消費(fèi)者在享受數(shù)字化時(shí)代帶來(lái)的便利時(shí)，個(gè)人信息也不可避免地留存在了不同的服務(wù)平臺(tái)上。每年盜取、濫用個(gè)人敏感信息的犯罪事件并不罕見(jiàn)，到底是誰(shuí)在背后收集這些數(shù)據(jù)？這些數(shù)據(jù)又是怎么流出的？央視《財(cái)經(jīng)調(diào)查》起底非法販賣(mài)個(gè)人信息黑色產(chǎn)業(yè)鏈條。

日常停車(chē)竟能暴露公民敏感信息？！

這幾年，市場(chǎng)上一種被稱為“智慧停車(chē)”的新業(yè)態(tài)應(yīng)運(yùn)而生。它依托于物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)，覆蓋各種類(lèi)型的停車(chē)場(chǎng)，大大提升了居民出行的便利度。停車(chē)信息包括了車(chē)輛進(jìn)入和離開(kāi)某個(gè)地點(diǎn)的完整閉環(huán)，屬于《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息中的行蹤軌跡信息。智慧停車(chē)，很智慧，但是夠安全嗎？

《財(cái)經(jīng)調(diào)查》對(duì)北京兩個(gè)采用了“智慧停車(chē)”系統(tǒng)的停車(chē)場(chǎng)進(jìn)行了技術(shù)檢測(cè)。駕駛員將車(chē)駛?cè)胪＼?chē)場(chǎng)，遠(yuǎn)在幾公里外的專(zhuān)業(yè)技術(shù)人員，輸入車(chē)輛的車(chē)牌號(hào)后，無(wú)需身份驗(yàn)證，輕而易舉地就獲得了車(chē)輛所在停車(chē)場(chǎng)、車(chē)輛入場(chǎng)時(shí)間等敏感信息。

在記者采用同樣的方式測(cè)試第三個(gè)“智慧”停車(chē)場(chǎng)時(shí)，并沒(méi)有直接顯示出車(chē)輛的敏感信息，但經(jīng)過(guò)技術(shù)專(zhuān)家的辨別，發(fā)現(xiàn)這個(gè)停車(chē)場(chǎng)只是沒(méi)有在前臺(tái)顯示信息，后臺(tái)實(shí)際上有了應(yīng)答，返回的數(shù)據(jù)包里同樣有著車(chē)輛敏感信息。專(zhuān)家告訴記者，這樣的招數(shù)只能讓消費(fèi)者不能直接看到。但是，不法分子依然能輕易獲取這些敏感的個(gè)人信息。

2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》中規(guī)定↓↓↓

犯罪分子利用停車(chē)信息追蹤社會(huì)車(chē)輛

違法安裝跟蹤器

對(duì)公民人身安全造成巨大隱患！

犯罪分子的聊天群里每天在滾動(dòng)發(fā)布著各種車(chē)輛的實(shí)時(shí)停車(chē)信息，包括了車(chē)牌號(hào)、停車(chē)場(chǎng)具體地址、進(jìn)場(chǎng)時(shí)間等等。

被犯罪分子“盯上”的車(chē)輛一旦進(jìn)入停車(chē)場(chǎng)，顯示在群里，幾十分鐘之內(nèi)，就會(huì)被裝上GPS無(wú)線定位器，強(qiáng)磁吸附且超長(zhǎng)待機(jī)。

2023年，安徽碭山網(wǎng)警破獲了一起非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)，侵犯公民個(gè)人信息的案件。犯罪分子的突破口，就是全國(guó)數(shù)千個(gè)智慧停車(chē)服務(wù)系統(tǒng)中的數(shù)據(jù)接口漏洞。據(jù)安徽省碭山縣公安局網(wǎng)安大隊(duì)偵查中隊(duì)中隊(duì)長(zhǎng)余天龍介紹，全國(guó)主流的這些停車(chē)場(chǎng)系統(tǒng)，它們都有一個(gè)問(wèn)題是任何一個(gè)人都可以為任何一個(gè)車(chē)輛去繳費(fèi)。通過(guò)批量地在這些停車(chē)場(chǎng)系統(tǒng)里面進(jìn)行模擬繳費(fèi)，獲取返回值進(jìn)行解析，就可以確定某一臺(tái)車(chē)是不是在某一個(gè)停車(chē)場(chǎng)系統(tǒng)里面。

據(jù)警方介紹，不法分子通過(guò)互聯(lián)網(wǎng)接單，幫助客戶尋找指定車(chē)輛。在實(shí)施犯罪的過(guò)程中，正是利用了停車(chē)小程序數(shù)據(jù)接口上的漏洞。之后，短則幾分鐘，貼手就會(huì)找到指定車(chē)輛，貼上GPS追蹤器。據(jù)警方資料顯示，貼手每貼一輛車(chē)能獲利800元到1000元。那些位于上游的入侵停車(chē)場(chǎng)數(shù)據(jù)系統(tǒng)的不法分子更是獲利不菲。

這起案件中，安徽碭山網(wǎng)警成功打掉了這個(gè)非法獲取售賣(mài)停車(chē)數(shù)據(jù)的犯罪團(tuán)伙，抓獲犯罪嫌疑人32名，查封遠(yuǎn)程服務(wù)器9臺(tái)、關(guān)鍵腳本程序5套、車(chē)輛位置數(shù)據(jù)50余萬(wàn)條。

