手機信息被盜一年損失近千億——誰賣了我的手機號（互聯(lián)網(wǎng)前沿追蹤）

　　本報記者 許 晴

　　12月5日，北京市公安局海淀分局宣布破獲一起新型特大非法獲取公民個人信息案，查獲包括手機號在內的公民信息100余萬條。

　　根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權益保護調查報告2016》，2016年上半年，網(wǎng)民平均每周收到垃圾短信20.6條、騷擾電話21.3個。

　　私人號碼成了“公開信息”，手機用戶不堪其擾。到底是誰賣了我的手機號？

　　網(wǎng)頁也能“偷走”手機信息

　　“我用手機搜索了血小板偏低的危害，就是瀏覽網(wǎng)頁，沒有輸入手機號，沒過幾個小時就有醫(yī)院打電話介紹治療血小板偏低的特效藥。醫(yī)院是怎么知道我的手機號的？”

　　早在2015年，就有網(wǎng)友在網(wǎng)絡上詢問，有類似遭遇的網(wǎng)友不在少數(shù)。

　　海淀分局破獲的這起案件，給出了答案�！澳承┚W(wǎng)站植入一段惡意代碼，只要用戶使用手機流量打開網(wǎng)頁，黑客就會利用運營商漏洞，抓取到用戶的手機號、IP 地址、訪問時間、搜索時輸入的關鍵詞等信息，”海淀分局網(wǎng)安大隊副大隊長董立波介紹，“這是一種新型黑客手段，能在用戶不知情的情況下獲取個人信息，進而 開展精準營銷甚至電信詐騙，多出現(xiàn)在醫(yī)療、教育、貸款等網(wǎng)站�！�

　　看似簡單的代碼背后，暗藏一條黑色產業(yè)鏈。董立波介紹，本案所涉黑色產 業(yè)鏈分三個層級。上游是惡意代碼的生產者，下游則是植入惡意代碼的網(wǎng)站，中間商在兩者之間牽線搭橋。下游網(wǎng)站雖已購買惡意代碼，但不能直接看到被抓取的個 人信息，得按條數(shù)或者包月從中間商手中購買。中間商從上游網(wǎng)站獲取代碼的價格是600元，收購的個人信息8分至1角錢一條；轉手賣給下游網(wǎng)站時，代碼價格 漲到1000元，個人信息則能賣到5角至1元錢一條。

　　上游網(wǎng)站“薄利多銷”，中間商網(wǎng)站賺取差價，下游網(wǎng)站精準出擊。黑色產業(yè)鏈各個環(huán)節(jié)“皆大歡喜”，用戶則成為買單者和受害者。

　　“我們通過技術手段對全網(wǎng)網(wǎng)站進行檢測，鑒別哪些網(wǎng)站植入了竊取公民信息的腳本或者黑客工具，通過溯源摸清產業(yè)鏈的規(guī)模和上下級關系，并把這些情況提供 給警方�！�百度安全實驗室X—Team負責人黃正說。據(jù)百度安全團隊統(tǒng)計，有4萬多家網(wǎng)站存在此類行為，非法獲取超過5000條手機號信息的服務平臺有 27家。若不采取措施，預計每天有500萬人次點擊中招。

　　外賊內鬼造成信息裸奔

　　據(jù)統(tǒng)計，截至今年8月，三家基礎電信企業(yè)的移動電話用戶總數(shù)達13.8億。而僅在2015年下半年至2016年上半年，因垃圾信息、詐騙信息、個人信息泄露等造成的總體經(jīng)濟損失就高達915億元。

　　一些黑客利用運營商或網(wǎng)站平臺的漏洞，采用技術手段非法獲取公民信息。去年引起廣泛關注的“徐玉玉案”中，黑客杜某非法入侵山東省高考信息平臺，竊取64萬余條考生信息；購買這些信息的徐某以發(fā)放助學金為名義撥打詐騙電話，造成了徐玉玉離世的悲劇。

　　也有內鬼作怪，把正常途徑獲取的公民信息轉手賣給他人。今年6月，浙江寧波警方破獲一起案件，“上游賣家”程某出售多年從事通信、房產等行業(yè)積累的個人信息，涉及公民信息1.2億條之多。

　　今年2月，有媒體曝光稱，只要報上手機號，就能從信息販子手中獲取大量公民信息，包括精確到秒的打車記錄、來電去電號碼記錄和通話時長的手機通話記錄、誤差在50米以內的實時定位信息等。

　　中國傳媒大學法律系副教授劉文杰說：“手機號本身包含的信息有限，但如果和其他公民信息組合起來，比如姓名、身份等，能大大提高精準營銷或者電信詐騙的 成功概率�！毙孤痘蛘叻欠▊鞑グ�括手機號在內的個人信息，除了可能侵犯公民的隱私權和個人信息權，還可能導致公民的財產權和其他人身權利受到侵害。

　　標本兼治打擊黑色產業(yè)

　　6月1日，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》正式施行，明確了公民個人信息的范圍和侵犯公民個人信息罪的定罪量刑標準。

　　根據(jù)這一司法解釋，非法獲取、出售或提供公民手機號信息達到5000條以上，屬于“情節(jié)嚴重”。業(yè)內人士認為，這為裁決公民信息泄露案件提供了統(tǒng)一標尺，起到了威懾和預防的作用。

　　“不得不說，黑色產業(yè)自身也在不斷‘進步’，不會因為新規(guī)出臺就‘坐以待斃’，他們想盡辦法更新技術、逃避監(jiān)管、繼續(xù)牟利，有的黑色產業(yè)利用地域差和時間差，專挑監(jiān)管薄弱的地方和時段下手，這對我們提出了挑戰(zhàn)�！卑俣劝踩�事業(yè)部總經(jīng)理馬杰說。

　　目前，多家互聯(lián)網(wǎng)企業(yè)已開始使用人工智能技術和機器學習技術監(jiān)測抗擊黑色產業(yè)，保護網(wǎng)絡安全。

　　既要治標，更要治本�！敖鉀Q手機號等公民信息泄露問題，不能只處罰下游買家，要從網(wǎng)站平臺等源頭下手。手機號泄露的源頭在運營商或者網(wǎng)站平臺，財產信息 泄露的源頭在金融業(yè)，醫(yī)療信息泄露的源頭在醫(yī)療業(yè)。所涉單位要嚴格履行職責，從嚴管理運營、從嚴管理隊伍，為公民信息提供安全保障，發(fā)生信息泄露時要及時 預警，并向主管部門報告。對有責任的源頭單位，有關主管部門要加大監(jiān)管，及時處理�！眲⑽慕苷f。