隐私之殇:裸奔的中国人,如何保卫你的个人信息?
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
8月19日,山东临沂女大学生徐玉玉被诈骗电话骗走9900元学费。在报警回家的路上,心脏骤停,不幸离世。
8月23日,山东临沂大二学生宋振宁遭遇电信诈骗后,心脏骤停,不幸离世。
8月24日,上海华东师范大学大二学生小文(化名),订机票后收到诈骗短信,被骗6100元学费。
最近,这三则新闻引爆网络,指向同一个问题:个人信息安全!
我们不禁要问:
是谁,出卖了受害人的个人信息?
骗子使用的电话为什么无法追查?
裸奔的中国人,如何拯救自己的隐私?
短短5天内,3名大学生被骗光学费,2名猝然离世,深深刺痛了公众的神经。
切肤之痛的背后,是一直以来的麻木不仁。
骚扰电话接二连三、垃圾短信源源不断、垃圾邮件铺天盖地、案件事故从天而降、不法公司前来诈骗……
一天不接到几个诈骗电话,都不好意思说自己是中国人。
久经“考验”的我们,已然习惯了诈骗电话环绕、垃圾短信充斥的生活。
对于骗子,我们缺乏足够的警惕,多是挂断电话,骂一句“滚”。
对于受骗者,我们缺乏足够的同情,有时候甚至会嘲笑,“谁让你贪小便宜”、“怪你笨”、“就当交智商税了吧”。
监管者更是麻木不仁。徐玉玉接到的诈骗电话为“171”开头的号码,涉及该号段的电信诈骗已发生多次。此前类似的案件发生之时,监管者在哪里?
正是一直以来的麻木不仁、无所作为,终于,癣疥之疾恶化成切肤之痛!
观察这次大学生被骗事件,可以发现,骗子对三位大学生的个人信息可谓是“了如指掌”,这也是骗子实施“精准诈骗”,大学生上当的关键所在。
受害人的个人信息,是如何泄露的?
盗取公民个人信息的幕后黑手,不是一个人,而是一条组织严密、规模庞大、环环相扣的地下产业链。
《中国新闻周刊》曾报道,中国十大骗子产业,每年非法获利中国人3000亿元以上!
以网络诈骗为例,从业者160万人,规模高达1152亿元,形成了4大环节15大工种,分工明确,协同作案,形成完整的地下产业链。
其中,开发制作环节中的钓鱼编辑、木马开发、盗库黑客这3个工种,主要工作便是盗取公民个人信息!
2016年1月,360互联网安全中心发布的报告显示,43.9%被调查的网站存在安全漏洞,或将导致55亿条信息泄露。
仅2015年,中国网民人均就有8条个人隐私被盗!
泄露公民个人信息的黑手,又岂止一只!
2013年,某快递公司就出了“内鬼”,在网上倒卖快递单号,每天交易量高达3万余个。
个人信息被倒卖,每一个中国人都深有体会:
上午刚买车,下午就有人打电话来推销车险;
昨天刚买房,今天就有装修公司、家具商来电骚扰;
白天孩子刚报名上小学,晚上就有补习班发来短信。
……
这难道都是黑客干的?
澎湃新闻从中国裁判文书网检索到10起涉及非法获取个人信息罪(或侵犯公民个人信息罪)的案例,其中5例都是内鬼所为。
黑客易躲,内鬼难防!
骗子固然可恶,仅靠骗子显然难以完成骗局。
电信诈骗猖獗的背后,谁又在助纣为虐?
电话诈骗,离不开电话这个工具。
徐玉玉接到的诈骗电话是“171”开头的号码。
因实名登记不严、实际归属地不明,170/171号段几乎成为了诈骗分子的“专用号段”。涉及该号段的电信诈骗也屡次发生。
今年4月,工信部已要求虚拟运营商在1个月内对前期未实名登记、虚假登记的电话号码,完成用户身份信息补登等工作。
3个月过去了,新京报记者调查发现,现在在北京街头手机卡摊位,仍然可以轻松买到170开头的电话卡。
北京街头手机卡摊位可轻松买到170开头的电话卡
三大电信运营商长时间无动于衷,究竟是失察还是不察?是无意还是有意?