律師蘆云向記者介紹，案件中犯罪分子的行為涉嫌非法侵入計(jì)算機(jī)信息系統(tǒng)，或者是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)這樣的罪名，那么同時(shí)也有可能涉嫌侵犯公民個(gè)人信息罪。

2024年10月，法院判決該案系列被告人犯侵犯公民個(gè)人信息罪，判決有期徒刑二年至四年不等。

點(diǎn)餐、辦卡、訂酒店……

你的個(gè)人信息根本藏不住

就連驗(yàn)血結(jié)果別人也能隨意查看

眼下，騷擾電話和各類(lèi)騷擾信息一直是困擾廣大消費(fèi)者的一個(gè)問(wèn)題。最值得注意的是這些推銷(xiāo)對(duì)消費(fèi)者的選擇，也異常精準(zhǔn)。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的何延哲表示，問(wèn)題就出在API上，它也被稱為應(yīng)用程序接口，這其中與開(kāi)放、傳輸數(shù)據(jù)相關(guān)的則被稱為數(shù)據(jù)接口。

購(gòu)買(mǎi)機(jī)票時(shí)，輸入起點(diǎn)、終點(diǎn)的輸入框就是一個(gè)接口。消費(fèi)者進(jìn)一步點(diǎn)擊某個(gè)航班，此時(shí)這個(gè)網(wǎng)頁(yè)鏈接，也是一個(gè)數(shù)據(jù)接口。消費(fèi)者獲得服務(wù)的過(guò)程就是一個(gè)個(gè)數(shù)據(jù)接口通過(guò)不斷與后臺(tái)進(jìn)行數(shù)據(jù)交互來(lái)實(shí)現(xiàn)的。專(zhuān)家告訴記者，眼下消費(fèi)市場(chǎng)上的網(wǎng)站和應(yīng)用程序上，存在著海量的數(shù)據(jù)接口。僅一個(gè)簡(jiǎn)單的App應(yīng)用，平均就擁有成百上千個(gè)數(shù)據(jù)接口，一個(gè)小型平臺(tái)，就可能擁有上萬(wàn)個(gè)數(shù)據(jù)接口。恰恰是這些承載著海量數(shù)據(jù)流轉(zhuǎn)和交互的數(shù)據(jù)接口正是不法分子眼中的薄弱環(huán)節(jié)，也逐步成為他們主要攻擊的目標(biāo)。

《財(cái)經(jīng)調(diào)查》的記者會(huì)同網(wǎng)絡(luò)安全技術(shù)專(zhuān)家，針對(duì)不同消費(fèi)場(chǎng)景中數(shù)據(jù)接口的使用情況進(jìn)行了一系列實(shí)時(shí)測(cè)試和深入調(diào)查。技術(shù)測(cè)試分為三步：

222

測(cè)試場(chǎng)景一：咖啡茶飲店的手機(jī)點(diǎn)餐

測(cè)試結(jié)果：專(zhuān)家僅僅使用最基礎(chǔ)的解碼程序，就輕而易舉地從小程序的數(shù)據(jù)接口返回的數(shù)據(jù)包中，獲取了記者下單消費(fèi)的完整且沒(méi)有加密的后臺(tái)數(shù)據(jù)。這家咖啡店的網(wǎng)絡(luò)小程序數(shù)據(jù)接口授權(quán)不嚴(yán)密，導(dǎo)致任意人員能輕易獲取該企業(yè)數(shù)據(jù)庫(kù)中用戶的個(gè)人信息，比如手機(jī)號(hào)。

測(cè)試場(chǎng)景二：運(yùn)動(dòng)健身購(gòu)買(mǎi)月卡

測(cè)試結(jié)果：專(zhuān)家僅僅使用最基礎(chǔ)的解碼程序，就順利通過(guò)了該小程序數(shù)據(jù)接口的用戶身份校驗(yàn)，毫無(wú)阻攔地就拿到了完整且未加密的用戶信息。這其中包括身高、體重、職業(yè)、生日等敏感信息。

測(cè)試場(chǎng)景三：生活服務(wù)-洗衣店

測(cè)試結(jié)果：這家企業(yè)的小程序接口存在一個(gè)非常明顯的漏洞：當(dāng)消費(fèi)者查詢的訂單號(hào)為空的時(shí)候，該接口就會(huì)返回?cái)?shù)據(jù)庫(kù)中所有訂單的信息，這幾乎讓程序平臺(tái)里的整個(gè)用戶信息都存在極大的泄露風(fēng)險(xiǎn)。敏感信息包括手機(jī)號(hào)、姓名和居住地址。

測(cè)試場(chǎng)景四：酒店訂房

測(cè)試結(jié)果：這個(gè)小程序的接口雖然做了一定的加密措施，但是由于生成的訂單號(hào)非常有規(guī)律，專(zhuān)業(yè)人員可以根據(jù)規(guī)律構(gòu)造查詢指令，也可以很輕易地查看到指定日期的所有訂單信息。

測(cè)試場(chǎng)景五：醫(yī)院醫(yī)療信息

測(cè)試結(jié)果：該醫(yī)院的小程序也屬于查詢接口授權(quán)機(jī)制不完善。查詢所有患者的化驗(yàn)報(bào)告應(yīng)該要管理員權(quán)限才能訪問(wèn)，但是通過(guò)這個(gè)接口，用普通賬號(hào)也能查詢，醫(yī)院的小程序在權(quán)限等級(jí)識(shí)別上根本就沒(méi)有設(shè)置任何障礙。