又一起用戶個人信息數據泄露案件被曝光，這一次整出幺蛾子的是一家銀行。

5月7日，新加坡大華銀行對一起涉及1166名中國客戶的信息泄漏事件在官網公開致歉。

據該銀行表示，事件起因是由于一名銀行員工誤信了假冒中國公安的騙局，并向騙子提供了客戶姓名、身份證號、手機號碼、賬戶余額等1166名客戶的信息。大華銀行表示，中國客戶的銀行賬號并未公開，銀行的IT系統仍然安全，目前已致函所有客戶，涉事員工已被停職，銀行正與新加坡警方密切合作進行調查。

大華銀行提到，目前銀行已經采取了若干措施，以預防中國客戶的信息被騙子利用。這些措施包括，立即禁用相關客戶的網上服務和手機銀行服務；建議客戶重新設置數字銀行訪問權限，以及告知客戶如何保護自己免受詐騙；加強對受影響賬戶的賬戶監控；設置一個閾值為1美元的短信警報，以預防任何在線資金轉移；同時，在大華個人網上銀行和大華支付(UOB Mighty)的登錄頁面張貼詐騙防范通知，并在銀行的社交媒體渠道上發布公共教育通知。

屢防不止的數據泄露

近年來，信息泄露或數據泄露可以說是屢見不鮮。就在不久前，廣州市白云區人民法院就對一起同樣是“騙”來個人信息的案件作出判決。

2020年6月起，蔣某等5人通過在58同城網站上發布大量虛假招聘信息收集應聘者的公民個人信息（含姓名及電話號碼），并將非法獲取的個人信息販賣給他人牟利，數量合計42790條。4月20日，白云法院認定蔣某等5人犯侵犯公民個人信息罪，判處主犯蔣某有期徒刑二年，并處罰金三萬元；判處其余從犯有期徒刑一年二個月至十個月不等，并處罰金。

不過，對于多數的大型金融機構及企業來說，維護數據安全最害怕的還不是“空手套數據”的騙子，而是“防火墻”都攔不住的黑客。

據公開信息，4月7日，擁有超7億注冊用戶的職場社交平臺LinkedIn遭遇了大規模的數據泄露事件。一名用戶在黑客論壇上出售其獲取的5億LinkedIn用戶的數據包，并“貼心”地無償公開了200萬條數據作為證據。4月10日，另一名用戶也在同一黑客論壇中出售新的LinkedIn用戶數據，并聲稱價值7000美元的比特幣。Cybernews報道稱，泄露的數據中包括用戶的名字、電子郵件地址、電話號碼、工作場所信息等。瀏覽LinkedIn網站可以發現，雖然用戶的名字及工作經歷為公開信息，但電話號碼及郵件地址仍屬于非公開信息。同時，根據黑客提供的數據示例來看，數據來源就是爬蟲。

綜合同期陷入爭議的facebook信息泄露事件，可以看到，這些讓無數用戶及機構為之頭疼的事件層出不窮。而無論是“騙”來信息，還是黑客爬蟲刮出數據，數據泄露背后已然形成了一條黑色產業鏈，滋生著巨大的非法獲利空間。

黑灰產團伙是如何竊取你的數據的？

中國互聯網絡信息中心發布的第46次《中國互聯網絡發展狀況統計報告》顯示，截至2020年6月，有20.4%的網民表示遭遇過個人信息泄露。而中國互聯網協會對外公布的《中國網民權益保護調查報告(2020)》則顯示，近一年網民由于詐騙信息、垃圾信息和個人信息泄露等現象，導致遭受的經濟損失人均124元，總體損失約805億元。這一切都和非法獲取數據黑灰產息息相關。

不同于其他黑灰產業，非法獲取個人信息及數據的黑灰產具有自身的特殊性，這是因為非法獲取數據的黑灰產不僅有一條自己的完整產業鏈，它還常常作為其他黑灰產的上游。此外，越來越多的非法獲取數據黑灰產寄生于“暗網”這個平臺，這就注定使得這一黑灰產業有著不可估量的巨大規模。

非法獲取、買賣數據的黑灰色產業鏈成熟完整、分工明確。在這條產業鏈的上游，通過惡意爬蟲、病毒軟件、撞庫入侵、APP違規收集、惡意SDK(software development kit,軟件開發包)等方式獲取到大量數據。而類似于酒店、銀行、通信公司等“數據洼地”常常成為黑灰產上游的獵物。更讓這些公司防不勝防的，是同為黑灰產上游的公司“內鬼”，“內鬼”常常通過直接提供數據或出租公司賬號給不法分子這兩個途徑參與其中。

