5月9日，最高人民法院通報了《最高人民法院,、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,。

這是兩高首次就打擊侵犯公民個人信息犯罪出臺司法解釋。根據(jù)此次司法解釋,，非法獲取、出售公民個人信息,，情節(jié)嚴重者可獲刑,。

新京報記者買到的電商網(wǎng)購數(shù)據(jù)。

某QQ群大量收購網(wǎng)購信息,。

“近年來,，侵犯公民個人信息犯罪仍處于高發(fā)態(tài)勢，而且與電信網(wǎng)絡(luò)詐騙,、敲詐勒索,、綁架等犯罪呈合流態(tài)勢，社會危害更加嚴重,?！弊罡叻ㄏ嚓P(guān)人士稱。

我們幾乎每個人,，都曾被推銷電話,、詐騙短信騷擾過。去年發(fā)生的“徐玉玉案”,，即是個人信息遭侵犯導(dǎo)致的“惡果”,。

在此節(jié)點，新京報推出關(guān)于“個人信息泄露”的系列調(diào)查報道,。我們將通過對航空,、征信、銀行卡等領(lǐng)域的調(diào)查,，以期找到個人信息泄露的源頭,。

5月10日，家住天津的馬曉迪（化名）告訴新京報記者,，她接到了號稱是1號店客服打來的詐騙電話,。對方稱，因“后臺失誤”將賬號調(diào)整為批發(fā)用戶,，要求她提供賬號等信息,?！拔荫R上就掛機了，但又打來好幾個,，說不改別后悔,，后來我就不接了?！?/p>

馬曉迪之所以能接到這類詐騙電話,，是因為她的網(wǎng)購信息已經(jīng)遭到泄露，信息販子從各種渠道獲得網(wǎng)購信息后,，會進行轉(zhuǎn)賣,，而電話詐騙團伙就是買家之一。

有業(yè)內(nèi)人士向新京報記者透露,，用戶網(wǎng)購數(shù)據(jù)的獲得渠道有很多種,，但大部分信息販子是通過“掃號”取得的網(wǎng)購數(shù)據(jù)。一名在QQ上出售各種網(wǎng)購信息的販子也稱,，他們的數(shù)據(jù)是“掃號”得來,。

“通過‘掃號撞庫’的方式，黑客可以拿到用戶在網(wǎng)購平臺上的數(shù)據(jù),，”游俠安全網(wǎng)創(chuàng)始人張百川表示,，一些平臺的用戶信息之所以遭到泄露，就是因為缺少對這種“撞庫攻擊”的防范,。

黑客盜取某些網(wǎng)站的數(shù)據(jù)庫售賣給信息販子,，這些信息流到騙子手中后，一般會以冒充客服退款等方式進行詐騙,。

網(wǎng)購信息2元一條，販子稱“掃號”得來

來自西安的小嚴不久前因小紅書網(wǎng)購信息泄露遭遇詐騙,。

小嚴告訴新京報記者,，她3月份在小紅書平臺購買過商品，之后接到了自稱是小紅書工作人員的電話,，“說我所購買的商品存在質(zhì)量問題,，要收回并銷毀，因為他們掌握我所有的購物信息以及地址,，我就相信了他們,。”

小嚴說,，對方讓她登錄支付寶查看退款,。小嚴回答“沒有收到退款”后，對方便詢問了小嚴的芝麻信用,，并要她在招聯(lián)好期貸,、來分期等平臺嘗試貸款,，并說這是小紅書與他們的合作，小嚴可以馬上從中提現(xiàn),，得到賠償,，但需要將多余款項打回給對方。小嚴在招聯(lián)好期貸上提取了1100元,，將其中1000元打了過去,。

打完款，小嚴才覺得自己被騙了,，隨即報警,，截至目前還沒有結(jié)果。她之后聯(lián)系了小紅書平臺,，小紅書平臺稱他們只負責(zé)追繳,，不負責(zé)賠償。

在網(wǎng)上搜索公開報道和網(wǎng)友反映,，可以發(fā)現(xiàn),，近年來有不少網(wǎng)購平臺用戶都有因網(wǎng)購信息泄露被詐騙或賬戶被盜的案例。例如2012年5月底,，1號店被曝員工內(nèi)外勾結(jié)泄露客戶信息,，90萬個用戶信息竟被以500元的價格叫賣，部分消費者不久后就遇到了賬戶余額被盜,、電話詐騙等問題,。而2015年至2016年，陸陸續(xù)續(xù)有100多人被能準確說出購物信息的假冒“京東客服”詐騙,，涉及金額達200多萬元,，北京的一名受騙者韓先生甚至創(chuàng)辦了一個名為“京東盜刷維權(quán)群”的QQ群。

