買賣的主力軍。社工庫是社會工程學資料庫（Social Engineering Data）的簡稱。社會工程學，指在計算機科學中，通過利用人性弱點來收集信息、行騙和入侵計算機系統的行為。這個名詞最早由傳奇黑客米特尼克提出， 演變到了黑客們的行為準則。而社工庫則是黑客運用社會工程學攻擊時，積累的各方面數據的結構化資料庫。

數據黑市已經發展成了成熟的產業鏈。數據來源部分來自於極偶然的泄露事件，大部分的流程都是脫庫、洗庫、撞庫三個階段。

在黑市術語裡面，脫庫又被稱為「脫褲」，指黑客攻擊特定網站，獲得大量用戶數據的行為。

目前黑客產業鏈已經細分，在定製化模式模式中，下遊客戶會聘請黑客給傭金。而數據屬於客戶，或者在一定窗口期內不得再次出售。在交易化模式中，黑客會反覆出售數據，但這種資料庫的新鮮度無法保證。

在獲得大量數據後，黑客們會「洗庫」，清洗數據中可以直接變現有價值的部分，如遊戲賬號、電商賬號等有預存額的數據。而大部分數據，黑客會用來批量「撞庫」，用工具和資料庫匹配來嘗試在其他網站上登錄。而不可計數隱匿在地下的資料庫整合起來，就是傳說中的「社工庫」。這一份龐大、全面、隱秘的資料庫，不僅成為網路詐騙個人信息的來源，也成為大數據服務商流量獲取的來源。

黑客論壇中社工庫的交流版塊

社工庫的下游已經發展成明確的產業鏈。在某個黑客聯盟論壇里打出了開班帖子：「教學費用：1200元/人，入門一般需要半個月時間。學員有無SEO基礎均可。全部課程教學完後月入上萬。相關課程有建站經驗、建站教學、站群教學、劫持教學、寄生教學、代碼教學…」

一個供研究用的社工庫

數據立法之路：道阻且長

政府和社會機構作為數據擁有者，是數據泄露的重災區。

美國著名通信公司威瑞森電信發布的《2017年的數據泄露調查報告》表示，在調查的幾萬個安全事件中，內部威脅佔25%，75%是外部攻擊導致。而上海社會科學院互聯網研究中心發布《大數據安全風險與對策研究報告》稱，相當部分數據安全事件發生在企業或社會組織，泄漏量動輒過億條。

而中國目前已經在網路安全方面開始收緊，加強監管。個人隱私數據的安全，正在變得有法可依。2017年6月1號，《網路安全法》正式施行。國家互聯網信息辦公室網路安全協調局負責人表示，,該負責人解釋說,「安全可信」指，保障用戶對數據可控,產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據,損害用戶對自己數據的控制權。

但是另一方面，由於社工庫的隱秘性和比較成熟的技術手段，導致社工庫從泄露到被使用其實很難被察覺。舉個例子，在BATJ互聯網巨頭中，擁有最頂尖的互聯網技術人才，但是還是面臨著核心成員數據泄露的問題。網上就流傳著一份騰訊創始團隊信息的圖片。

網上流傳的騰訊核心成員的數據，來源：知乎問答

因此，在互聯網上從「脫庫」裸奔到穿上「褲子」，道阻且長。

把「褲子」穿好的一些建議

業內網路安全專家建議，為了防範社會工程學攻擊，網路安全的常識性基礎培訓十分重要。畢竟社會工程學，攻擊的其實是個人。

另外，訪問信息源需要嚴格的身份認證和身份授權。比如，程序員如果只能訪問自己寫的代碼，泄露的風險就會小很多。另外，組織機構中最好建立信息分類的制度，越重要的用戶、企業數據，甚至是源代碼，定出若干級別，知道的人越少，泄露的風險越小。

然而，一位地方警官向澎湃表示，個人信息泄漏引發的案件調查複雜，涉及金額不大，但調查範圍廣，而且案件零碎導致警力不足。

徐玉玉過世後不久，大學生宋振寧因為電信詐騙後，心臟驟停去世。

個人信息泄露而引起悲劇仍然在發生，只有政府重視，建立完善的信息安全制度，個人注意信息安全，我們才會迎來不在互聯網上「裸奔」的未來。

-END-

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！