消費者在享受數(shù)字化時代帶來的便利時�����,個人信息也不可避免地留存在了不同的服務(wù)平臺上�。每年盜取、濫用個人敏感信息的犯罪事件并不罕見����,到底是誰在背后收集這些數(shù)據(jù)?這些數(shù)據(jù)又是怎么流出的�?《財經(jīng)調(diào)查》起底非法販賣個人信息黑色產(chǎn)業(yè)鏈條。
日常停車竟能暴露公民敏感信息�?!
這幾年�,市場上一種被稱為“智慧停車”的新業(yè)態(tài)應(yīng)運而生。它依托于物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)����,覆蓋各種類型的停車場,大大提升了居民出行的便利度�。停車信息包括了車輛進入和離開某個地點的完整閉環(huán),屬于《個人信息保護法》規(guī)定的敏感個人信息中的行蹤軌跡信息���。智慧停車�����,很智慧����,但是夠安全嗎?
總臺記者對北京兩個采用了“智慧停車”系統(tǒng)的停車場進行了技術(shù)檢測����。駕駛員將車駛?cè)胪\噲觯h在幾公里外的專業(yè)技術(shù)人員��,輸入車輛的車牌號后�,無需身份驗證,輕而易舉就獲得了車輛所在停車場����、車輛入場時間等敏感信息。
在記者采用同樣的方式測試第三個“智慧”停車場時��,并沒有直接顯示出車輛的敏感信息�,但經(jīng)過技術(shù)專家的辨別,發(fā)現(xiàn)該停車場只是沒有在前臺顯示信息�����,后臺實際上有了應(yīng)答����,返回的數(shù)據(jù)包里同樣有著車輛敏感信息。專家告訴記者�,這樣的招數(shù)只能讓消費者不能直接看到。但是�����,不法分子依然能輕易獲取這些敏感的個人信息�。
2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中規(guī)定:
犯罪分子利用停車信息追蹤社會車輛
違法安裝跟蹤器�,對公民人身安全造成巨大隱患
犯罪分子的聊天群里每天在滾動發(fā)布著各種車輛的實時停車信息,包括了車牌號���、停車場具體地址�����、進場時間等等�����。
被犯罪分子“盯上”的車輛一旦進入停車場��,顯示在群里��,幾十分鐘之內(nèi)���,就會被裝上GPS無線定位器����,強磁吸附且超長待機����。
2023年,安徽碭山網(wǎng)警破獲了一起非法獲取計算機信息系統(tǒng)數(shù)據(jù)�,侵犯公民個人信息的案件。犯罪分子的突破口�����,就是全國數(shù)千個智慧停車服務(wù)系統(tǒng)中的數(shù)據(jù)接口漏洞��。據(jù)安徽省碭山縣公安局網(wǎng)安大隊偵查中隊中隊長余天龍介紹��,全國主流的這些停車場系統(tǒng)�,它們都有一個問題是任何一個人都可以為任何一個車輛去繳費。通過批量地在這些停車場系統(tǒng)里面進行模擬繳費��,獲取返回值進行解析�����,就可以確定某一臺車是不是在某一個停車場系統(tǒng)里面。
據(jù)警方介紹���,不法分子通過互聯(lián)網(wǎng)接單,幫助客戶尋找指定車輛���。在實施犯罪的過程中����,正是利用了停車小程序數(shù)據(jù)接口上的漏洞�����。之后���,短則幾分鐘��,貼手就會找到指定車輛�,貼上GPS追蹤器�。據(jù)警方資料顯示,貼手每貼一輛車能獲利800元到1000元��。那些位于上游的入侵停車場數(shù)據(jù)系統(tǒng)的不法分子更是獲利不菲��。
這起案件中,安徽碭山網(wǎng)警成功打掉了這個非法獲取售賣停車數(shù)據(jù)的犯罪團伙�,抓獲犯罪嫌疑人32名,查封遠程服務(wù)器9臺�、關(guān)鍵腳本程序5套、車輛位置數(shù)據(jù)50余萬條���。
蘆云律師向記者介紹��,案件中犯罪分子的行為涉嫌非法侵入計算機信息系統(tǒng)���,或者是非法獲取計算機信息系統(tǒng)數(shù)據(jù)這樣的罪名,那么同時也有可能涉嫌侵犯公民個人信息罪��。
2024年10月��,法院判決該案系列被告人犯侵犯公民個人信息罪���,判決有期徒刑二年至四年不等�。
點餐�����、辦卡、訂酒店�,你的個人信息根本藏不住
就連醫(yī)院驗血的結(jié)果別人也能隨意查看
