4.68亿个人信息泄露,原来你的隐私只值2块钱!
点击上方“Python大本营”,选择“置顶公众号”
python大本营 IT人的职业提升平台
我们知道在坐火车或者坐飞机的时候需要验证身份,这个时候我们会出示我们的身份证,工作人员核验过后就可以继续出行了,这种形式叫身份验证。
身份核验的权限最终都来自中国公安部,以及有公安部授权的各个有资质的机构或者企业。
比如征信公司、酒店、支付公司的商户入网,金融公司的用户信息审核等等。
我们可以看出来,以上的使用场景都是公共服务领域或者授权企业,一般都能理解。
01
2元查任意身份证
那么突然有一天,有一个陌生人告诉你,他可以随时调出你的身份证信息,并且还可以拿到你的身份证上对应的照片,以及身份证正反面照。
会不会觉得挺恐怖的,隐私就这么轻易的被泄露了!
当然还有更恐怖的,只要你愿意付费 2元/条,我可以帮你查全国任何人的身份证信息,是不是太牛 X 了!
当然,有人说我就一介草民,身份证信息让人看到了也没啥。
那是你可能还没意识到这个风险:
如果有人以你的身份在各大现金贷公司借了很多钱呢?
用你的身份注册了手机号做诈骗呢?
甚至用你的身份做了违法的事情呢?
是不是很酸爽?
公民的身份证信息如果可以随意被泄露,隐私保护就无从谈起。
如果不法分子拿到你的身份证信息,就可以依赖身份证信息对你做大数据挖掘,得到更多关于你的信息。
拿到你的信息越多,可以干的事情就越有把握。
比如精准营销:xxx先生,你好,您家里是不是有一辆车呢?我是 XX 公司的。。。这类电话接的不少吧。
但这个事情,过去其实就一直在我们的身边悄悄发生着。
02
4.68亿公民信息泄露
据央视网报道,近日江苏淮安警方依法打击了 7 家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息 1 亿多条。
具体看看报道中透露的这条信息:
“截至目前,警方共立案侦查侵犯公民个人信息案件29起,抓获犯罪嫌疑人288人,缴获公民个人信息4.68亿多条,涉案金额9400多万元。”
中央台报道的视频如下:
看完之后是不是感觉很神奇,我们的个人数据就这样随随便便被卖了。
03
数据到底是怎样被泄露的?
2018年4月,江苏淮安警方在网上巡查时发现,有人非法购买公民个人信息,高某觉察到警方调查之后,主动到警方投案。
高某交代,他花500块钱从网名叫“过去、将来”的人手里购买了317条公民个人信息,这些信息包括手机号、姓名、身份证号和家庭地址。
他买这些信息的目的是打电话,给网络小贷公司拉客户。
警方通过对QQ、微信等资料的综合研判,锁定贩卖个人信息的“过去、将来”位置在河南焦作,随即出动警力,将犯罪嫌疑人申某在家中抓获。
在申某的电脑里,警方查获公民个人信息7万多条,这些信息包括公民姓名、身份证号、地址、电话以及芝麻信用分等。
很多信息显示推广来源为“花钱无忧”“借点钱”等小贷平台。
顺藤摸瓜,警方继续调查发现申某自己不做贷款,他是从别人手里买过来以后,然后赚个差价。
警方继续往上查询抓捕了申某的上线谢某,根据谢某的交待,他的信息也是买来的,他的信息是从网上一个网名叫“叮咚叮咚”的人买的。
04
警方顺藤摸瓜追上线
警方跟着“叮咚叮咚”的线索往上查,发现“叮咚叮咚”是广州诺涵科技公司的员工。
她贩卖公民信息并非个体行为,而是给公司推广业务。
淮安警方深度研判发现,广州诺涵科技公司不只是贩卖公民个人信息,更主要的是在进行小额贷款并进行软暴力催收,是一个组织严密、分工明确、涉案人数众多的犯罪团伙。
经过周密部署,2018年6月6日,在广东警方配合下,淮安警方一举将该公司45名涉案人员全部抓捕。
也就到了我们上面看到视频的那一幕。
警方发现,在广州诺涵科技公司,一方面卖公民个人信息牟利,另外一方面公司有“乐花管家”等多个小贷平台,利用这些公民身份信息推销贷款、软暴力催收。
同时广州诺涵科技公司还和其它同行公司私下交换数据,扩大他们公司的用户数据池。并且还开发了爬虫云等软件从其它小贷公司爬取数据。
可以说是利用了各种渠道来获取公民数据,一方面自己用,一方面对外出售。
05
广州诺涵科技公司的数据从哪里来?
