- 2023/3/20 9:37:41
- cdQ原?/li>
- 来源Q?span>电脑?/span>
- 报纸~辑Q?a id="editor" href="/EditorArticle/5/" style="text-decoration: underline; color: blue;">吴新
- 作者:
买卖Q灰黑猖獗盗取个h信息
大数据时代,个h信息背后的hgo其具备了商品属性。如在电信业务流转中的个Z息,늛w䆾信息、网l偏好、位|信息、社交特征、手机终端型L数据Q在真实性、规模性、多h等斚wh独特优势Q被赋予了高附加值属性?/span>
q些个h不仅是各行业的核心资产,也成为实现分析服务、智能决{的有效抓手Qƈ在有效利用中q一步凸显h值属性。由于高附加值属性引发蓄意持l的dQ以及针对安全攻击能够带来高回报率,更由此催生了覆盖采集、整理、销售等全业链的灰黑业,成ؓ个h数据泄露的主要途径?/span>
灰黑产买卖:每条信息不到1分钱的个Z息买卖背后,早已催生出千亿规模的灰黑业。而经q多q的沉淀Q以用户个h信息为核心的灰黑产业“细分赛道”分工已l相当明,从漏z挖掘、入侵工L发到诈骗勒烦{环节均存在h专业性的分工模式Q个Z息通过信息泄露途径q入多种传播交易环节Q这些信息包括手机号、姓名、n份证号和家庭地址{,而越来越多的|络诈骗案g是诈骗分子获取公民个Z息后Q有针对性地实施诈骗犯罪?/span>
而在今年2月,自称为“星䏀的黑灰产频道公开发布消息U其在说明文字中表示已设|一个查询机器hQ用戯入电话号码便能查询关联的姓名和地址信息。依据永安在U发表的信息Q??日,“星䏀频道发布“更?5亿名字地址库最新”消息??2??0分,黑开端在多个数据售卖发布广告?5亿订单机器h”,q引起广泛关注?nbsp;
“星䏀频道创立于2021q??8日,但“蛰伏”近两年后才开始发布消息,其交易模式便是典型的灰黑产运用境外交际渠道进行信息生意和数据生意Q只不过影响q于巨大且高调,其Q出水面不久就宣布怹闭。有不愿具名的安全行业从业者称Q从搜烦l果和类型上看,此次45亿条个h信息或由包括头部电商在内的多个信息源拼接而成Q虽然数据量巨大Q但来源q不新鲜?/span>
1.|络dQ?/span>据统计,60%以上的数据泄露是ql攻d_
2.内部泄露Q?/span>现在各行各业都推q数字化转型Q大量员工、开源h员、合作伙伴都可以接触到数据,光理不当可能造成数据泄露Q?/span>
3.数据交互BugQ?/span>各组l之间的通受阻,数据l出后无法收回;
“星䏀永久关闭,但其是真的关闭还是隐藏v来我们不得而知Q但随着黑客技术的发展Qv量个人数据泄露或成ؓ高发事g。以“拖库”ؓ例,黑客入R有h值的|络站点Q盗走用戯料数据库的行为,资料主要指注册用L用户名和密码Q但?quot;拖库的网站一般是网站,q些|站的后台服务器通常存在漏洞Q安全措施也不到位,Ҏ遭受黑客入RQ拖出数据库。而黑客通过拖库得到网站的用户名和密码后,q不会就此打住,因ؓ网站没有太大h倹{?/span>
于是黑客使用拖库得到的用户名和密码,试d一些大|站Q如果碰巧试Z用户在大|站注册的用户名和密码,相当于在大网站的用户信息也泄露了。也׃q种d方式像“撞”大q一P因此被称为“撞库”?/span>
在灰黑业资金的支持下,黑客能够多次Q频J进行“拖库”“撞库”操作,从而如同滚雪球一般获取v量个Z息数据?/span>
官方买卖Q?/span>?/span>锐步在中国大陆运营过E中攉或生成的数据Q将?022q??日{让至上v联亚商业有限公司Q“接收方?Q其中可能包含消费者的个h信息。短信中q表C,转让完成后,阿_达斯不再保留消费者的个h信息。消费者可联系接收方行使个Z息权利。若接收方变更个Z息的处理目的或方式,按照当地法律的要求重新取得消费者同意。”——阿q达斯在转卖旗下品牌锐步Ӟ锐步在中国大陆q营q程中收集或生成的数据打包给了接收方Q而这样一条短信让不少用户感到不可思议Q难道我的个人隐U能被企业堂而皇之地转卖吗?
