消費(fèi)者在享受數(shù)字化時(shí)代帶來(lái)的便利時(shí)，個(gè)人信息也不可避免地留存在了不同的服務(wù)平臺(tái)上。

每年盜取、濫用個(gè)人敏感信息的犯罪事件并不罕見(jiàn)，到底是誰(shuí)在背后收集這些數(shù)據(jù)？這些數(shù)據(jù)又是怎么流出的？《財(cái)經(jīng)調(diào)查》起底非法販賣個(gè)人信息黑色產(chǎn)業(yè)鏈條。

智慧停車，方便了誰(shuí)？

這幾年，市場(chǎng)上一種被稱為“智慧停車”的新業(yè)態(tài)應(yīng)運(yùn)而生。它依托于物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)，覆蓋各種類型的停車場(chǎng)，大大提升了居民出行的便利度。停車信息包括了車輛進(jìn)入和離開(kāi)某個(gè)地點(diǎn)的完整閉環(huán)，屬于《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息中的行蹤軌跡信息。

智慧停車，很智慧，但是夠安全嗎？

《財(cái)經(jīng)調(diào)查》記者請(qǐng)專家對(duì)北京兩個(gè)采用了“智慧停車”系統(tǒng)的停車場(chǎng)進(jìn)行了技術(shù)檢測(cè)。駕駛員將車駛?cè)胪＼噲?chǎng)，遠(yuǎn)在幾公里外的專業(yè)技術(shù)人員，輸入車輛的車牌號(hào)后，無(wú)需身份驗(yàn)證，輕而易舉就獲得了車輛所在停車場(chǎng)、車輛入場(chǎng)時(shí)間等敏感信息。

在記者采用同樣的方式測(cè)試第三個(gè)“智慧”停車場(chǎng)時(shí)，并沒(méi)有直接顯示出車輛的敏感信息，但經(jīng)過(guò)技術(shù)專家的辨別，發(fā)現(xiàn)該停車場(chǎng)只是沒(méi)有在前臺(tái)顯示信息，后臺(tái)實(shí)際上有了應(yīng)答，返回的數(shù)據(jù)包里同樣有著車輛敏感信息。

專家告訴記者，這樣的招數(shù)只是讓消費(fèi)者無(wú)法直接看到。但是，不法分子依然能輕易獲取這些敏感的個(gè)人信息。

2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》中規(guī)定↓

犯罪分子利用停車信息

違法安裝跟蹤器

2023年，安徽碭山網(wǎng)警破獲了一起非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)，侵犯公民個(gè)人信息的案件。犯罪分子的突破口，就是全國(guó)數(shù)千個(gè)智慧停車服務(wù)系統(tǒng)中的數(shù)據(jù)接口漏洞。

犯罪分子的聊天群里每天在滾動(dòng)發(fā)布著各種車輛的實(shí)時(shí)停車信息，包括了車牌號(hào)、停車場(chǎng)具體地址、進(jìn)場(chǎng)時(shí)間等等。

被犯罪分子“盯上”的車輛一旦進(jìn)入停車場(chǎng)，顯示在群里，幾十分鐘之內(nèi)，就會(huì)被裝上GPS無(wú)線定位器，強(qiáng)磁吸附且超長(zhǎng)待機(jī)。

據(jù)安徽省碭山縣公安局網(wǎng)安大隊(duì)偵查中隊(duì)中隊(duì)長(zhǎng)余天龍介紹，全國(guó)主流的這些停車場(chǎng)系統(tǒng)，都有一個(gè)問(wèn)題，即任何一個(gè)人都可以為任何一輛車?yán)U費(fèi)。通過(guò)批量地在這些停車場(chǎng)系統(tǒng)里面進(jìn)行模擬繳費(fèi)，獲取返回值進(jìn)行解析，就可以確定某一臺(tái)車是不是在某一個(gè)停車場(chǎng)系統(tǒng)里面。

據(jù)警方介紹，不法分子通過(guò)互聯(lián)網(wǎng)接單，幫助客戶尋找指定車輛。在實(shí)施犯罪的過(guò)程中，正是利用了停車小程序數(shù)據(jù)接口上的漏洞。之后，短則幾分鐘，貼手就會(huì)找到指定車輛，貼上GPS追蹤器。據(jù)警方資料顯示，貼手每貼一輛車能獲利800元到1000元。那些位于上游的入侵停車場(chǎng)數(shù)據(jù)系統(tǒng)的不法分子更是獲利不菲。

這起案件中，安徽碭山網(wǎng)警成功打掉了這個(gè)非法獲取售賣停車數(shù)據(jù)的犯罪團(tuán)伙，抓獲犯罪嫌疑人32名，查封遠(yuǎn)程服務(wù)器9臺(tái)、關(guān)鍵腳本程序5套、車輛位置數(shù)據(jù)50余萬(wàn)條。

蘆云律師向記者介紹，案件中犯罪分子的行為涉嫌非法侵入計(jì)算機(jī)信息系統(tǒng)，或者是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)這樣的罪名，那么同時(shí)也有可能涉嫌侵犯公民個(gè)人信息罪。

2024年10月，法院判決該案系列被告人犯侵犯公民個(gè)人信息罪，判決有期徒刑二年至四年不等。

你的個(gè)人信息是這樣泄露的

眼下，騷擾電話和各類騷擾信息一直是困擾廣大消費(fèi)者的一個(gè)問(wèn)題。最值得注意的是這些推銷對(duì)消費(fèi)者的選擇，也異常精準(zhǔn)。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的何延哲表示，問(wèn)題就出在API上，它也被稱為應(yīng)用程序接口，其中與開(kāi)放、傳輸數(shù)據(jù)相關(guān)的則被稱為數(shù)據(jù)接口。