广州诺涵科技公司只是一家普通企业,没有获取身份证验证的相关权限,网上爬取以及和同行交换的数据毕竟有限。
警方调查的时候,在他们贩卖的公民个人信息里,甚至还出现了公民身份证照片信息,有的还是两三个月之前才拍照的身份证照片也都有。
于是警方继续追查广州诺涵科技公司的数据来源。
随着调查的深入发现,广州诺涵科技公司的数据是从湖南九象公司的接口获取,湖南九象公司的数据又是从北京黑格科技有限公司获取的。
北京黑格科技有限公司又是从北京考拉征信服务有限公司等四家公司购买的查询接口,最终查到了所有数据来源的上线。
拉卡拉是今年刚刚上市的第三方支付公司,北京考拉征信服务有限公司是拉卡拉公司的子公司。
于是拉卡拉公司的股票,直接就跌停了,多少个股民就无意中躺枪了。
目前这整个一条线上的涉案公司的相关法定代表人、董事长、销售、技术等人员都被抓捕了。
06
重新捋一下这条线
看了整个事件的经过,我们可以发现整个倒卖过程中,个人就倒卖了3次来自广州诺涵科技公司的数据。
而这些数据在这之前已经被相关公司在网上倒卖了3次而到广州诺涵科技公司。
为了让大家看得更明白,我给大家画一张图。
从这个图我们就很容易看清楚整个事件:
高某贩卖数据给公司做营销,他的数据是从申某进行购买的;
申某的数据是从谢某购买来的;
泄密的数据又是从一个叫做“叮咚叮咚”的用户处购买;
“叮咚叮咚”其实是广州诺涵科技公司的员工,他卖数据是为了给公司做业务;
广州诺涵科技公司的数据来源有网上非法爬取、同行交换、上游公司购买;
广州诺涵科技公司的购买数据来自湖南九象公司公司;
湖南九象公司的数据又是从北京黑格科技公司购买的;
北京黑格科技公司又是从北京考拉征信等四个公司购买的。
也就是说本来公安部给北京考拉征信等有资质的公司因为业务需要而开的权限,结果这些公司毫无顾忌的将这些数据经过层层加价又毫无限制的对外出售而转辗到了个人的手上。
价格也从最初的 0.1 元/条的查询到了最后的2元/条。
整个链条经过 8 层倒卖层层加价贩卖个人信息。
其实为了利益的最大化,这些公司不仅仅是出卖接口这么简单,还有很多其它骚动作。
07
企业的骚动作
公安部授权给企业一般会限定场景和权限,并且这项服务是收费的。
比如验证一条用户信息 0.1 元。这些企业利用这些接口做风控审查,帮助企业排查风险。
公安部是一家国家机构,所以它一般只给特别的企业开放,比如说金融机构、支付机构等。
那特别小的企业或者不符合资质的企业如果要用怎么办,可能就得想其它办法了。
比如 A 企业是符合资质的,公安部给了它接口后,它有可能还会再次放给其它企业来使用,同时加价再收一笔费用比如 1 元/条验证。
先说两个常识:
公安部授权给企业的接口,企业是没有权限再次授权给别的公司的。
公安部给企业的查询接口只允许进行查验,不允许企业私自保留。
而现实情况是,绝大部分企业把这两个条件都触犯了。
其实不只是北京考拉征信,据我所知现在仍然有很多的公司在进行这个业务,P2P 盛行时更是泛滥。
很多企业为了盈利就会多次倒卖认证查询接口,不但倒卖接口并且还非法缓存用户信息。
这样当同样用户再次查询的时候,就省了再次向公安部查询的费用。
再给大家画个图:
正常业务是每次用户调用的时候,企业拿数据去调公安部接口验证信息,最后把结果反馈给业务前端。
但是现在企业为了省钱或者挣更多的钱,私自将用户认证的结果存了起来,这样下次再验证的时候就直接走自己的数据了。
如果企业缓存的数据越来越多,那就等于私建了一份用户信息档案,他就可以直接对外来放认证接口进行挣钱了。
很多公司以前就都这样干了,其实这样的操作是违法的。
08
非法获取数据都干了什么?