随着个h信息数据价值的提升Q品牌官方往往也会这cL据视作企业资产,从而进行官方买卖。品牌方看似公^、公正、公开的交易背后,昄对用户个Z息造成了泄露风险,而前不久Q著名化妆品品牌丝芙兎ͼSEPHORAQ就其R犯消费者隐U一事与加州居民达成和解协议Q决定支?20万美元的|款Qƈ在隐U政{中披露其向W三方出售消费者个Z息的事实Qؓ消费者提供个Z息出售的退出机制?/span>
当下虚拟数字资定性还在讨ZQ对于品牌方的这U行为ƈ没有太多的规范和U束Q更多时候监机构也是要求品牌方在隐私{略中以显著方式提供“不要出售我的个Z息”的选项Q这点却需要用户主动留意ƈ强化自己的个Z息安全防护意识?/span>
?/span>疾,APPq度采集个h信息
个h信息数据是企业用L像的基础Q信息数据采集越实Q企业用L像就精准,而精准的用户d可以有效提升企业营销成功概率Q进一步压~企业运营成本,成ؓ互联|企业“降本增效”的法宝。因此,大量APP宁愿冒着被处|的风险Q也要疯狂采集用户个Z息数据?/span>
手机APPq度采集信息Q?/span>在手Z搜烦了某个关键词Q不久相关的商品推荐出现在购物|站的页面上Q打开外卖APPQ系l自动推荐了曄xq或点过的美食;打开新闻资讯APPQ系l自动推荐浏览过的同cd文章Q打开旅游APPQ系l自动推荐酒店机等{,APP采集用户个h信息数据的边界在哪里Q?/span>
许多手机APP在安装时Q会弹出要求用户授权各类信息权限的条ƾ,包括通讯录、短消息、摄像头、麦克风、地理位|等Q有的像天气预报、手늭q类功能单一的手机APPQ在安装协议中也提出要读取通讯录。这U情形下Q大多用户只能接受这些“霸王条䏀,选择提供个h信息Q否则就无法使用该手机APP?/span>
前不久,中国|络I间安全协会、国家计机|络应急技术处理协调中心对“地囑֯航类”公众大量用的部分App攉个h信息情况q行了测试?/span>本次试选取?9家应用商店篏计下载量辑ֈ5000万次的“地囑֯航类”AppQ包括高德地图、百度地图、腾讯地图?/span>试场景以完成一ơ地囑֯航活动作为测试单元,包括启动App、搜索地炏V点d?U用户用场景,以及后台静默应用场景?/span>
针对pȝ权限调用Q测试发玎ͼ3ƾApp在点d航场景中Q调用系l权限种cL多的为高德地囑֒癑ֺ地图Q调用系l权限次数最多的讯地图(62ơ)。而在后台静默场景中,3ƾApp调用pȝ权限U类均ؓ2c,调用pȝ权限ơ数最多的讯地图(282ơ)Q如此数量的pȝ权限调用Q真的是有必要的吗?
q度采集用户个h信息数据的同ӞAPP在利益的׃下往往也会d泄露用户数据。以“汽车之家”APPZQ其q_客服明确表示用户只有点击询h才会个Z息推送给所在城市的3-5家经销商,如最q无购R意向Q可向客服反馈进行相应屏蔽处理,或在讄中手动关闭。然而,不少用户反馈即便未点几Z询价”功能,在单U浏览^C息的情况下,也会接到推销电话。而在d点击q_自动推送的询h信息后,推销电话更ؓ密集?/span>
“暗模式”诱导用h权:q_个性化推荐成ؓ消费者快速了解消费趋ѝ便捯物的重要渠道。个性化推荐的精准高效离不开对用L跟踪识别和对个h信息的收集处理,随着法律法规的健全以及消费者对个h信息数据安全的重视,APP们很隑ֆ打着“个性化内容服务”的旗帜大肆采集用户个h信息数据了,可即便大部分APP均设|了个性化推荐的关闭\径,但在关闭的步骤上存在不少“小心思”?/span>
在关闭个性化步骤斚wQ百度、哔哩哔哩、抖韛_红书的个性化推荐关闭操作最便捷Q步骤控制ؓ4步;微信视频号个性化服务和京东个性化q告推荐的关闭操作较为复杂,需?步才能关闭。当问及如果消费者选择关闭个性化内容、个性化q告QApp是否立即停止相关服务Ӟ9家^台表CZ立即停止相关法推荐服务Q不再用个人特征信息去做内容和q告推荐?/span>
红书则不会完全停止Q其说法是该ApppZ生zL式分享^台”,个性化推荐可以帮助用户高效{选信息,快速阅d与自qzL式、兴相匚w的笔记内宏Vؓ了不影响用户的用体验,在用户选择关闭个性化推荐Ӟ不会完全停止相关个性化推荐?/span>
借助q些“话术”引|用户往往会做出无意识、非自愿且可能不利的军_Q如在“关闭后可能影响您的览体验”等消极语句的媄响下Q用户不自觉地放开个h信息数据授权?/span>