購(gòu)買機(jī)票時(shí)，輸入起點(diǎn)、終點(diǎn)的輸入框就是一個(gè)接口。消費(fèi)者進(jìn)一步點(diǎn)擊某個(gè)航班，此時(shí)這個(gè)網(wǎng)頁(yè)鏈接，也是一個(gè)數(shù)據(jù)接口。消費(fèi)者獲得服務(wù)的過(guò)程就是一個(gè)個(gè)數(shù)據(jù)接口通過(guò)不斷與后臺(tái)進(jìn)行數(shù)據(jù)交互來(lái)實(shí)現(xiàn)的。

專家告訴記者，眼下消費(fèi)市場(chǎng)上的網(wǎng)站和應(yīng)用程序上，存在著海量的數(shù)據(jù)接口。僅一個(gè)簡(jiǎn)單的App應(yīng)用，平均就擁有成百上千個(gè)數(shù)據(jù)接口，一個(gè)小型平臺(tái)，就可能擁有上萬(wàn)個(gè)數(shù)據(jù)接口。恰恰是這些承載著海量數(shù)據(jù)流轉(zhuǎn)和交互的數(shù)據(jù)接口正是不法分子眼中的薄弱環(huán)節(jié)，也逐步成為他們主要攻擊的目標(biāo)。

《財(cái)經(jīng)調(diào)查》的記者會(huì)同網(wǎng)絡(luò)安全技術(shù)專家，針對(duì)不同消費(fèi)場(chǎng)景中數(shù)據(jù)接口的使用情況進(jìn)行了一系列實(shí)時(shí)測(cè)試和深入調(diào)查。技術(shù)測(cè)試分為三步↓

測(cè)試場(chǎng)景1：咖啡茶飲店的手機(jī)點(diǎn)餐

測(cè)試結(jié)果：專家僅僅使用最基礎(chǔ)的解碼程序，就輕而易舉地從小程序的數(shù)據(jù)接口返回的數(shù)據(jù)包中，獲取了記者下單消費(fèi)的完整且沒(méi)有加密的后臺(tái)數(shù)據(jù)。這家咖啡店的網(wǎng)絡(luò)小程序數(shù)據(jù)接口授權(quán)不嚴(yán)密，導(dǎo)致任意人員能輕易獲取該企業(yè)數(shù)據(jù)庫(kù)中用戶的個(gè)人信息，比如手機(jī)號(hào)。

• 測(cè)試場(chǎng)景2：運(yùn)動(dòng)健身購(gòu)買月卡

測(cè)試結(jié)果：專家僅僅使用最基礎(chǔ)的解碼程序，就順利通過(guò)了該小程序數(shù)據(jù)接口的用戶身份校驗(yàn)，毫無(wú)阻攔地拿到了完整且未加密的用戶信息。這其中包括身高、體重、職業(yè)、生日等敏感信息。

• 測(cè)試場(chǎng)景3：生活服務(wù)-洗衣店

測(cè)試結(jié)果：這家企業(yè)的小程序接口存在一個(gè)非常明顯的漏洞：當(dāng)消費(fèi)者查詢的訂單號(hào)為空的時(shí)候，該接口就會(huì)返回?cái)?shù)據(jù)庫(kù)中所有訂單的信息，這幾乎讓程序平臺(tái)里的整個(gè)用戶信息都存在極大的泄露風(fēng)險(xiǎn)。敏感信息包括手機(jī)號(hào)、姓名和居住地址。

• 測(cè)試場(chǎng)景4：酒店訂房

測(cè)試結(jié)果：這個(gè)小程序接口雖然采取了一定的加密措施，但是由于生成的訂單號(hào)非常有規(guī)律，專業(yè)人員可以根據(jù)規(guī)律構(gòu)造查詢指令，也可以很輕易地查看到指定日期的所有訂單信息。

• 測(cè)試場(chǎng)景5：醫(yī)療信息

測(cè)試結(jié)果：該醫(yī)院的小程序也屬于查詢接口授權(quán)機(jī)制不完善。查詢所有患者的化驗(yàn)報(bào)告應(yīng)該要管理員權(quán)限才能訪問(wèn)，但是通過(guò)這個(gè)接口，用普通賬號(hào)也能查詢，醫(yī)院的小程序在權(quán)限等級(jí)識(shí)別上根本就沒(méi)有設(shè)置任何障礙。

數(shù)據(jù)接口作為數(shù)據(jù)流通的橋梁，安全性直接影響到數(shù)據(jù)安全乃至國(guó)家安全。針對(duì)當(dāng)前消費(fèi)市場(chǎng)上數(shù)據(jù)接口面臨的安全風(fēng)險(xiǎn)，全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在抓緊制定數(shù)據(jù)接口安全風(fēng)險(xiǎn)監(jiān)測(cè)方法的國(guó)家標(biāo)準(zhǔn)。保護(hù)消費(fèi)者個(gè)人信息安全，不僅需要國(guó)家相關(guān)部門的努力，各大商家、互聯(lián)網(wǎng)平臺(tái)和程序開(kāi)發(fā)者也需認(rèn)真測(cè)試自身的數(shù)據(jù)接口程序，落實(shí)自身的信息安全責(zé)任，保護(hù)消費(fèi)者的合法權(quán)益。

責(zé)編：施泉江

一審：施泉江

二審：李茁

三審：唐婷

來(lái)源：央視網(wǎng)微信公號(hào)