本来公民身份认证服务是直接服务于“互联网+政务”,用来提升政府公共服务效能,防范欺诈和金融风险的。
现在层层加价后,这些数据被小贷公司利用,查询价格从源头的0.1元/条到查询底层时可能两三元/条,整整翻了二三十倍。
身份证照片可以随意获取,这为小贷公司实施“套路贷”犯罪、暴力催收敞开了罪恶之门。
催收公司把这些非法获取的公民身份证照片PS成灵堂照片或者淫秽色情的照片发给贷款人本人,对其进行威胁。
如果贷款人还不还款,PS照片就会被小贷公司发给贷款人的亲友、同事、同学,毁坏贷款人声誉,逼迫其还款。
还有就是被用于电信诈骗犯罪中的通缉令诈骗。
本案中,湖南九象信息有限公司还利用爬虫软件,大量爬取其他小贷公司的公民贷款个人信息。
包含姓名、身份证号、住址、电话、芝麻信用分、银行卡号、是否逾期还款等。
甚至还有贷款人被迫提供给某一家小贷公司的通话记录等,形成所谓的“地下征信”。
然后以数据形式打包出售,其他小贷公司购买后成为是否放贷、放贷多少的风险控制依据。
公安部针对此案暴露出的行业乱象,全面开展了打击整治工作。就出现了刚开始的那一幕,警方共立案侦查侵犯公民个人信息案件29起,抓获犯罪嫌疑人288人,缴获公民个人信息4.68亿余条,涉案金额9400余万元。
涉案公司非法缓存的公民身份认证数据现已全部收缴。
同时堵塞漏洞,“身份核验返照业务”接口全部封停。
公安部门会同中国人民银行等部门,加强对公民身份认证服务、个人征信服务的监管。
09
最后
大数据、互联网小贷、现金贷、互联网金融行业是信息泄露的高发区,例如我之前文章《只因写了一段爬虫,公司200多人被抓!》中的巧达科技,《又一知名公司炸雷,大量公司员工被带走调查》的51信用卡。
国家整顿整个行业是大势所趋,之前的互联网黑产中夹杂了太多的非法利益,早就应该规范整个行业。
互联网公司也不是法外之地,请大家且行且珍惜,合法合规稳定前行。
我身边也有朋友在现金贷公司被公安抓捕的。这位朋友其实也意识到了风险,准备年后跳槽另选择一家公司,没想到没过几个月整个公司就被抓了。
所以我再次提醒大家,未来对个人隐私的重视度会越来越高,以前可以做的事情未必现在就可以做,在相关行业的朋友们需尽早做选择。
近期特别是现金贷、小贷公司、大数据公司的程序员,如果公司涉嫌违法,最好一天都不要留。
作者简介:纯洁的微笑,一个有故事的程序员。曾在互联网金融,第三方支付公司工作,现为一名自由职业者,和你一起用技术的角度去看这个世界。我的微信号puresmile2,欢迎大家找我聊天,记录你我的故事。
CSDN学院邀您来投稿啦
锵锵~CSDN学院招兼职小编啦,我们这里有千亿的开发者关注,只要你对IT行业、技术干货、技术热点、编程语言等程序员话题有着独到的见解,就可以向我们投稿喔,成为我们CSDN专栏作者的一员喔!
专栏作者福利
1、文章底部可以附带作者本人的微信赞赏码供读者打赏,打赏所得奖励归作者所有。
2、文章发布时将在顶部位置附带作者简介并署名。我们这涵盖了各大知名的互联网公司,如果你是高校优秀学者,优秀的作者通过文章可以显著提升其在业内的个人品牌影响力喔。
3、CSDN不定期的纪念品、节日福利等惊喜礼品拿到手软。
作为CSDN的小编将让你瞬间感到自己才华爆棚,你还在等什么呢?快快加入我们的队伍吧!
投稿渠道
投稿邮箱:huangqianqian@csdn.net
更多投稿细节,请添加编辑微信:17805202808
添加时请备注:投稿(未备注不允通过哦)
—— 推 荐 阅 读 ——
点个“在看”必升职加薪喔
4.68亿个人信息泄露,原来你的隐私只值2块钱!相关推荐
- 4.68亿个人信息泄露:2 块钱就可以查你的身份证,还能带照片?