中國電子商務(wù)研究中心分析師姚建芳告訴新京報記者,，僅在今年4月份,，中國電子商務(wù)投訴與維權(quán)公共服務(wù)平臺就接到了包括小紅書、達令,、當當網(wǎng)在內(nèi)的多家網(wǎng)購平臺用戶反映個人信息泄露的舉報,。

這些電商平臺的信息都是如何泄露的？有業(yè)內(nèi)人士向新京報記者透露,，網(wǎng)購數(shù)據(jù)的來源有很多種,，例如電商內(nèi)部員工倒賣、物流信息泄露,、木馬病毒等,，但大部分信息販子是通過“掃號”取得的網(wǎng)購數(shù)據(jù)。

新京報記者以購買網(wǎng)購資料為名聯(lián)系了一位QQ名為“AA收購數(shù)據(jù)”的信息販子,，其稱擁有包括蘇寧易購,、亞馬遜在內(nèi)的多家平臺網(wǎng)購信息,，并向記者以2元一人的價位“低價出售”了一份“已經(jīng)用過的”包含100人網(wǎng)購信息的“數(shù)據(jù)”。上述信息販子也稱,，他們的數(shù)據(jù)是“掃號”得來的,。

5月10日，當接到新京報記者電話,，被告知自己的真實姓名,、住址以及購買過什么東西時，家住北京的孫喆麗（化名）第一反應(yīng)是,，遇到騙子了,。

孫喆麗的網(wǎng)購信息就是記者花2元錢在上述信息販子手上買到的，包括孫喆麗的詳細購物信息以及她的住址,、電話,，網(wǎng)購的賬號密碼。

孫喆麗說,，之前確實接到過騙子的電話,。“有人打電話自稱是客服,，跟我說我的商品有問題會退款給我,，讓我登錄支付寶看有沒有收到退款，我說沒有,，他們就問我的芝麻信用,，我當時覺得不對勁就把電話掛掉了?！?/p>

在孫喆麗和小嚴遭遇詐騙電話的案例中,，對方都準確說出了二人的購物信息以及個人信息。

新京報記者發(fā)現(xiàn),，在“AA收購數(shù)據(jù)”提供的網(wǎng)購信息名單上,，大部分用戶的賬號仍然可以按照其提供的密碼登錄。新京報記者隨機聯(lián)系了5名用戶進行核實,，發(fā)現(xiàn)名單上提供的個人信息全部屬實，而大部分用戶完全不知道自己的賬號已經(jīng)被盜取,。

被稱為“中國黑客教父”的現(xiàn)任益云（公益互聯(lián)網(wǎng)）社會創(chuàng)新中心創(chuàng)始人萬濤告訴新京報記者,，網(wǎng)購用戶質(zhì)量高低與否決定了出售數(shù)據(jù)價格的高低?！百|(zhì)量指的網(wǎng)購商品的客單價,，比如衣服等普通物品客單價較低，數(shù)據(jù)可能就便宜,，但如果購買電視,、手機等相對貴重的物品,，客單價比較高，用戶數(shù)據(jù)的價值也就更高一些,?！?/p>

據(jù)業(yè)內(nèi)人士介紹，根據(jù)客單價的不同,，網(wǎng)購數(shù)據(jù)的價位也不同,，被倒賣過多次的信息并不值錢，一些歷史數(shù)據(jù)甚至是黑客圈中公開的秘密,，價值為零,。而沒有被用過的“一手”信息則可以賣到幾塊錢一條。

5月16日,，“AA收購數(shù)據(jù)”還向記者提供了30條蘇寧易購的網(wǎng)購數(shù)據(jù)“樣品”,。記者發(fā)現(xiàn)，這些網(wǎng)購數(shù)據(jù)從4月27日到5月3日不等,，均有賬戶和密碼,。記者登錄了其中3條網(wǎng)購信息的賬戶，發(fā)現(xiàn)可以登錄成功,。新京報記者隨即撥打了3名用戶的電話,，3名用戶都表示，其電話和姓名均正確,，并很疑惑地反問記者,，“你是怎么知道我電話的?！?/p>

掃號產(chǎn)業(yè)鏈：黑客偷,、販子倒、騙子買

“通過‘掃號撞庫’的方式,，黑客可以拿到用戶在網(wǎng)購平臺上的數(shù)據(jù),，”游俠安全網(wǎng)創(chuàng)始人張百川向新京報記者表示，“而一些平臺的用戶信息之所以遭到泄露,，就是因為缺少對這種‘撞庫攻擊’的防范,。”