眼下,騷擾電話和各類騷擾信息一直是困擾廣大消費者的一個問題��。最值得注意的是這些推銷對消費者的選擇�����,也異常精準�。中國電子技術(shù)標準化研究院網(wǎng)安中心的何延哲表示���,問題就出在API上���,它也被稱為應(yīng)用程序接口,其中與開放���、傳輸數(shù)據(jù)相關(guān)的則被稱為數(shù)據(jù)接口���。
購買機票時,輸入起點�����、終點的輸入框就是一個接口�。消費者進一步點擊某個航班���,此時這個網(wǎng)頁鏈接����,也是一個數(shù)據(jù)接口��。消費者獲得服務(wù)的過程就是一個個數(shù)據(jù)接口通過不斷與后臺進行數(shù)據(jù)交互來實現(xiàn)的��。專家告訴記者���,眼下消費市場上的網(wǎng)站和應(yīng)用程序上,存在著海量的數(shù)據(jù)接口��。僅一個簡單的App應(yīng)用,平均就擁有成百上千個數(shù)據(jù)接口���,一個小型平臺��,就可能擁有上萬個數(shù)據(jù)接口���。恰恰是這些承載著海量數(shù)據(jù)流轉(zhuǎn)和交互的數(shù)據(jù)接口正是不法分子眼中的薄弱環(huán)節(jié),也逐步成為他們主要攻擊的目標�。
記者會同網(wǎng)絡(luò)安全技術(shù)專家,針對不同消費場景中數(shù)據(jù)接口的使用情況進行了一系列實時測試和深入調(diào)查���。技術(shù)測試分為三步:
——測試場景1:咖啡茶飲店的手機點餐
測試結(jié)果:專家僅僅使用最基礎(chǔ)的解碼程序�,就輕而易舉地從小程序的數(shù)據(jù)接口返回的數(shù)據(jù)包中�����,獲取了記者下單消費的完整且沒有加密的后臺數(shù)據(jù)����。這家咖啡店的網(wǎng)絡(luò)小程序數(shù)據(jù)接口授權(quán)不嚴密�,導致任意人員能輕易獲取該企業(yè)數(shù)據(jù)庫中用戶的個人信息,比如手機號�����。
——測試場景2:運動健身購買月卡
測試結(jié)果:專家僅僅使用最基礎(chǔ)的解碼程序,就順利通過了該小程序數(shù)據(jù)接口的用戶身份校驗����,毫無阻攔地就拿到了完整且未加密的用戶信息。這其中包括身高�����、體重����、職業(yè)、生日等敏感信息���。
——測試場景3:生活服務(wù)
測試結(jié)果:這家企業(yè)的小程序接口存在一個非常明顯的漏洞:當消費者查詢的訂單號為空的時候����,該接口就會返回數(shù)據(jù)庫中所有訂單的信息����,這幾乎讓程序平臺里的整個用戶信息都存在極大的泄露風險。敏感信息包括手機號�、姓名和居住地址����。
——測試場景4:酒店訂房
測試結(jié)果:這個小程序的接口雖然做了一定的加密措施�,但是由于生成的訂單號非常有規(guī)律��,專業(yè)人員可以根據(jù)規(guī)律構(gòu)造查詢指令�,也可以很輕易地查看到指定日期的所有訂單信息���。
——測試場景5:醫(yī)療信息
測試結(jié)果:該醫(yī)院的小程序也屬于查詢接口授權(quán)機制不完善�。查詢所有患者的化驗報告應(yīng)該要管理員權(quán)限才能訪問�,但是通過這個接口,用普通賬號也能查詢�����,醫(yī)院的小程序在權(quán)限等級識別上根本就沒有設(shè)置任何障礙��。
免責聲明:凡本網(wǎng)注明“來源:XXX(非駐馬店廣視網(wǎng)�����、駐馬店融媒��、駐馬店網(wǎng)絡(luò)問政�����、掌上駐馬店�、駐馬店頭條、駐馬店廣播電視臺)”的作品����,均轉(zhuǎn)載自其它媒體���,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責��,作品版權(quán)歸原作者所有�����,如有侵犯您的原創(chuàng)版權(quán)請告知,我們將盡快刪除相關(guān)內(nèi)容。凡是本網(wǎng)原創(chuàng)的作品��,拒絕任何不保留版權(quán)的轉(zhuǎn)載,如需轉(zhuǎn)載請標注來源并添加本文鏈接:http://yinghaihangkaoshi.net/showinfo-124-342147-0.html,否則承擔相應(yīng)法律后果。