作者 | 纯洁的微笑 来源 | 纯洁的微笑 我们知道在坐火车或者坐飞机的时候需要验证身份,这个时候我们会出示我们的身份证,工作人员核验过后就可以继续出行了,这种形式叫身份验证. 身份核验的权限最终都来 ...
- 4.68亿个人信息泄露:2 块钱就可以查你的身份证,还能带照片!
来源:纯洁的微笑 我们知道在坐火车或者坐飞机的时候需要验证身份,这个时候我们会出示我们的身份证,工作人员核验过后就可以继续出行了,这种形式叫身份验证. 身份核验的权限最终都来自中国公安部,以及有公安部 ...
- 4.68 亿个人信息泄露:2 块钱就可以查你的身份证,还能带照片!
" 阅读本文大概需要 11 分钟. " 我们知道在坐火车或者坐飞机的时候需要验证身份,这个时候我们会出示我们的身份证,工作人员核验过后就可以继续出行了,这种形式叫身份验证. 身份核 ...
- kindle亚马逊个人文档不显示_4.68亿个人信息泄露,大数据时代裸奔?探悉不落地的文档在线预览...
近日,江苏淮安警方通报,依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿多条,将公民个人信息称为"流量",将信息用于公司放贷和非法出售牟利,并公开提供收费 ...
- 网络黑市规模达千亿元 信息泄露成最大安全威胁
如果你还没有意识到自己有可能处于个人信息的"裸奔"时代,那你一定不知道这些惊人的数字:近日,央视曝光了一起重大数据泄露事件,其中涉及公民数据如姓名.账号.密码.手机号.身份证号.银 ...
- 2亿简历信息泄露-你的信息还安全吗?
废话不多说先上图 据说来自国内某数字网站 个人信息的安全在那里? 原因: mongoDB非授权访问 也就是说,你有服务器IP,就能获取这2亿的简历资料了,妈妈再也不用担心我的学习了(不好意思,跑错片场 ...
- 目标主机showmount -e信息泄露(CVE-1999-0554),如何禁止只允许特定主机使用showmount -e查看挂载列表
最近单位信息系统做安全等保,因为服务器使用了nfs文件共享,而导致在等保扫描中发现了一个高危漏洞,通过showmount -e可以展示nfs挂载列表,然后建议整改方法是限制使用showmount -e ...
- 信息泄露事件频发,下一个会是谁?
如果你每天手机接不停 一会儿贷款 一会儿投资 -- 数量远远超过正常电话时 不要怀疑自己,你的个人信息 就是 被!泄!露!了 大数据时代,社会信息化和网络化的发展导致数据爆炸式增长,大数据技术,悄然渗 ...
- 金融安全资讯精选 2017年第十六期:逐条解读现金贷整顿对P2P影响,工信部宣布1亿以上用户信息泄露为特大网络安全事件,太平保险集团信息安全主管的企业安全方法论...
[金融安全动态]逐条解读现金贷整顿对P2P影响 概要:12月1日,互联网金融风险专项整治.P2P网贷风险专项整治工作领导小组办公室正式下发<关于规范整顿"现金贷"业务的通知& ...
最新文章
- mysql submission_date_UiPath如何连接MySQL
- 数据库启动时报ORA-00845错误解决方法
- 新手学JAVA(六)----处理随机性的数据
- 马斯克的第七个孩子曝光:终于有女儿了!前女友所“生”,名字非常赛博朋克...
- Hello Kubernetes快速交互实验手册
- 【转】RNN、LSTM、Transformer、BERT简介与区别
- js中立即执行函数会预编译吗_作为前端你了解JavaScript运行机制吗?
- Google存储海量私人信息 隐私问题不堪设想
- 1.2. Cisco IOS Firewall
- 【JAVA错误笔记】 - 【Could not open ServletContext resource [/WEB-INF/applicationContext.xml]解决方法】
- UITableView上的iOS UIRefreshControl
- 【专家访谈】测试专家 - 陈林钧,访谈问题收集中
- linux下的hosts文件
- foxmail新建文件夹失败或者新建文件夹不显示的问题
- 高分三号卫星相关知识
- 负反馈放大电路的四种组态
- C语言 栈的应用 :火车的调度(软硬座)
- 基于Excel模板导出——ExcelTemplate
- 一文彻底学会CSS-3
- 区块链技术在中小企业型的应用