4.68億個人信息泄露:2 塊錢就可以查你的身份證,還能帶照片!
我們知道在坐火車或者坐飛機的時候需要驗證身份,這個時候我們會出示我們的身份證,工作人員核驗過后就可以繼續出行了,這種形式叫身份驗證。
身份核驗的權限最終都來自中國公安部,以及有公安部授權的各個有資質的機構或者企業。
比如征信公司、酒店、支付公司的商戶入網,金融公司的用戶信息審核等等。
我們可以看出來,以上的使用場景都是公共服務領域或者授權企業,一般都能理解。
01.2元查任意身份證
那么突然有一天,有一個陌生人告訴你,他可以隨時調出你的身份證信息,并且還可以拿到你的身份證上對應的照片,以及身份證正反面照。
會不會覺得挺恐怖的,隱私就這么輕易的被泄露了!
當然還有更恐怖的,只要你愿意付費 2元/條,我可以幫你查全國任何人的身份證信息,是不是太牛 X 了!
當然,有人說我就一介草民,身份證信息讓人看到了也沒啥。
那是你可能還沒意識到這個風險:
- 如果有人以你的身份在各大現金貸公司借了很多錢呢?
- 用你的身份注冊了手機號做詐騙呢?
- 甚至用你的身份做了違法的事情呢?
是不是很酸爽?
公民的身份證信息如果可以隨意被泄露,隱私保護就無從談起。
如果不法分子拿到你的身份證信息,就可以依賴身份證信息對你做大數據挖掘,得到更多關于你的信息。
拿到你的信息越多,可以干的事情就越有把握。
比如精準營銷:xxx先生,你好,您家里是不是有一輛車呢?我是 XX 公司的。。。這類電話接的不少吧。
但這個事情,過去其實就一直在我們的身邊悄悄發生著。
02.4.68億公民信息泄露
據央視網報道,近日江蘇淮安警方依法打擊了 7 家涉嫌侵犯公民個人信息犯罪的公司,涉嫌非法緩存公民個人信息 1 億多條。
具體看看報道中透露的這條信息:
“截至目前,警方共立案偵查侵犯公民個人信息案件29起,抓獲犯罪嫌疑人288人,繳獲公民個人信息4.68億多條,涉案金額9400多萬元。”
中央臺報道的視頻如下:
看完之后是不是感覺很神奇,我們的個人數據就這樣隨隨便便被賣了。
03.數據到底是怎樣被泄露的?
2018年4月,江蘇淮安警方在網上巡查時發現,有人非法購買公民個人信息,高某覺察到警方調查之后,主動到警方投案。高某交代,他花500塊錢從網名叫“過去、將來”的人手里購買了317條公民個人信息,這些信息包括手機號、姓名、身份證號和家庭地址。
他買這些信息的目的是打電話,給網絡小貸公司拉客戶。
警方通過對QQ、微信等資料的綜合研判,鎖定販賣個人信息的“過去、將來”位置在河南焦作,隨即出動警力,將犯罪嫌疑人申某在家中抓獲。
在申某的電腦里,警方查獲公民個人信息7萬多條,這些信息包括公民姓名、身份證號、地址、電話以及芝麻信用分等。
很多信息顯示推廣來源為“花錢無憂”“借點錢”等小貸平臺。
順藤摸瓜,警方繼續調查發現申某自己不做貸款,他是從別人手里買過來以后,然后賺個差價。
警方繼續往上查詢抓捕了申某的上線謝某,根據謝某的交待,他的信息也是買來的,他的信息是從網上一個網名叫“叮咚叮咚”的人買的。
04.警方順藤摸瓜追上線
警方跟著“叮咚叮咚”的線索往上查,發現“叮咚叮咚”是廣州諾涵科技公司的員工。她販賣公民信息并非個體行為,而是給公司推廣業務。
淮安警方深度研判發現,廣州諾涵科技公司不只是販賣公民個人信息,更主要的是在進行小額貸款并進行軟暴力催收,是一個組織嚴密、分工明確、涉案人數眾多的犯罪團伙。
經過周密部署,2018年6月6日,在廣東警方配合下,淮安警方一舉將該公司45名涉案人員全部抓捕。
也就到了我們上面看到視頻的那一幕。
警方發現,在廣州諾涵科技公司,一方面賣公民個人信息牟利,另外一方面公司有“樂花管家”等多個小貸平臺,利用這些公民身份信息推銷貸款、軟暴力催收。
同時廣州諾涵科技公司還和其它同行公司私下交換數據,擴大他們公司的用戶數據池。并且還開發了爬蟲云等軟件從其它小貸公司爬取數據。
可以說是利用了各種渠道來獲取公民數據,一方面自己用,一方面對外出售。
05.廣州諾涵科技公司的數據從哪里來?
