消費(fèi)者在享受數(shù)字化時(shí)代帶來的便利時(shí)，個(gè)人信息也不可避免地留存在了不同的服務(wù)平臺(tái)上。

每年盜取、濫用個(gè)人敏感信息的犯罪事件并不罕見，到底是誰在背后收集這些數(shù)據(jù)？這些數(shù)據(jù)又是怎么流出的？《財(cái)經(jīng)調(diào)查》起底非法販賣個(gè)人信息黑色產(chǎn)業(yè)鏈條。

智慧停車，方便了誰？

這幾年，市場上一種被稱為“智慧停車”的新業(yè)態(tài)應(yīng)運(yùn)而生。它依托于物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)，覆蓋各種類型的停車場，大大提升了居民出行的便利度。停車信息包括了車輛進(jìn)入和離開某個(gè)地點(diǎn)的完整閉環(huán)，屬于《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息中的行蹤軌跡信息。

智慧停車，很智慧，但是夠安全嗎？

《財(cái)經(jīng)調(diào)查》記者請專家對北京兩個(gè)采用了“智慧停車”系統(tǒng)的停車場進(jìn)行了技術(shù)檢測。駕駛員將車駛?cè)胪＼噲?，遠(yuǎn)在幾公里外的專業(yè)技術(shù)人員，輸入車輛的車牌號后，無需身份驗(yàn)證，輕而易舉就獲得了車輛所在停車場、車輛入場時(shí)間等敏感信息。

在記者采用同樣的方式測試第三個(gè)“智慧”停車場時(shí)，并沒有直接顯示出車輛的敏感信息，但經(jīng)過技術(shù)專家的辨別，發(fā)現(xiàn)該停車場只是沒有在前臺(tái)顯示信息，后臺(tái)實(shí)際上有了應(yīng)答，返回的數(shù)據(jù)包里同樣有著車輛敏感信息。

專家告訴記者，這樣的招數(shù)只是讓消費(fèi)者無法直接看到。但是，不法分子依然能輕易獲取這些敏感的個(gè)人信息。

2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中規(guī)定↓

犯罪分子利用停車信息

違法安裝跟蹤器

2023年，安徽碭山網(wǎng)警破獲了一起非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)，侵犯公民個(gè)人信息的案件。犯罪分子的突破口，就是全國數(shù)千個(gè)智慧停車服務(wù)系統(tǒng)中的數(shù)據(jù)接口漏洞。

犯罪分子的聊天群里每天在滾動(dòng)發(fā)布著各種車輛的實(shí)時(shí)停車信息，包括了車牌號、停車場具體地址、進(jìn)場時(shí)間等等。

被犯罪分子“盯上”的車輛一旦進(jìn)入停車場，顯示在群里，幾十分鐘之內(nèi)，就會(huì)被裝上GPS無線定位器，強(qiáng)磁吸附且超長待機(jī)。

據(jù)安徽省碭山縣公安局網(wǎng)安大隊(duì)偵查中隊(duì)中隊(duì)長余天龍介紹，全國主流的這些停車場系統(tǒng)，都有一個(gè)問題，即任何一個(gè)人都可以為任何一輛車?yán)U費(fèi)。通過批量地在這些停車場系統(tǒng)里面進(jìn)行模擬繳費(fèi)，獲取返回值進(jìn)行解析，就可以確定某一臺(tái)車是不是在某一個(gè)停車場系統(tǒng)里面。

據(jù)警方介紹，不法分子通過互聯(lián)網(wǎng)接單，幫助客戶尋找指定車輛。在實(shí)施犯罪的過程中，正是利用了停車小程序數(shù)據(jù)接口上的漏洞。之后，短則幾分鐘，貼手就會(huì)找到指定車輛，貼上GPS追蹤器。據(jù)警方資料顯示，貼手每貼一輛車能獲利800元到1000元。那些位于上游的入侵停車場數(shù)據(jù)系統(tǒng)的不法分子更是獲利不菲。

這起案件中，安徽碭山網(wǎng)警成功打掉了這個(gè)非法獲取售賣停車數(shù)據(jù)的犯罪團(tuán)伙，抓獲犯罪嫌疑人32名，查封遠(yuǎn)程服務(wù)器9臺(tái)、關(guān)鍵腳本程序5套、車輛位置數(shù)據(jù)50余萬條。

蘆云律師向記者介紹，案件中犯罪分子的行為涉嫌非法侵入計(jì)算機(jī)信息系統(tǒng)，或者是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)這樣的罪名，那么同時(shí)也有可能涉嫌侵犯公民個(gè)人信息罪。

2024年10月，法院判決該案系列被告人犯侵犯公民個(gè)人信息罪，判決有期徒刑二年至四年不等。

你的個(gè)人信息是這樣泄露的

眼下，騷擾電話和各類騷擾信息一直是困擾廣大消費(fèi)者的一個(gè)問題。最值得注意的是這些推銷對消費(fèi)者的選擇，也異常精準(zhǔn)。中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的何延哲表示，問題就出在API上，它也被稱為應(yīng)用程序接口，其中與開放、傳輸數(shù)據(jù)相關(guān)的則被稱為數(shù)據(jù)接口。

