來源｜派財經

文｜王得政  編｜派公子

倒賣微信號250萬個，非法獲利8000萬元。這是最近央視曝光的一起盜取用戶信息的“豐厚”獲利。涉案團伙成員有9人，其中有5人是某通訊運營商公司的內部員工。

派財經調查發現，這個背后是一條販賣電信運營商數據的產業鏈。

“他們慣用DPI技術采集數據。”DPI是一種通過運營商端口實現數據采集、歸納、篩選并轉化成精準獲客數據的技術手段。而該技術是從運營商流量出口做數據采集，知情人士高卓（化名）表示，“在這基礎上，他們完全可以知道用戶詳細的數據”。

這些數據有的流向電銷產品；有的流向超利貸、借條等金融產品；甚至還有的流向電信詐騙團伙……

這些泄露的數據在黑產鏈條上只有兩種命運：要么第一次被販賣，要么被無數次販賣。

01倒賣數據的江湖

“買料的。”對完暗號，4月23日，派財經順利加入一個微信群。這是一個買賣數據的微信群，群成員有490人，其中包含了大量貸款機構和貸款超市的玩家。

這里“料”主要指用戶數據，維度包括這些人的姓名、身份證、銀行卡、借款金額等隱私。

知情人士劉欣然（化名）告訴派財經：“買料市場的黑話非常多，不懂這些黑話根本無法買料。”譬如，“水果”是指同業用戶，如果是在貸款領域，它就是已經放過款的用戶；博彩領域就是充過值的用戶。

這是存在于虛擬空間的一個倒賣數據江湖。

“出各種一手水果，客戶信息齊全，一條對不上全賠”“出QP（指棋牌）、BC（指博彩）。”進群不久，派財經就被賣料廣告刷屏。

派財經以買家的身份向一位經常在群里發賣料廣告的群成員詢價，他介紹，出售多家消費金融產品的用戶數據，“數據實時價格1.5元/條，隔天0.7元/條，量大價格可談。”他提供了20條一家知名消金機構的用戶數據。為了核實數據真實性，派財經隨機撥通了其中一位用戶的電話，確認是該消金機構用戶。

這些數據泄露的源頭在哪？

一位業界人士告訴派財經，正規平臺很少通過交易數據獲利，“監管成本太高了，更多數據泄露來自員工或合作方等層面，比如，短信、催收等。”多位從業者告訴派財經，很多用戶數據是從短信渠道泄露，“這些短信渠道商可能還會有合作方，也有泄露數據的嫌疑”。

另外，用戶自己也可能是泄露源頭。比如，一些老賴投奔反催收聯盟后，會主動將自己數據上交。所以，數據到底是從哪個層面泄露追查難度極大。

02 虛虛實實的數據

除了網貸數據在黑市交易，電商數據也在其中明碼標價。

（圖說：賣料微信群的截圖）

一位賣料商稱他手上有一些寶媽料，0.5元/條，量大就可以降到0.3元/條，“京東、淘寶都有，每條包含姓名、電話、購買產品、價格、地址等維度”。

（圖說：賣料商提供的電商數據）

然而，派財經根據其提供的數據隨機撥通了四位用戶電話，發現姓名、電話以及地址都是真實的，但購物記錄都對不上。

“這有可能是他們拿別的數據做的假購物數據，這種定向（寶媽）數據更值錢。”高卓表示，掛羊頭賣狗肉在這個行業太常見了。

盡管黑市數據有虛有實，但絲毫不影響到地下數據交易市場的“繁榮”，市面上充斥著大量這樣數據交易的微信群、QQ群。

除此之外，地下數據交易還有一個重要的據點——論壇。在論壇中還聚集著大量黑客，他們將數據打包、明碼標價、發帖攬客，其中包含著國內外大量用戶隱私數據。

一個賬戶在交易網站論壇表示，“我正在銷售來自中國貸款領域的數據庫，用戶總數超過5000萬條記錄，每天更新和提供實時貸款記錄。”

需要注意的是，地下市場交易的很多數據都不是一手數據。

劉欣然坦言，這些數據或許被二次、三次……無數次被轉手，比如，有些過去的P2P、現金貸的用戶數據仍在被反復清洗。

用戶數據一旦進入數據買賣的江湖，只有兩種命運：要么第一次被販賣，要么被無數次販賣。

公開數據顯示，2020年全球數據泄露的記錄達到310億條，超過了過去15年的總和。

這些數據可能流向母嬰類電銷產品；也可能流向超利貸、借條等金融產品；甚至流還有向電信詐騙團伙。

4月初，何溫（化名）通過借款app 申請了一筆借款。可是，這筆貸款并未成功，他卻接到來自顯示為香港地區的電話。“那邊可以準確說出我姓名及貸款需求”，何溫表示，他們說我資質不好，要求我往賬戶里充值5000元。何溫是一位行業資深從業者，他一眼便看出這是詐騙。

