原標(biāo)題：財(cái)經(jīng)調(diào)查丨點(diǎn)餐、辦卡,、訂酒店……我的個(gè)人信息怎么就被泄露了

消費(fèi)者在享受數(shù)字化時(shí)代帶來(lái)的便利時(shí),，個(gè)人信息也不可避免地留存在了不同的服務(wù)平臺(tái)上,。每年盜取,、濫用個(gè)人敏感信息的犯罪事件并不罕見(jiàn),，到底是誰(shuí)在背后收集這些數(shù)據(jù),？這些數(shù)據(jù)又是怎么流出的,？《財(cái)經(jīng)調(diào)查》起底非法販賣(mài)個(gè)人信息黑色產(chǎn)業(yè)鏈條。

日常停車(chē)竟能暴露公民敏感信息,？,！

這幾年，市場(chǎng)上一種被稱(chēng)為“智慧停車(chē)”的新業(yè)態(tài)應(yīng)運(yùn)而生,。它依托于物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù),，覆蓋各種類(lèi)型的停車(chē)場(chǎng)，大大提升了居民出行的便利度,。停車(chē)信息包括了車(chē)輛進(jìn)入和離開(kāi)某個(gè)地點(diǎn)的完整閉環(huán),，屬于《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息中的行蹤軌跡信息。智慧停車(chē),，很智慧,，但是夠安全嗎？

總臺(tái)記者對(duì)北京兩個(gè)采用了“智慧停車(chē)”系統(tǒng)的停車(chē)場(chǎng)進(jìn)行了技術(shù)檢測(cè),。駕駛員將車(chē)駛?cè)胪＼?chē)場(chǎng),，遠(yuǎn)在幾公里外的專(zhuān)業(yè)技術(shù)人員，輸入車(chē)輛的車(chē)牌號(hào)后,，無(wú)需身份驗(yàn)證,，輕而易舉就獲得了車(chē)輛所在停車(chē)場(chǎng)、車(chē)輛入場(chǎng)時(shí)間等敏感信息,。

在記者采用同樣的方式測(cè)試第三個(gè)“智慧”停車(chē)場(chǎng)時(shí),，并沒(méi)有直接顯示出車(chē)輛的敏感信息，但經(jīng)過(guò)技術(shù)專(zhuān)家的辨別,，發(fā)現(xiàn)該停車(chē)場(chǎng)只是沒(méi)有在前臺(tái)顯示信息,，后臺(tái)實(shí)際上有了應(yīng)答，返回的數(shù)據(jù)包里同樣有著車(chē)輛敏感信息,。專(zhuān)家告訴記者,，這樣的招數(shù)只能讓消費(fèi)者不能直接看到。但是，不法分子依然能輕易獲取這些敏感的個(gè)人信息,。

2017年《最高人民法院,、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》中規(guī)定↓

犯罪分子利用停車(chē)信息追蹤社會(huì)車(chē)輛

違法安裝跟蹤器對(duì)公民人身安全造成巨大隱患！

犯罪分子的聊天群里每天在滾動(dòng)發(fā)布著各種車(chē)輛的實(shí)時(shí)停車(chē)信息,，包括了車(chē)牌號(hào),、停車(chē)場(chǎng)具體地址、進(jìn)場(chǎng)時(shí)間等等,。

被犯罪分子“盯上”的車(chē)輛一旦進(jìn)入停車(chē)場(chǎng)，顯示在群里,，幾十分鐘之內(nèi),，就會(huì)被裝上GPS無(wú)線(xiàn)定位器，強(qiáng)磁吸附且超長(zhǎng)待機(jī),。

2023年,，安徽碭山網(wǎng)警破獲了一起非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)，侵犯公民個(gè)人信息的案件,。犯罪分子的突破口,，就是全國(guó)數(shù)千個(gè)智慧停車(chē)服務(wù)系統(tǒng)中的數(shù)據(jù)接口漏洞。據(jù)安徽省碭山縣公安局網(wǎng)安大隊(duì)偵查中隊(duì)中隊(duì)長(zhǎng)余天龍介紹,，全國(guó)主流的這些停車(chē)場(chǎng)系統(tǒng),，它們都有一個(gè)問(wèn)題是任何一個(gè)人都可以為任何一個(gè)車(chē)輛去繳費(fèi)。通過(guò)批量地在這些停車(chē)場(chǎng)系統(tǒng)里面進(jìn)行模擬繳費(fèi),，獲取返回值進(jìn)行解析,，就可以確定某一臺(tái)車(chē)是不是在某一個(gè)停車(chē)場(chǎng)系統(tǒng)里面。

據(jù)警方介紹,，不法分子通過(guò)互聯(lián)網(wǎng)接單,，幫助客戶(hù)尋找指定車(chē)輛。在實(shí)施犯罪的過(guò)程中,，正是利用了停車(chē)小程序數(shù)據(jù)接口上的漏洞,。之后，短則幾分鐘,，貼手就會(huì)找到指定車(chē)輛,，貼上GPS追蹤器。據(jù)警方資料顯示,，貼手每貼一輛車(chē)能獲利800元到1000元,。那些位于上游的入侵停車(chē)場(chǎng)數(shù)據(jù)系統(tǒng)的不法分子更是獲利不菲。

這起案件中,，安徽碭山網(wǎng)警成功打掉了這個(gè)非法獲取售賣(mài)停車(chē)數(shù)據(jù)的犯罪團(tuán)伙,，抓獲犯罪嫌疑人32名，查封遠(yuǎn)程服務(wù)器9臺(tái),、關(guān)鍵腳本程序5套,、車(chē)輛位置數(shù)據(jù)50余萬(wàn)條,。

