谁卖了我的手机号?手机信息被盗一年损失近千亿
12月5日,北京市公安局海淀分局宣布破获一起新型特大非法获取公民个人信息案,查获包括手机号在内的公民信息100余万条。
根据中国互联网协会发布的《中国网民权益保护调查报告2016》,2016年上半年,网民平均每周收到垃圾短信20.6条、骚扰电话21.3个。
私人号码成了“公开信息”,手机用户不堪其扰。到底是谁卖了我的手机号?
网页也能“偷走”手机信息
“我用手机搜索了血小板偏低的危害,就是浏览网页,没有输入手机号,没过几个小时就有医院打电话介绍治疗血小板偏低的特效药。医院是怎么知道我的手机号的?”
早在2015年,就有网友在网络上询问,有类似遭遇的网友不在少数。
海淀分局破获的这起案件,给出了答案。“某些网站植入一段恶意代码,只要用户使用手机流量打开网页,黑客就会利用运营商漏洞,抓取到用户的手机号、IP地址、访问时间、搜索时输入的关键词等信息,”海淀分局网安大队副大队长董立波介绍,“这是一种新型黑客手段,能在用户不知情的情况下获取个人信息,进而开展精准营销甚至电信诈骗,多出现在医疗、教育、贷款等网站。”
看似简单的代码背后,暗藏一条黑色产业链。董立波介绍,本案所涉黑色产业链分三个层级。上游是恶意代码的生产者,下游则是植入恶意代码的网站,中间商在两者之间牵线搭桥。下游网站虽已购买恶意代码,但不能直接看到被抓取的个人信息,得按条数或者包月从中间商手中购买。中间商从上游网站获取代码的价格是600元,收购的个人信息8分至1角钱一条;转手卖给下游网站时,代码价格涨到1000元,个人信息则能卖到5角至1元钱一条。
上游网站“薄利多销”,中间商网站赚取差价,下游网站精准出击。黑色产业链各个环节“皆大欢喜”,用户则成为买单者和受害者。
“我们通过技术手段对全网网站进行检测,鉴别哪些网站植入了窃取公民信息的脚本或者黑客工具,通过溯源摸清产业链的规模和上下级关系,并把这些情况提供给警方。”百度安全实验室X—Team负责人黄正说。据百度安全团队统计,有4万多家网站存在此类行为,非法获取超过5000条手机号信息的服务平台有27家。若不采取措施,预计每天有500万人次点击中招。