于是，他反復追問電話另一邊，如何得知他有貸款需求，“當時我只在這個APP上申請了貸款，很奇怪，他們是怎么知道的”。

另一位詐騙受害人告訴派財經，對方可以準確說出他曾在淘寶購買過多芬洗發水，“因此，我被騙走了4萬多元”。

03為攫取數據不擇手段

數據泄露之所以如此猖獗，黑客組織在其中“功不可沒”。

曾就職阿里的數據安全專家凱撒（化名）表示，黑客慣用盜數據手段是拖庫與撞庫，其中，最為常見的是拖庫。“拖庫需要黑客掃描網頁、服務器等找漏洞，然后通過這些漏洞建立一個webshell（黑客經常使用的一種惡意腳本），從而獲取到服務器系統權限，然后導出數據就可以了。”

其實，這些都只是技術層面的操作。為了盜取數據，黑產數據玩家還會采取臥底公司、策反員工等各種手段，堪比“諜戰片”。

一位網友在脈脈上表示，“有黑產應聘數據工程師，先找機會后臺拖庫，搞了好幾家公司。”凱撒透露，曾有辦案人員告訴他，這是最簡單的方式，“有一黑產團伙直接應聘公司去拿數據”。

“為了防止這樣的事件發生，一些公司專門建立了自己黑灰產名單，入職背景調查時發現，應聘者有黑灰產背景，就直接pass了。”凱撒透露。

實際上，“很多淘寶用戶的數據是從商戶層面泄露的，它們數據安全意識和技術都很薄弱。”一位知情人士透露。

對小公司而言，黑客攻擊防不勝防。一方面，線上崗位權限控制不到位；另一方面，防黑客攻擊能力弱，終端沒做防數據泄露，凱撒直言，“黑客有上百種方式可以把數據偷出去”。

盜數據販賣的風險成本低，收益卻是極大。按現在數據商的價格計算，每條0.7元—1.5元計算，1萬條數據能賺7000元－15000元。多位從業者告訴派財經，“這些數據可以反復賣，是個一本萬利的生意。”

在暴利驅使下，也有企業內部員工監守自盜。一家貸款超市的員工曾告訴派財經，他就往外導手數據，“一個就能賺一元錢”。

然而，與此相對的是，數據泄露的防守方卻陷入重重困局。

04數據安全意識薄弱

在很多數據安全從業者看來，數據泄露事件頻發的核心原因是企業數據安全意識薄弱。

“很多公司的數據安全還是處在行政法規推動階段。”一位數據研發安全總監說：“各行業對數據安全的投資跟前幾年沒什么變化，還是偏保守，預算有限。”

甚至，有些公司會將數據大門鑰匙“主動”交給黑客。凱撒告訴派財經，他曾發現過一些公司將含有系統賬密的代碼、或者內部數據泄露的開源的代碼倉庫上，如github或者gitee等。

“很多小公司沒有自建代碼倉庫，開發人員會把代碼放到這種開源網站上。”凱撒表示，然而，這些開發者在存放代碼托管平臺時，卻忘了設置必要的權限。也就是說，該公司管理員的賬號密碼、API連接方式和密鑰等敏感信息能被任何人看見。這意味著，黑客在上面挖到這些數據，就可以輕松入侵公司后臺。

當然，數據泄露還有客觀原因。

一是，業務發展快，數據安全技術跟不上。

“對比小公司，傳統大企、互聯網平臺算做得比較好的。”凱撒直言，阿里、美團、騰訊等大廠都是有自己的數據安全團隊，以及研發數據安全產品的能力。

盡管如此，這張安全網難免有漏洞。一位從業者坦言，“現在，基礎安全做了好幾十年，每年護網，但仍有企業被打穿，業務發展太快了。”

數據安全是建立在IT基礎建設上，凱撒表示，很多公司IT能力弱，它們的安全能力肯定也弱。因為，相比技術安全，數據安全要求更加深入業務。

多位從業者表示，整個行業的現狀是，很多公司技術安全都做不好，更加不用說數據安全。”

二是，缺乏數據安全核心人才。

凱撒透露，他這邊2-3個空位，招了好幾個月，都沒面到合適人選。“做數據安全的需要在數據安全技術、落地經驗、規范解讀或者安全事件分析中有專長。”

小公司同樣招不到人才，他們本身就沒有多余的錢去做數據安全。凱撒直言，“但是，預算、人才、基礎建設是數據安全必不可少的三要素。”

進入數字經濟時代，數據開采和數據安全已經成為各方不可回避的問題。

奇安信集團董事長齊向東在“第四屆數字中國建設峰會”中提及，“‘數據富礦’的開采，網絡空間是土壤，數字技術是工具，這個過程危機四伏，稍不留神就會導致嚴重的安全事故。”

“目前，我們在個人隱私保護方面非常缺失。監管也正在由保護金融消費者的財產權，向保護金融消費者隱私權和其他的信息權過渡。”社科院金融所副所長胡濱在首屆“金融科技指數論壇”中指出。

而金融科技專家蘇筱芮也表示，個人信息保護法草案、數據安全法草案將迎二審，表明國內信息保護、數據安全相關的法律法規完善的進度持續提速，從修改內容來看，有助于金融行業個人信息保護建立基本框架，便于金融機構按照要求搭建起信息保護的“防火墻”，切實維護金融消費者的合法權益。

魔高一尺，道高一丈，未來，以保護數據泄露為主軸的變革，將在曲折中不斷前行。（完）