“人肉搜索”背靠灰色江湖：起底神秘外网里的个人隐私交易链

3月19日，陆续有微博用户发消息称，出现了疑似用户个人信息泄露的情况，表现为不少人的手机号已经泄露，根据微博账号可以查询到手机号。

对此，微博方面公开回应称，此次数据泄露应该追溯到2018年底。当时，有用户利用微博相关接口通过手机批量上传通讯录，匹配出几百万个账号昵称，再加上其他渠道获取的信息一起对外出售。

但是，《财经》记者深入调查后发现，微博用户信息泄露只是个人信息贩卖这一网络黑灰产的冰山一角。个人信息贩卖已形成一条完整的产业链，且已由国内转向国外的网络空间。

在这个网络空间里，一个人重要的隐私信息几乎全部暴露。卖家个个“神通广大”，身份证号、家庭住址、车牌号、手机号，甚至宾馆住宿记录，全部“上架”待售。

而且这条黑色产业链的交易体系也已升级，从使用传统网络平台及工具转向使用比特币等新型数字货币为代表的新型网络技术。

外网平台和虚拟货币支付，使得整个交易更加隐蔽和难以溯源。

根据调查情况来看，每个人的隐私信息都可能成为待价而沽的商品，这并不是危言耸听。

有关业内专家在接受《财经》记者采访时表示，个人信息泄露一般源于黑客攻击等技术手段、内部人员利用职务便利窃取并流出。存储数据的机构采取各种防范手段，但依然不能保证完全没有漏洞。

黑灰产业链转移

对于这次的微博用户信息泄露事件，微博方面表示，微博一直提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但是，微博并不提供查询用户性别和身份证号等信息，也不提供根据用户昵称查询手机号的服务。3月的这起数据泄露事件，对微博服务没有影响。

同时微博方面强调，此次非法调用微博接口匹配出的信息仅为微博账号昵称，并不涉及身份证、密码等其他隐私数据。目前微博已经及时加强了安全策略，并将不断强化。

3月24日，工业和信息化部发布消息称，工信部网络安全管理局在3月21日对新浪微博相关负责人进行了问询约谈，要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》，进一步采取有效措施，消除数据安全隐患。

主管部门和企业分别采取措施，使得这起泄露事件暂告段落。

但是《财经》记者循着此次泄露的线索深入调查后发现，这次泄露事件实际只是庞大的个人信息买卖黑灰产市场的冰山一角。

原来出没于国内网络平台的黑灰产人士，纷纷转入以Telegram为代表的国外网络平台，形成了更加隐蔽、更难溯源的新型产业链。

多名知情人士告诉《财经》记者，早先，个人信息贩子一般使用QQ、微信、贴吧等国内网络平台，主要使用微信支付、支付宝等支付工具。但随着腾讯、阿里巴巴等平台企业对黑灰产的打击力度持续加大，黑灰产业在国内的传统平台已难以立足。

而且，在原来的国内平台上，既有真正出售个人信息的贩子，也有以此为幌子的骗子。“有人做广告说有海量且准确的各类个人信息，购买者付了费后却直接被拉黑，这种事情多如牛毛。”有知情人士说。于是，这个产业链开始向外转移，以Telegram为代表的国外软件使用方便，而且引入了虚拟货币等“安全”支付方式，使得个人信息贩卖产业逐渐转至外网平台，并逐渐扩大规模且稳定下来。

从国内转向国外，支付方式更为安全，提供信息和服务越来越可靠，是产业链转移后的新形态。

“ 这次微博用户信息泄露事件，确实是由来已久，在群组出售查询这些信息，已经不是新鲜事。”前述知情人士告诉《财经》记者。

个人信息应有尽有

从3月27日起，《财经》记者登录Telegram账号，找到了用于出售个人信息的机器人。通过机器人界面，可以加入一个群组。3月28日，这个群组的人数显示为4万人左右，此后，人数一直在持续增长。

在群组里，不断有各类卖家发布消息出售各类个人信息，涵盖了个人户口、家庭户口、手机号查机主、名下银行卡、淘宝收货地址、微博反查、微信反查、快递单号查询收货地址、住宿记录、出行记录等等各类个人信息，几乎无所不包。

形象地说，Telegram平台上的机器人实际就是众多卖家将手中的个人信息建成一个可自动检索的数据库。如果有人想购买或查询信息，一般使用BTC（比特币）或ETH数字货币向机器人提供赞助，相当于充值。最低赞助320元人民币，可折合为260积分。群内提示的积分与数字货币换算率大致为0.358ETH=260积分。

按照规则，10积分可做一次普通查询，大约等于10元人民币可查询一次。如果没有比特币，群组里还有专门的代充值服务。

《财经》记者还在Telegram找到了5个其他类似群组，群组所出售和提供查询的信息与前述群组几乎没有区别，里面打包出售的个人信息价格从几十元到上万元不等，涉及数据动辄大小有几个G。

Telegram平台上出售个人信息的群组截图

那么，这些只要付费就可以随意查询的个人信息都是从哪里来的呢？

《财经》记者询问一些卖家，对方称， 信息是从互联网各处“收集”而来。前述知情人士则认为，这些信息有不少是从历次泄露事件中整合而来，也有黑客会继续窃取，使得数据库的规模不断扩大。

《财经》记者经过亲身体验发现，具体交易流程并不复杂，找到机器人，买家充值获得积分后，可以直接用积分进行自动查询。

《财经》记者购买一些比特币，向机器人支付获取了积分。为了测试信息的准确性，《财经》记者向机器人发送了10个近亲属及朋友的手机号码，并支付10个或20个积分进行“绑定查询”， 仅3秒左右时间，机器人提供出查询结果。在这10个号码中，有9个手机机主的名字准确无误。 其中还有一个号码查询到准确的微信账号名和微博账号名，另有一个号码则准确查询到一位朋友使用过的邮箱密码和家庭住址。

在Telegram的此类群组中，手机机主信息只是一个入门级别的查询。《财经》记者使用机器人提供的“猎魔查询”（模糊搜索）功能，向其发送一个亲友的名字，随即机器人提示选择男女和省份。在支付100积分后，得到近30条与这名亲友同名的身份证号码信息，记者的亲友也位列其中，且身份证号码准确。

前述知情人士称，“猎魔查询”可以被用于“人肉搜索”，只需要提供被“人肉”的人的名字，就可以通过不同的信息，一步步精准锁定搜索对象。

（编辑：ASP站长网）