垃圾短信治理也许能给我们答案。
2008年,央视“3·15晚会”曾对垃圾短信进行曝光。
当时,工信部多次发文,要求三大电信运营商整治垃圾短信。而现实是,三大运营商不但没有积极治理,反而支持甚至鼓励垃圾短信的传播。
时至今日,垃圾短信仍然充斥着我们的手机。
究其原因,因为运营商正是垃圾短信庞大产业链的重要一环,从中谋取了巨额利益。
2013年,工信部向《经济参考报》提供的数据显示,仅前三季度,垃圾短信就为三大电信运营商带来几十亿元的收入。
为什么电信运营商会对诈骗电话睁一只眼闭一只眼?
也许是因为,三大电信运营商的眼里,只有钱。
计算机技术人员告诉澎湃新闻记者,徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。
他还表示,有团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。
教育部、公安部曾下发通知,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),可资对照的是,银行部分系统的最高防护等级为第四级。
事实上,很多学校、医院等机构保护等级远低于第三级,防火墙形同虚设,互联网+时代,公民的个人信息在裸奔!
问题这么多,监管去哪儿了?
侵犯公民个人信息的案件牵涉金额不大,很难引起足够的重视。又因电话、网络难以追踪,受害人报案了,也很难侦破。
打击不力,是对犯罪分子的鼓励。
即使有人因倒卖个人信息被判刑,按现行法律规定,量刑大多都在3年以下,只有特别严重的情况下,才会判7年以下。
量刑过轻,是对犯罪分子的纵容。
公民:个人信息被出卖,形同裸奔,整天被诈骗电话、垃圾短信骚扰。
骗子:借助不记名手机号、互联网,大肆敛财,逍遥法外。
机构:掌握公民个人信息,安全防护措施却形同虚设。
监管方:监管无方,追查无力,
法律:规定严重滞后于严峻的信息安全形势。
这就是中国公民面对的残酷现实!
这样的现实,经得起每一个公民的拷问吗?
魏则西在被虚假医疗广告欺骗后,曾感慨“人性最大的恶”;徐玉玉遭诈骗离世,则是以个体生命为“社会的恶”埋单。
面对花季少女的“心痛至死”,不知道电信运营商和“相关部门”,是否会继续 无动于衷。
也许有人会被问责,也许会不了了之。
毕竟,在歌舞升平中,逝者的坟茔,是很快会被遗忘的。
鲁迅说,悲剧就是把最美好的东西毁灭给人看。
最可悲的,不是美好的东西总被毁灭,而是把最美好的东西毁灭给人看,看的人,却麻木了。
4000元可买一省考生信息 黑客盗取个人信息成产业链 细思极恐!
事件 | 点评网络热点事件
山东女孩徐玉玉因为被骗光学费猝然离世引发舆论广泛关注。人们在抨击诈骗犯可恶、电信实名制落实不严之时也在思考为什么电信诈骗屡禁不绝,从目前披露的信息来看,骗子之所以能够得手一个关键原因在于知悉徐玉玉的相关信息,从而能够精准施骗。这才是电信诈骗背后的真问题。如何才能从根本上堵住个人信息泄露的漏洞?