蘆云律師向記者介紹，案件中犯罪分子的行為涉嫌非法侵入計(jì)算機(jī)信息系統(tǒng),，或者是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)這樣的罪名,，那么同時(shí)也有可能涉嫌侵犯公民個(gè)人信息罪。

2024年10月,，法院判決該案系列被告人犯侵犯公民個(gè)人信息罪,，判決有期徒刑二年至四年不等。

點(diǎn)餐,、辦卡,、訂酒店……你的個(gè)人信息根本藏不住就連醫(yī)院驗(yàn)血的結(jié)果別人也能隨意查看

眼下，騷擾電話(huà)和各類(lèi)騷擾信息一直是困擾廣大消費(fèi)者的一個(gè)問(wèn)題,。最值得注意的是這些推銷(xiāo)對(duì)消費(fèi)者的選擇,，也異常精準(zhǔn)。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的何延哲表示,，問(wèn)題就出在A(yíng)PI上,，它也被稱(chēng)為應(yīng)用程序接口，其中與開(kāi)放,、傳輸數(shù)據(jù)相關(guān)的則被稱(chēng)為數(shù)據(jù)接口,。

購(gòu)買(mǎi)機(jī)票時(shí)，輸入起點(diǎn),、終點(diǎn)的輸入框就是一個(gè)接口,。消費(fèi)者進(jìn)一步點(diǎn)擊某個(gè)航班，此時(shí)這個(gè)網(wǎng)頁(yè)鏈接,，也是一個(gè)數(shù)據(jù)接口,。消費(fèi)者獲得服務(wù)的過(guò)程就是一個(gè)個(gè)數(shù)據(jù)接口通過(guò)不斷與后臺(tái)進(jìn)行數(shù)據(jù)交互來(lái)實(shí)現(xiàn)的。專(zhuān)家告訴記者,，眼下消費(fèi)市場(chǎng)上的網(wǎng)站和應(yīng)用程序上,，存在著海量的數(shù)據(jù)接口。僅一個(gè)簡(jiǎn)單的App應(yīng)用,，平均就擁有成百上千個(gè)數(shù)據(jù)接口,，一個(gè)小型平臺(tái)，就可能擁有上萬(wàn)個(gè)數(shù)據(jù)接口,。恰恰是這些承載著海量數(shù)據(jù)流轉(zhuǎn)和交互的數(shù)據(jù)接口正是不法分子眼中的薄弱環(huán)節(jié),，也逐步成為他們主要攻擊的目標(biāo)。

記者會(huì)同網(wǎng)絡(luò)安全技術(shù)專(zhuān)家,，針對(duì)不同消費(fèi)場(chǎng)景中數(shù)據(jù)接口的使用情況進(jìn)行了一系列實(shí)時(shí)測(cè)試和深入調(diào)查,。技術(shù)測(cè)試分為三步：

測(cè)試場(chǎng)景1：咖啡茶飲店的手機(jī)點(diǎn)餐

測(cè)試結(jié)果：專(zhuān)家僅僅使用最基礎(chǔ)的解碼程序，就輕而易舉地從小程序的數(shù)據(jù)接口返回的數(shù)據(jù)包中，獲取了記者下單消費(fèi)的完整且沒(méi)有加密的后臺(tái)數(shù)據(jù),。這家咖啡店的網(wǎng)絡(luò)小程序數(shù)據(jù)接口授權(quán)不嚴(yán)密,，導(dǎo)致任意人員能輕易獲取該企業(yè)數(shù)據(jù)庫(kù)中用戶(hù)的個(gè)人信息，比如手機(jī)號(hào),。

測(cè)試場(chǎng)景2：運(yùn)動(dòng)健身購(gòu)買(mǎi)月卡

測(cè)試結(jié)果：專(zhuān)家僅僅使用最基礎(chǔ)的解碼程序,，就順利通過(guò)了該小程序數(shù)據(jù)接口的用戶(hù)身份校驗(yàn)，毫無(wú)阻攔地就拿到了完整且未加密的用戶(hù)信息,。這其中包括身高,、體重、職業(yè),、生日等敏感信息,。

測(cè)試場(chǎng)景3：生活服務(wù)

測(cè)試結(jié)果：這家企業(yè)的小程序接口存在一個(gè)非常明顯的漏洞：當(dāng)消費(fèi)者查詢(xún)的訂單號(hào)為空的時(shí)候，該接口就會(huì)返回?cái)?shù)據(jù)庫(kù)中所有訂單的信息,，這幾乎讓程序平臺(tái)里的整個(gè)用戶(hù)信息都存在極大的泄露風(fēng)險(xiǎn),。敏感信息包括手機(jī)號(hào),、姓名和居住地址,。

測(cè)試場(chǎng)景4：酒店訂房

測(cè)試結(jié)果：這個(gè)小程序的接口雖然做了一定的加密措施，但是由于生成的訂單號(hào)非常有規(guī)律,，專(zhuān)業(yè)人員可以根據(jù)規(guī)律構(gòu)造查詢(xún)指令,，也可以很輕易地查看到指定日期的所有訂單信息。

測(cè)試場(chǎng)景5：醫(yī)療信息

測(cè)試結(jié)果：該醫(yī)院的小程序也屬于查詢(xún)接口授權(quán)機(jī)制不完善,。查詢(xún)所有患者的化驗(yàn)報(bào)告應(yīng)該要管理員權(quán)限才能訪(fǎng)問(wèn),，但是通過(guò)這個(gè)接口，用普通賬號(hào)也能查詢(xún),，醫(yī)院的小程序在權(quán)限等級(jí)識(shí)別上根本就沒(méi)有設(shè)置任何障礙,。