两元一条　电商用户信息被卖 亚马逊、小红书等账号信息泄露,“盗号扫号卖号”成黑色产业链

5月10日,家住天津的马晓迪(化名)接到了号称是1号店客服打来的诈骗电话。对方称,因“后台失误”将账号调整为批发用户,要求她提供账号等信息。记者调查发现,马晓迪之所以能接到这类诈骗电话,是因为她的网购信息已经遭到泄露。有业内人士向记者透露,用户网购数据的获得渠道有很多种,但大部分信息贩子是通过“扫号”取得的网购数据。一些黑客通过“扫号撞库”的方式拿到用户在网购平台上的数据,再售卖给信息贩子,这些信息到了骗子手中后,一般会以冒充客服退款等方式进行诈骗。

网购信息2元一条

来自西安的小严不久前因小红书网购信息泄露遭遇诈骗。

小严告诉记者,她3月份在小红书平台购买过商品,之后接到了自称是小红书工作人员的电话,“说我买的商品有问题,要收回并销毁,他们掌握我所有的购物信息以及地址。”小严说,对方让她登录支付宝查看退款。小严称“没有收到退款”后,对方便询问小严的芝麻信用,并要她在招联好期贷、来分期等平台尝试贷款,说这样可以马上得到赔偿,但需要将多余款项打回给对方。小严在招联好期贷上提取了1100元,将其中1000元打了过去。

打完款,小严觉得自己被骗了,随即报警。她还联系了小红书平台,可对方称只负责追缴,不负责赔偿。

近年来,有不少网购平台用户都有因网购信息泄露被诈骗或账户被盗的案例。这些电商平台的信息都是如何泄露的?有业内人士向记者表示,网购数据的来源有很多种,例如电商内部员工倒卖、物流信息泄露、木马病毒等,但大部分信息贩子是通过“扫号”取得的网购数据。

记者以购买网购资料为名联系了一位QQ名为“AA收购数据”的信息贩子,其称他们的数据是“扫号”得来的,有包括苏宁易购、亚马逊在内的多家平台网购信息,并向记者以2元一条的价位“低价出售”了一份“已经用过的”包含100人网购信息的“数据”。记者测试发现,大部分用户的账号仍然可以按照其提供的密码登录。

被称为“中国黑客教父”的现任益云(公益互联网)社会创新中心创始人万涛称,网购用户质量高低与否决定了出售数据价格的高低。“质量指的网购商品的客单价,比如衣服等普通物品客单价较低,数据可能就便宜,但如果购买电视、手机等相对贵重的物品,客单价比较高。”

业内人士表示,根据客单价的不同,网购数据的价位也不同,被倒卖过多次的信息并不值钱,一些历史数据甚至是黑客圈中公开的秘密,价值为零。而没有被用过的“一手”信息则可以卖到几元钱一条。

产业链完整且复杂

“通过‘扫号撞库\’的方式,黑客可以拿到用户在网购平台上的数据。”游侠安全网创始人张百川说,“而一些平台的用户信息之所以遭到泄露,就是因为缺少对这种‘撞库攻击\’的防范。”

“所谓‘扫号撞库\’,简单说,就是黑客用技术手段入侵一些安全防范不是很高的网站,取得大量用户注册名和密码数据,包括用户的手机号、邮箱甚至身份证号,这些登录名可以与其他网站关联,是信息泄露的载体,信息贩子掌握这些信息后,可以用‘撞库\’方式尝试登录其他网站。”张百川说,信息贩子往往是通过专门的“扫号”软件,来批量验证账号密码是否是有价值的。

随后,记者以出售数据为名联系到一个网名为“四哥”的信息贩子。“四哥”称他们“大量收购网购历史订单,月内为优”,并称“拿货价2元一个,囤货多了再出手,随便一天出3万个左右,保证最新数据”。至于数据来源,“四哥”称“扫号得来的”,还问记者是不是“技术源头”。

“这些信息贩子的‘技术源头\’就是黑客平台”。张百川说,“这些在黑客圈子里都可以找到,黑客盗取某些网站的数据库后就可以售卖给信息贩子,根据数据价值的不同,售价不同,一般都是第一次出售价格最高。”一条黑客盗窃数据库信息,信息贩子通过扫号软件“撞库”取得网购平台账户密码,骗子再以几元一条的价格购买信息并进行电话诈骗的“扫号”黑色产业链浮出水面。这个产业链存在至少有七八年。

猎网在2015年11月曾发布《现代网络诈骗产业链分析报告》,报告显示:基于对网民举报的近9万起网络诈骗案的追踪研究,该平台发现网络诈骗已形成一条完整且分工明确、多达15个工种的地下黑色产业链；初步统计,网络诈骗从业者至少有160万人,“年产值”超过1100亿元。猎网平台反网络诈骗专家裴智勇说,即便是手法最简单的网络诈骗,也至少要10人的犯罪团伙:从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出多达盗库黑客、电话诈骗经理、短信群发商等多个不同工种,其分工明确,协同作案,形成了完整的网络诈骗地下产业链,其中盗库黑客是这条产业链的源头。

小平台易被“撞库”

“说白了,撞库攻击就是不断地尝试错误的密码。”张百川表示,对于大型平台来说,往往可以利用技术手段限制这一“撞库攻击”。比如登录错误几次后直接封掉登录者的IP地址,一个账户一天之内只允许输入三次,一个IP地址如果输入了两个账户或者输错了5次以上,24小时内就不允许再登录等。

记者在1号店网站上多次试验登录同一账号,多次输错账号密码后,1号店要求输入验证码,但除此之外并无其他防范手段。

5月16日,记者又尝试以错误密码登录苏宁易购,发现输错3次密码后,苏宁易购开启了移动滑块的防护措施,并在输错10次后锁死了账户信息,显示只有1小时之后才可以再次尝试。而在以错误密码登录小红书的试验时,小红书方面表示需要以接收手机验证码的方式登录。

“1号店的验证码模式并不算是防御撞库攻击的有效方式,现在在网上搜索验证码识别、验证码绕过,可以得到相应的破解软件。移动滑块相应高端一些,但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码,万涛表示,现在有专门的打码平台可以帮忙快速破解验证码。

有业内人士称,当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后,被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。“事实上,对撞库攻击进行防御的成本并不高,但除支付宝等大型平台外,小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。对于因信息泄露遭受诈骗而形成的损失,电商平台应承担怎样的责任至今仍不明确。

电商担责与否难定

“电商平台在获取个人信息的同时,就有保护个人信息的义务。”北京盈科律师事务所方超强律师表示,“信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。”

他进一步解释称,若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞；若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。

根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。

但方超强直言,在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到“撞库”盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。

据《新京报》

新闻推荐

华远地产HI宝贝：为母爱搭建1000个临时母婴室

　　本报讯（王艺霖）5月14日，华远地产Hi宝贝携手西安市妇女联合会针对时下热议的“背奶妈妈”，在母亲节当天，为她们送上了一份贴心的礼物，呵护新手妈妈，让她们在面对新生命的时候得到一份贴...

西安新闻，讲述家乡的故事。有观点、有态度，接地气的实时新闻，传播西安正能量。看家乡事，品故乡情。家的声音，天涯咫尺。