除此之外Q第三方机构以“办业务”的名义套走用户个h信息数据也很常见。以房贷“{贷”ؓ例,部分“贷ƾ中介”获取消费者贷ƾ信息等个h信息后,在消费者不知情的情况下向他人泄霌Ӏ出售谋取非法利益,甚至在其h后骗走贷ƾ,严重侵害消费者合法权益?/span>
技术,盗取你隐U数据的AI
从疯?/span>采集的摄像头到拥有聪明过头的ChatGPTQ技术的q步往往意味着个h信息数据q一步泄露的可能Q提前了解新一代信息技术,往往能有效削׃Z息数据丢q风险?/span>
聪明q头的ChatGPTQ?/span>ChatGPT是由一个需要大量数据来支撑和运行的大型语言模型Q其背后的OpenAI公司向该工具pȝ地提供了从互联网上抓取的U?000亿字的书c、文章、网站和帖子Q其中显然会包括量个h信息数据。如果你在网上曾l写q一博客文章或产品评论Q或者在|上评论q一文章,q些信息则很有可能被ChatGPT获取或用过?/span>
针对个h信息数据安全问题QOpenAI公司本n也表C:“ChatGPT可能会在用户不知情的情况下与未指明的W三方共享用L个h信息Q以实现其商业目标。”ChatGPT能够“记住”问{中的个Z息,q用于模型训l和内容生成?/span>
作ؓ生成式h工智能(generative AIQ,ChatGPT本n卛_备收集、储存和使用个h信息的功能,q类含有个h信息的问{内容可能成为模型训l的基础“语料”,qChatGPT输出的内容包含用h供的个h信息或重要数据。即便泄露用户个Z息的概率非常,但如果加以刻意引导和提示Q它仍然可能用来生成包含个h信息内容的回{?/span>
单来_你希望ChatGPTcAI应用更聪明一些,那你需要用_的数据去喂养它,可当他成长v来后Q却很容易被坏h利用。通过来自C交q_的数据对ChatGPTq行模型训练Q可能生成虚假信息、诱骗信息和|络钓鱼软gQ破坏网l舆论生态。其ơ,恶意使用者可能利用ChatGPT生成大量用户名和密码的组合,用于对在U̎户“撞库”攻击,加之ChatGPT的自然语a~写能够生成逃避防病毒Y件监的恶意软gQ这可能带来|络安全隐患?/span>
此外Q不法分子有可能以较低的技术成本来盗用他h虚拟形象、冒充他n份,D个h数字w䆾被盗用、冒用,且难以被Z识别。与此同Ӟ虚假的社交媒体资料或聊天机器人可以收集个人敏感信息,q诱骗受完提供更多的个h信息Q进一步助长网l诽谤、诬陗诈骗、敲诈勒索等下游q法犯罪行ؓ的发生?/span>
从h脔R集到AI换脸Q?/span>Ҏ用h脸识别技术的声讨已经不是一两天了,售楼盘违规采集h脸识别信息ƈ泄漏l第三方曑ּ起互联网q泛讨论q被专项整治Q“h脸识别”技术本w是一U基于h的脸部特征信息进行n份识别的新型人工技术,在公共场所、刷脸支付等多个U下U上场景中均得到了广泛应用,对保障公共安全、提供生zM利具有积极推q作用?/span>
但h怿息属于敏感个Z息中的生物识别信息,是生物识别信息中C交属性最强最Ҏ采集的个Z息,h唯一性和不可更改性,一旦泄露将对个人的n和胦产安全造成损害。而且信息一般会和姓名等w䆾信息相绑定,如果是在区门禁q些场所q行录入的话Q还会与住址{位|信息相l定Q这些信息一旦泄Ԍ会l个人隐U造成巨大危害?/span>
然而,随着技术的q一步发展和数据库的U篏QAI换脸技术逐渐成ؓ新的个h信息数据安全威胁。“低门槛、高效率、高质量”的Ҏ,让一众AI换脸软gq不需要太多目标的信息Q就可“轻䏀通过采集大数据内的h脸表情特征,来不断修改和识别Q最l得到惟妙惟肖的换脸视频Q其被大规模滥用于伪造n份、淆视听,以实现网l欺诈、虚假宣传与操纵舆论{目的?/span>
不仅对个人名誉权与肖像权构成严重侵害Q而且不法分子q可以利用漏z劫持手别摄像头Q将照片zd、表情操U늭深度伪造技术冒充机主,q而对Z的微信好友实行{账诈骗。同P电信诈骗中也有类似利用“语音伪造”技术的案例?/span>
随着仿真_ֺ的提升,q种问题有愈演愈烈的势——数据隐U、技术滥用等伴生安全问题为社会公共治理带来严L战?/span>
更多关于 电脑报官|?/a> 的文?/strong> |