在產業鏈的中游，數據被處理并再加工，對數據明碼標價進行買賣，形成規?；袌?。而在這條產業鏈的下游，不法分子通過購買數據，利用數據進行精準詐騙、敲詐勒索、盜竊賬戶、惡意營銷、惡意刷量甚至從事洗錢等違法活動。也就是說，如果泄露了客戶信息的大華銀行不采取有效措施，1166名客戶的數據就很有可能被用在這些地方。

 為什么數據黑灰產屢禁不止，就像“打不死的小強”？這是因為越來越多的下游交易環節被轉移至“暗網”。

“暗網”是相對于明網的概念，指的是那些存儲在分布于全球各個角落的服務器中、但不能通過超鏈接訪問而需要通過特殊訪問技術訪問的資源。換句話說，就是不能通過百度等搜索引擎訪問到的網絡，游走于你我的視野之外。

“暗網”的數據交易相對隱蔽，這是由于交易雙方要進行私聊首先必須充值比特幣而非其他貨幣，交易雙方不會轉移至微信等社交工具溝通，也就是只能通過“暗網”溝通。在百度發布的《2020網絡黑灰產犯罪研究報告》的其中一張圖中，可以看到“暗網”中數據販賣可謂“應有盡有”，甚至包括銀行卡號、登記地址在內等信息都被明碼標價。

值得一提的是，數據早已不只局限于個人的身份信息，隨著AI技術的快速發展與應用，生物數據及地理數據泄露也需引起關注。4月25日，德清縣法院宣判全國首起非法獲取地理信息數據案，由于擅自使用自發編寫的程序獲取公司精確定位差分系統的數據并轉賣，非法獲利金額高達52萬余元，最終三人面臨的是3年6個月至1年4個月不等的刑期。

三管齊下防治數據黑灰產

根據Cybernews近幾日的一篇研究報告，目前全球數以萬計的數據庫服務器仍然向任何人開放，仍有超過29000個未受保護的數據庫，近19pb的數據暴露在盜竊、篡改、刪除甚至更糟的情況下。其中，中國仍有12943個未受保護的數據庫，遠遠大于位居第二的美國(4512)和位居第三的德國(1479)。

這意味著我國強化數據信息保護、打擊數據黑灰產迫在眉睫。

國家和地方層面已經在行動，今年3月，國家網信辦辦公室副主任楊小偉在新聞發布會上表示，目前正在加緊制定出臺《數據安全法》《個人信息保護法》，加緊建立數據資源的確權、開放、流通以及交易的相關制度，為保護個人信息安全提供法律保障。4月，甘肅省公安廳召開新聞發布會介紹去年工作情況，其中，打掉各類網絡黑灰產犯罪團伙120余個，通報預警漏洞隱患1800余個。

作為“數據洼地”的企業則需要不斷自檢，完善系統安全性，同時積極探索與監管機構、公安等合作。例如，智聯招聘平臺上線采用虛擬號碼、簡歷水印、設置行業共享的黑名單庫，并且與市場監督管理總局合作，推出電子營業執照認證機制，預防虛假招聘類似事件發生。此外，以微眾銀行為例的銀行等金融機構已經在探索與布局隱私計算技術(privacy-preserving computation)實現隱私信息全生命周期保護。

雖然不少數據黑灰產團伙以B端為切口爬蟲或撞庫獲取數據，但這并不意味著作為C端的普通用戶們“手無縛雞之力”。

作為普通用戶的我們，在各類網站填寫信息時更加需要多留心眼，例如及時注銷及清理不必要、長期不使用的賬號；不在社交媒體等公開個人及家庭成員信息；在公開網站填寫個人信息時，避免使用真名或實名拼音，盡量使用電子郵件代替手機號碼；非必要不隨意填寫個人信息；在不必要的情況下關閉軟件定位，保護個人位置信息；在有條件的情況下閱讀隱私條款的重要部分及權限獲取申請；同時，為了預防不法分子利用已泄露數據從事違法活動，不隨意點擊未知鏈接，不隨意下載來路不明的應用程序，不輕信各類詐騙電話，熟知詐騙套路。

數據黑灰產是伴隨著數字化、信息化、網絡化的興起而應運而生，這也意味著它的消亡絕不會是轉瞬之間。而只有確保用戶、企業、政府多方使力、三管齊下，數據黑灰產的消亡才能按下加速鍵。

責任編輯：王超