廣州諾涵科技公司只是一家普通企業,沒有獲取身份證驗證的相關權限,網上爬取以及和同行交換的數據畢竟有限。
警方調查的時候,在他們販賣的公民個人信息里,甚至還出現了公民身份證照片信息,有的還是兩三個月之前才拍照的身份證照片也都有。
于是警方繼續追查廣州諾涵科技公司的數據來源。
隨著調查的深入發現,廣州諾涵科技公司的數據是從湖南九象公司的接口獲取,湖南九象公司的數據又是從北京黑格科技有限公司獲取的。
北京黑格科技有限公司又是從北京考拉征信服務有限公司等四家公司購買的查詢接口,最終查到了所有數據來源的上線。
拉卡拉是今年剛剛上市的第三方支付公司,北京考拉征信服務有限公司是拉卡拉公司的子公司。
于是拉卡拉公司的股票,直接就跌停了,多少個股民就無意中躺槍了。
目前這整個一條線上的涉案公司的相關法定代表人、董事長、銷售、技術等人員都被抓捕了。
06.重新捋一下這條線
看了整個事件的經過,我們可以發現整個倒賣過程中,個人就倒賣了3次來自廣州諾涵科技公司的數據。而這些數據在這之前已經被相關公司在網上倒賣了3次而到廣州諾涵科技公司。為了讓大家看得更明白,我給大家畫一張圖。
從這個圖我們就很容易看清楚整個事件:
- 高某販賣數據給公司做營銷,他的數據是從申某進行購買的;
- 申某的數據是從謝某購買來的;
- 泄密的數據又是從一個叫做“叮咚叮咚”的用戶處購買;
- “叮咚叮咚”其實是廣州諾涵科技公司的員工,他賣數據是為了給公司做業務;
- 廣州諾涵科技公司的數據來源有網上非法爬取、同行交換、上游公司購買;
- 廣州諾涵科技公司的購買數據來自湖南九象公司公司;
- 湖南九象公司的數據又是從北京黑格科技公司購買的;
- 北京黑格科技公司又是從北京考拉征信等四個公司購買的。
也就是說本來公安部給北京考拉征信等有資質的公司因為業務需要而開的權限,結果這些公司毫無顧忌的將這些數據經過層層加價又毫無限制的對外出售而轉輾到了個人的手上。價格也從最初的 0.1 元/條的查詢到了最后的2元/條。整個鏈條經過 8 層倒賣層層加價販賣個人信息。其實為了利益的最大化,這些公司不僅僅是出賣接口這么簡單,還有很多其它騷動作。
07.企業的騷動作
公安部授權給企業一般會限定場景和權限,并且這項服務是收費的。比如驗證一條用戶信息 0.1 元。這些企業利用這些接口做風控審查,幫助企業排查風險。
公安部是一家國家機構,所以它一般只給特別的企業開放,比如說金融機構、支付機構等。
那特別小的企業或者不符合資質的企業如果要用怎么辦,可能就得想其它辦法了。
比如 A 企業是符合資質的,公安部給了它接口后,它有可能還會再次放給其它企業來使用,同時加價再收一筆費用比如 1 元/條驗證。
先說兩個常識:
公安部授權給企業的接口,企業是沒有權限再次授權給別的公司的。
公安部給企業的查詢接口只允許進行查驗,不允許企業私自保留。
而現實情況是,絕大部分企業把這兩個條件都觸犯了。