根據(jù)目前受騙者的案例,，這些信息流向騙子的手中,，當騙子掌握用戶的具體購物信息時，一般會以冒充客服退款等方式進行詐騙,。

“所謂‘掃號撞庫’,，簡單來說，就是黑客用技術(shù)手段入侵一些安全防范不是很高的網(wǎng)站,，取得大量的用戶注冊名和密碼數(shù)據(jù),，有些網(wǎng)站的登錄名包括用戶的手機號,、郵箱甚至身份證號，這些登錄名可以與其他網(wǎng)站關(guān)聯(lián)上,，是信息泄露的載體,，信息販子掌握這些信息后，可以用‘撞庫’方式嘗試登錄其他網(wǎng)站,?！睆埌俅ㄕf。

據(jù)他介紹,，在實際操作中,，信息販子往往是通過專門的“掃號”軟件，來批量驗證賬號密碼是否是有價值的,。

5月2日,，當新京報記者詢問“AA收購數(shù)據(jù)”有沒有淘寶的平臺賬號密碼時，“AA收購數(shù)據(jù)”回答稱做不了,，因為“沒有軟件”,。

5月2日，新京報記者以出售數(shù)據(jù)為名聯(lián)系到了一個網(wǎng)名為“四哥”的信息販子,?！八母纭狈Q他們“大量收購所有網(wǎng)購歷史訂單，月內(nèi)為優(yōu)”,。并稱,，“拿貨價2元一個，囤貨多了再出手,，隨便一天出3萬個左右,，保證最新數(shù)據(jù)”。

至于數(shù)據(jù)來源,，“四哥”稱“都是掃號得來的”,，并詢問記者是不是“技術(shù)源頭”。

“這些信息販子的‘技術(shù)源頭’就是黑客平臺”,。張百川告訴新京報記者,，“這些在黑客圈子里都可以找到，黑客盜取某些網(wǎng)站的數(shù)據(jù)庫后就可以售賣給信息販子,，根據(jù)數(shù)據(jù)價值的不同,，售價也不同，但一般都是第一次出售價格最高,，比如最開始這個數(shù)據(jù)庫可以賣一萬，‘二倒手’之后就只能賣6千,，再倒手之后價格更低,，直至最后沒有價值,，向公眾公開?！?/p>

一條黑客盜竊數(shù)據(jù)庫信息,，信息販子通過掃號軟件“撞庫”取得網(wǎng)購平臺賬戶密碼，騙子再以幾元一條的價格購買信息并進行電話詐騙的“掃號”黑色產(chǎn)業(yè)鏈浮出水面,?！斑@個產(chǎn)業(yè)鏈存在至少有七八年了?！睆埌俅ū硎?。

新京報記者發(fā)現(xiàn)，一些QQ群是這些信息倒賣者的“大本營”,。例如在某個以“網(wǎng)路安全”為名的QQ群里,，不少人公開發(fā)廣告稱“求能拿指定站的大牛，價格以萬為基數(shù),，長期合作,，另誠意收購金融網(wǎng)站數(shù)據(jù)庫”、“收帶名字,、電話,、身份證號、地址的一手個人數(shù)據(jù),，價格包你滿意”,。

獵網(wǎng)在2015年11月曾發(fā)布《現(xiàn)代網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈分析報告》，報告顯示：基于對網(wǎng)民舉報的近9萬起網(wǎng)絡(luò)詐騙案件的追蹤研究,，該平臺發(fā)現(xiàn)網(wǎng)絡(luò)詐騙已形成一條完整且分工明確,、多達15個工種的地下黑色產(chǎn)業(yè)鏈；初步統(tǒng)計,，網(wǎng)絡(luò)詐騙從業(yè)者至少有160萬人,，“年產(chǎn)值”超過1100億元，而涉嫌泄露用戶信息量已超過千萬級,。

獵網(wǎng)平臺反網(wǎng)絡(luò)詐騙專家裴智勇介紹,，即便是手法最簡單的網(wǎng)絡(luò)詐騙，也至少需要10人的犯罪團伙：從開發(fā)制作,、批發(fā)零售到詐騙實施,、分贓銷贓，網(wǎng)絡(luò)詐騙可劃分出多達盜庫黑客,、電話詐騙經(jīng)理,、短信群發(fā)商等多個不同工種，其分工明確，協(xié)同作案,，形成了完整的網(wǎng)絡(luò)詐騙地下產(chǎn)業(yè)鏈,，其中盜庫黑客是這條產(chǎn)業(yè)鏈的源頭。