高考考生数据几千元就可打包卖
观察徐玉玉被诈骗的细节可以发现,电信诈骗犯在她身上实施的可谓是“精准犯罪”:知道她刚考上大学,知道她需要助学金。有媒体披露,在徐玉玉被骗的前一天,她刚好接到过学校打来的关于助学金有关事项的电话。那么,骗子是怎么知道徐玉玉的信息的?很显然,她的个人信息被泄露了。
在个人信息泄露方面,教育和医疗机构是重灾区。很多人都有类似的经历,比如一些产妇前脚刚离开医院,马上就接到各种推销电话,对方对产妇的情况一目了然。教育系统也差不多如此。每年高考之后,有不少考生会接到一些自称“招生机构”的诈骗电话。经调查发现,网络上公然售卖考生信息者大有人在。这些卖家对于包含考生姓名、学校、电话、住址在内的信息进行打包出售,却根本不问买家用途。
打开网络会发现存在有大量出售、收购考生信息资料的QQ群。比如其中有一个名为“考试数据”的QQ群,刚进群不久,群主“出售考试名单”就会主动添加新进群的人为好友。对方个人资料里写着“车主、研究生、房地产估价师……”等标签,被询问其是否出售考生资料后,对方很快答复:“去年研究生考试160万考生数据都有,4000元一个省。今年高考考生数据不多,要的话打包给你,5000元。”随即,对方发过来一张截图,上面的文件名分别为“湖南全省”、“重庆”、“江苏”等7省市数十万名的考生信息。
黑客盗取个人信息已经形成产业链
信息如此被贩卖,问题来了,这些人是如何搞到这些信息的?当下,徐玉玉的信息是如何被泄露的还有待调查(当地教育部门否认泄露徐玉玉的信息)。但从过往的案例看,信息泄露无非两个途径,一是有内鬼主动对外出售,二是黑客入侵数据库将信息窃取出来再进行贩卖。
有资深计算机技术人员称,徐玉玉的信息有可能是被黑客盗取后,卖给了诈骗人员。这位人士表示,有团队曾试过“侵入”临沂周边多个市县教育局的网站,发现几分钟就可以进入,相关信息可以随意浏览和下载。
目前黑客盗取个人信息已形成一个巨大产业链,一部分黑客在黑进某些网站获取信息后,再在一些论坛、社交群中贩卖信息。与之相对应的,网络上的数据贩子则随处可见。
据部分数据贩子称,他们手上有全国各地区各行业的各类数据,不只是学生的电话数据,股民的账户数据、机票数据、网络购物数据、新生儿数据等等,他们都可以出售。
另外,有些黑客专门提供按需服务,也就是只要有人下单需要入侵什么网站、窃取什么数据,都可以尝试去做。比如在一个贩卖数据的qq群中,有网友就在群内发布了一条“找高手入侵指定网站,长期有单”的消息。
教育机构存在信息安全投入不足的问题
为什么教育机构的网站容易被入侵?对此,安全专家表示医疗和教育机构的业务现在与互联网的结合很紧密,但这些机构在网络信息安全方面的投入比较有限。一方面是这些机构掌握了大量信息,另一方面是安全方面却做得不够,这就容易导致信息泄露。
按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),当然学校可以根据自己需求提升安全保护等级,但实际情况是很多学校估计都没有达到最高等级。而可资对照的是,银行系统的最高防护等级为第四级。
△资料图
刑法是否对信息泄露犯罪形成足够威慑?
既然存在大规模的个人信息泄露问题,那么对相关的泄露行为惩罚够不够?去年8月份最新修订的刑法加强了对个人信息的保护,对于非法获取公民个人信息罪在刑期上进行了完善。根据刑法,窃取或者以其他方法非法获取公民个人信息的,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
刑法虽然这样规定,但这样的量刑还没有对相关人员构成足够的威慑,否则网络上也不至于存在这么多贩卖信息的聊天群。具体到徐玉玉这个案子,首先要抓到骗子,然后要找出信息泄露的源头。但在信息泄露和徐玉玉的死亡之间,有多个犯罪主体,到底是骗子的责任大还是信息泄露者的责任大,比较难以界定。另外,让犯罪分子有恃无恐的是这类案件调查起来难度不小。一位地方经侦警官也表示他们对这类案件很苦恼,有时候牵涉金额不大,但案件的调查却很复杂,一方面涉及查案侦查地域范围会很广,另一方面一些零碎案件可能要积累到一定时候才一起侦办,对他们来说,精力很有限,不太可能到处去灭火。
因此,在面对信息泄露和诈骗行为大量存在的情况下,对信息泄露和相关诈骗的惩罚方面是否应该更明确、更严厉也值得探讨。
△徐玉玉父亲
个人信息和数据的严重泄露,电话实名制的推广不力,运营商打击电信诈骗的力不从心......这些因素导致电信诈骗的土壤始终肥沃。“徐玉玉事件”为我们敲响了警钟,各相关部门须使出“洪荒之力”铲除电信诈骗的土壤,让悲剧不再重演。