購買機(jī)票時(shí)，輸入起點(diǎn)、終點(diǎn)的輸入框就是一個(gè)接口。消費(fèi)者進(jìn)一步點(diǎn)擊某個(gè)航班，此時(shí)這個(gè)網(wǎng)頁鏈接，也是一個(gè)數(shù)據(jù)接口。消費(fèi)者獲得服務(wù)的過程就是一個(gè)個(gè)數(shù)據(jù)接口通過不斷與后臺(tái)進(jìn)行數(shù)據(jù)交互來實(shí)現(xiàn)的。

專家告訴記者，眼下消費(fèi)市場上的網(wǎng)站和應(yīng)用程序上，存在著海量的數(shù)據(jù)接口。僅一個(gè)簡單的App應(yīng)用，平均就擁有成百上千個(gè)數(shù)據(jù)接口，一個(gè)小型平臺(tái)，就可能擁有上萬個(gè)數(shù)據(jù)接口。恰恰是這些承載著海量數(shù)據(jù)流轉(zhuǎn)和交互的數(shù)據(jù)接口正是不法分子眼中的薄弱環(huán)節(jié)，也逐步成為他們主要攻擊的目標(biāo)。

《財(cái)經(jīng)調(diào)查》的記者會(huì)同網(wǎng)絡(luò)安全技術(shù)專家，針對不同消費(fèi)場景中數(shù)據(jù)接口的使用情況進(jìn)行了一系列實(shí)時(shí)測試和深入調(diào)查。技術(shù)測試分為三步↓

測試場景1：咖啡茶飲店的手機(jī)點(diǎn)餐

測試結(jié)果：專家僅僅使用最基礎(chǔ)的解碼程序，就輕而易舉地從小程序的數(shù)據(jù)接口返回的數(shù)據(jù)包中，獲取了記者下單消費(fèi)的完整且沒有加密的后臺(tái)數(shù)據(jù)。這家咖啡店的網(wǎng)絡(luò)小程序數(shù)據(jù)接口授權(quán)不嚴(yán)密，導(dǎo)致任意人員能輕易獲取該企業(yè)數(shù)據(jù)庫中用戶的個(gè)人信息，比如手機(jī)號。

• 測試場景2：運(yùn)動(dòng)健身購買月卡

測試結(jié)果：專家僅僅使用最基礎(chǔ)的解碼程序，就順利通過了該小程序數(shù)據(jù)接口的用戶身份校驗(yàn)，毫無阻攔地拿到了完整且未加密的用戶信息。這其中包括身高、體重、職業(yè)、生日等敏感信息。

• 測試場景3：生活服務(wù)-洗衣店

測試結(jié)果：這家企業(yè)的小程序接口存在一個(gè)非常明顯的漏洞：當(dāng)消費(fèi)者查詢的訂單號為空的時(shí)候，該接口就會(huì)返回?cái)?shù)據(jù)庫中所有訂單的信息，這幾乎讓程序平臺(tái)里的整個(gè)用戶信息都存在極大的泄露風(fēng)險(xiǎn)。敏感信息包括手機(jī)號、姓名和居住地址。

• 測試場景4：酒店訂房

測試結(jié)果：這個(gè)小程序接口雖然采取了一定的加密措施，但是由于生成的訂單號非常有規(guī)律，專業(yè)人員可以根據(jù)規(guī)律構(gòu)造查詢指令，也可以很輕易地查看到指定日期的所有訂單信息。

• 測試場景5：醫(yī)療信息

測試結(jié)果：該醫(yī)院的小程序也屬于查詢接口授權(quán)機(jī)制不完善。查詢所有患者的化驗(yàn)報(bào)告應(yīng)該要管理員權(quán)限才能訪問，但是通過這個(gè)接口，用普通賬號也能查詢，醫(yī)院的小程序在權(quán)限等級識(shí)別上根本就沒有設(shè)置任何障礙。

數(shù)據(jù)接口作為數(shù)據(jù)流通的橋梁，安全性直接影響到數(shù)據(jù)安全乃至國家安全。針對當(dāng)前消費(fèi)市場上數(shù)據(jù)接口面臨的安全風(fēng)險(xiǎn)，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在抓緊制定數(shù)據(jù)接口安全風(fēng)險(xiǎn)監(jiān)測方法的國家標(biāo)準(zhǔn)。保護(hù)消費(fèi)者個(gè)人信息安全，不僅需要國家相關(guān)部門的努力，各大商家、互聯(lián)網(wǎng)平臺(tái)和程序開發(fā)者也需認(rèn)真測試自身的數(shù)據(jù)接口程序，落實(shí)自身的信息安全責(zé)任，保護(hù)消費(fèi)者的合法權(quán)益。

責(zé)編：施泉江

一審：施泉江

二審：李茁

三審：唐婷

來源：央視網(wǎng)微信公號