有“漏洞”平臺更易被“撞庫”

“說白了,，撞庫攻擊就是不斷地嘗試錯誤的密碼,。”張百川表示,，“對于大型平臺來說,，往往可以利用技術(shù)手段限制這一‘撞庫攻擊’。比如登錄錯誤幾次后直接封掉登錄者的IP地址,，一個賬戶一天之內(nèi)只允許輸入三次,，一個IP地址如果輸入了兩個賬戶或者輸錯了5次以上，24小時內(nèi)就不允許再登錄等,?！?/p>

5月10日，新京報記者在某互聯(lián)網(wǎng)平臺多次以錯誤密碼登錄同一賬號后,，登錄界面出現(xiàn)了“您今日只能再輸入三次”的提示,。

新京報記者同日在1號店網(wǎng)站上多次試驗登錄同一賬號，多次輸錯賬號密碼后,，1號店要求輸入驗證碼,，但除此之外并無其他防范手段。

5月16日,，新京報記者嘗試以錯誤密碼登錄蘇寧易購,，發(fā)現(xiàn)輸錯3次密碼后，蘇寧易購開啟了移動滑塊的防護措施,，并在輸錯10次后鎖死了賬戶信息,，顯示只有1小時之后才可以再次嘗試。而在以錯誤密碼登錄小紅書的試驗時,，小紅書方面表示需要以接收手機驗證碼的方式登錄,。

“1號店的驗證碼模式并不算是防御撞庫攻擊的有效方式，現(xiàn)在在網(wǎng)上搜索驗證碼識別,、驗證碼繞過,，可以得到相應(yīng)的破解軟件。移動滑塊相應(yīng)高端一些,，但目前市場上也出現(xiàn)了破解移動滑塊的軟件,。”張百川表示,。而對于手機驗證碼,，萬濤表示,，現(xiàn)在有專門的打碼平臺可以幫忙快速破解驗證碼。

有業(yè)內(nèi)人士稱,，當盜號者取得了一家網(wǎng)站的數(shù)據(jù)并通過撞庫攻擊“撞出”其他網(wǎng)站的用戶名和密碼后,，被“撞出”的用戶名和密碼也會成為新的“數(shù)據(jù)庫”再用以“撞”其他的網(wǎng)站。

5月10日,，新京報記者致電一位信息已遭泄露的電商用戶時，該用戶告訴新京報記者,，她接到了冒充1號店客服打來的詐騙電話,。這名用戶在兩家電商平臺上的登錄名為同一個手機號。

“事實上,，對撞庫攻擊進行防御的成本并不高,，但除支付寶等大型平臺外，小平臺對這一攻擊手段進行防范的驅(qū)動力不太大,?！睆埌俅ㄖ毖浴?/p>

對于因信息泄露遭受詐騙而形成的損失,，電商平臺應(yīng)承擔(dān)怎樣的責(zé)任至今仍不明確,。大部分電商平臺對于此類事件的回應(yīng)一般為“配合警方調(diào)查”。1號店昨日向新京報記者回復(fù)稱,，需要對信息泄露一事再核實,。1號店的后臺安全系統(tǒng)會24小時不間斷監(jiān)測顧客登錄和購物行為，一旦發(fā)現(xiàn)頻繁異常登錄等高風(fēng)險情況,，將采取鎖定賬戶等緊急手段,，顧客需要修改密碼或通過身份驗證再次使用。如果顧客遭遇信息泄露后的財產(chǎn)損失情況,，將全力配合警方提供所需要的信息,。

蘇寧方面表示，蘇寧基于用戶信息安全防范成立的安全團隊,，以網(wǎng)絡(luò)安全攻擊,、Web安全攻擊的安全風(fēng)險發(fā)現(xiàn)識別為基礎(chǔ)，可以通過可視化網(wǎng)絡(luò)與Web攻擊事件,，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)高級持續(xù)性威脅,，挖掘與檢測針對蘇寧消費者與商家的釣魚網(wǎng)站，并予以及時處理,。對于涉及消費者信息安全問題,，將第一時間核實處理，確保用戶購物支付環(huán)境的安全與穩(wěn)定,。

根據(jù)今年3月補天平臺發(fā)布的《2016年網(wǎng)站泄露個人信息形勢分析報告》,，2016年有超過一半的網(wǎng)站漏洞會導(dǎo)致泄露實名信息和行為信息,，分別占58.5%和62.4%（某些漏洞可能同時泄露2類信息），可能泄露的數(shù)量多達42.3億條和40.1億條,。