其實不只是北京考拉征信,據我所知現在仍然有很多的公司在進行這個業務,P2P 盛行時更是泛濫。
很多企業為了盈利就會多次倒賣認證查詢接口,不但倒賣接口并且還非法緩存用戶信息。
這樣當同樣用戶再次查詢的時候,就省了再次向公安部查詢的費用。
再給大家畫個圖:
正常業務是每次用戶調用的時候,企業拿數據去調公安部接口驗證信息,最后把結果反饋給業務前端。但是現在企業為了省錢或者掙更多的錢,私自將用戶認證的結果存了起來,這樣下次再驗證的時候就直接走自己的數據了。如果企業緩存的數據越來越多,那就等于私建了一份用戶信息檔案,他就可以直接對外來放認證接口進行掙錢了。很多公司以前就都這樣干了,其實這樣的操作是違法的。
08.非法獲取數據都干了什么?
本來公民身份認證服務是直接服務于“互聯網+政務”,用來提升政府公共服務效能,防范欺詐和金融風險的。現在層層加價后,這些數據被小貸公司利用,查詢價格從源頭的0.1元/條到查詢底層時可能兩三元/條,整整翻了二三十倍。
身份證照片可以隨意獲取,這為小貸公司實施“套路貸”犯罪、暴力催收敞開了罪惡之門。
催收公司把這些非法獲取的公民身份證照片PS成靈堂照片或者淫穢色情的照片發給貸款人本人,對其進行威脅。
如果貸款人還不還款,PS照片就會被小貸公司發給貸款人的親友、同事、同學,毀壞貸款人聲譽,逼迫其還款。
還有就是被用于電信詐騙犯罪中的通緝令詐騙。
本案中,湖南九象信息有限公司還利用爬蟲軟件,大量爬取其他小貸公司的公民貸款個人信息。
包含姓名、身份證號、住址、電話、芝麻信用分、銀行卡號、是否逾期還款等。
甚至還有貸款人被迫提供給某一家小貸公司的通話記錄等,形成所謂的“地下征信”。
然后以數據形式打包出售,其他小貸公司購買后成為是否放貸、放貸多少的風險控制依據。
公安部針對此案暴露出的行業亂象,全面開展了打擊整治工作。就出現了剛開始的那一幕,警方共立案偵查侵犯公民個人信息案件29起,抓獲犯罪嫌疑人288人,繳獲公民個人信息4.68億余條,涉案金額9400余萬元。
涉案公司非法緩存的公民身份認證數據現已全部收繳。
同時堵塞漏洞,“身份核驗返照業務”接口全部封停。
公安部門會同中國人民銀行等部門,加強對公民身份認證服務、個人征信服務的監管。
09.最后
國家整頓整個行業是大勢所趨,之前的互聯網黑產中夾雜了太多的非法利益,早就應該規范整個行業。
互聯網公司也不是法外之地,請大家且行且珍惜,合法合規穩定前行。
我身邊也有朋友在現金貸公司被公安抓捕的。這位朋友其實也意識到了風險,準備年后跳槽另選擇一家公司,沒想到沒過幾個月整個公司就被抓了。
所以我再次提醒大家,未來對個人隱私的重視度會越來越高,以前可以做的事情未必現在就可以做,在相關行業的朋友們需盡早做選擇。
近期特別是現金貸、小貸公司、大數據公司的程序員,如果公司涉嫌違法,最好一天都不要留。
【本文為51CTO專欄作者“純潔的微笑”的原創稿件,轉載請通過微信公眾號聯系作者獲取授權】