電商平臺是否擔(dān)責(zé),？律師稱難判斷

“電商平臺在獲取個人信息的同時，就有保護個人信息的義務(wù),?！北本┯坡蓭熓聞?wù)所方超強律師向新京報記者表示，“信息泄露存在不同的情況,，如果電商平臺提供了符合其規(guī)模的保護措施,，但在這種情況之下還是被黑客入侵了系統(tǒng)，這種情況屬于不可抗力,，電商不用承擔(dān)責(zé)任,，但如果最終發(fā)現(xiàn)因平臺存在漏洞而導(dǎo)致信息泄露，那么平臺就要負責(zé),?！?/p>

他進一步解釋稱，若盜號者是利用技術(shù)手段從電商平臺上盜取數(shù)據(jù),，獲得相關(guān)賬號密碼,，則需要進一步考慮電商平臺在數(shù)據(jù)保密層面上技術(shù)保護水平是否足夠高，有無明顯漏洞,；若一些初學(xué)者黑客也可以攻破平臺的安全保護措施,，可以認為平臺沒有給予與其規(guī)模相匹配的保護，這樣的情況下可以認為平臺存在漏洞,，需要承擔(dān)責(zé)任,。

根據(jù)《網(wǎng)絡(luò)交易管理辦法》第25條第二款規(guī)定：第三方交易平臺經(jīng)營者應(yīng)當采取必要的技術(shù)手段和管理措施保證平臺的正常運行，提供必要,、可靠的交易環(huán)境和交易服務(wù),，維護網(wǎng)絡(luò)交易秩序。

但方超強直言,，在現(xiàn)實中很難有一個標準去判斷什么叫做“平臺存在漏洞導(dǎo)致信息泄露”,，若消費者向法院投訴平臺，平臺只要舉證證明其盡到了安全責(zé)任保護義務(wù),，就很難對平臺進行追責(zé),。同時，對于消費者因為在不同電商平臺使用相同的賬號密碼,，以致遭到“撞庫”盜號,，所有賬號密碼一同被盜，造成自身重大損失,，此類情形,，應(yīng)當由誰承擔(dān)責(zé)任要視賬號泄密的不同情況分而論之,。

萬濤表示，實際上判斷電商安全等級的相關(guān)標準有很多,，包括國家信息安全等級保護制度和ISO27001信息管理認證,，這要看電商能拿到哪些安全標準認定。比如在國家信息安全保護等級上,，網(wǎng)約車必須拿到三級等級保護,。但現(xiàn)在用戶的信息泄露渠道實在太多，有大量的用戶隱私數(shù)據(jù)已經(jīng)處于泄露狀態(tài),，以此判斷電商責(zé)任并不全面,。

萬濤認為，核心問題是發(fā)生信息泄露之后,，往往很難判斷是哪一個環(huán)節(jié)出了問題，對責(zé)任的界定和處罰不明確,，導(dǎo)致信息泄露從取證到用戶的維權(quán)成本都過高,。“電商有物流,、第三方等多個環(huán)節(jié),，有很多訂單泄露與其內(nèi)部數(shù)據(jù)的管理和安全手段能不能覆蓋到業(yè)務(wù)是有關(guān)聯(lián)的?！?/p>

5月16日,，“AA收購數(shù)據(jù)”還以2.6元一條的價格向新京報記者提供了一份淘寶網(wǎng)購用戶數(shù)據(jù)，這份用戶數(shù)據(jù)并沒有賬號密碼,?！斑@份數(shù)據(jù)的來源并非掃號，是我向開淘寶店的朋友直接拿到的,?！?/p>

“一般而言，賣家在電商平臺上出售商品,，是要與平臺簽訂協(xié)議的,，在注冊條款里平臺需要盡到告知義務(wù)，即賣家不能買賣買家的個人信息獲利,，這種行為本身構(gòu)成侵權(quán),，買賣達到一定數(shù)量也構(gòu)成犯罪。但若平臺盡到了告知義務(wù),，是沒有責(zé)任的,。”上海市百良律師事務(wù)所主任王冰告訴新京報記者,。

相關(guān)報道:

• 快看手機,！這122個APP趕緊刪除,！偷信息！偷錢,！

• 工信部：170和171號段用戶信息需全部核驗補登

• 雅虎至少5億用戶信息遭竊 被控“嚴重疏忽”

• 電信虛擬運營商養(yǎng)卡內(nèi)幕：用戶信息被用來開多張卡