網(wǎng)絡(luò )“黑色產(chǎn)業(yè)鏈”：環(huán)環(huán)相扣的數據泄露

　　天微微亮，大鳥(niǎo)（化名）結束了一晚上的任務(wù)，他用涼水洗了一把臉，起身，去公司上班。

　　在白天，他是某互聯(lián)網(wǎng)公司的程序員。晚上，他是互聯(lián)網(wǎng)論壇上活躍的“白帽子”。

　　“白帽子”是業(yè)內的俗稱(chēng)，即正面黑客，他們通過(guò)識別計算機系統或網(wǎng)絡(luò )系統中的安全漏洞，發(fā)出漏洞警告，從而提醒企業(yè)或其他單位在被黑客侵入前修補漏洞。

　　由于白天工作時(shí)間不允許，大鳥(niǎo)只能用晚上的時(shí)間做“白帽子”的工作。這讓他很疲憊，如果進(jìn)入到了活動(dòng)狀態(tài)，大鳥(niǎo)可能會(huì )有很長(cháng)一段時(shí)間都在高度緊張的精神狀態(tài)中度過(guò)。

　　除了在論壇中得到被同行贊許的快感，很多時(shí)候，他們面對的是一群對漏洞不屑的人。因為每次被曝出漏洞之后，許多企業(yè)的第一反應是“辟謠”，而不是直面問(wèn)題。

　　在大數據和云計算的時(shí)代，互聯(lián)網(wǎng)正在重構整個(gè)制造業(yè)和服務(wù)業(yè)的運行體系，買(mǎi)方和賣(mài)方的對接越來(lái)越依賴(lài)于大數據，而不是實(shí)體的店面、中介。數據庫的作用越來(lái)越重要，但安全卻難有保障。

　　或許因為企業(yè)對漏洞不屑的態(tài)度，一些技術(shù)人員會(huì )警告企業(yè)——既然你不屑，我就干一單給你看。一些技術(shù)人員拿著(zhù)漏洞去要挾企業(yè)，換取報酬，涉及利益巨大，一些人甚至很短時(shí)間就完成原始資本積累。白帽子是以其行為來(lái)判斷，但也有可能在某些時(shí)間里，變成真正的黑客。

　　在國內，目前逐漸形成了一些漏洞舉報的平臺，如烏云網(wǎng)、360都建立了舉報漏洞的機制，方法各不相同。國家互聯(lián)網(wǎng)應急中心也建立了漏洞共享平臺，每周發(fā)布信息安全漏洞周報。

　　一些企業(yè)的態(tài)度也變得開(kāi)明起來(lái)，如1月14日，特斯拉的官方訂購平臺被白帽子發(fā)現漏洞，原價(jià)30萬(wàn)元的預訂金，白帽子可以在后臺將之修改為一元錢(qián)。特拉斯得知后迅速修復了該漏洞，并承認該筆訂單有效，同時(shí)還從總部郵寄了官方紀念品送給白帽子。

　　21世紀經(jīng)濟報道記者通過(guò)半個(gè)月的調查，接近了多位白帽子，他們中的部分不愿意透露真實(shí)姓名；同時(shí)，21世紀經(jīng)濟報道記者也試圖從被業(yè)內稱(chēng)之為“社會(huì )學(xué)工程庫”的論壇，尋找活躍在數據買(mǎi)賣(mài)鏈條上的人。此外，通過(guò)分析已有的案例和司法判決，也可以探尋這個(gè)龐大黑色產(chǎn)業(yè)在互聯(lián)網(wǎng)時(shí)代日益形成的安全隱患。

　　入侵

　　“你不要社我啊。”這是一句從事網(wǎng)絡(luò )安全程序員們的“行話(huà)”。“社”是指社會(huì )學(xué)工程庫，他們把獲取海量的個(gè)人信息稱(chēng)為社會(huì )學(xué)工程分析。

　　在社工論壇上，你可以找到各式各樣的賣(mài)家和買(mǎi)家。他們明目張膽地買(mǎi)賣(mài)各種個(gè)人信息資料，如開(kāi)房資料、考研學(xué)生資料、公積金信息等，一般都是幾十上百萬(wàn)條信息打包出售，他們將這些打包出售的數據庫俗稱(chēng)為“褲子”。

　　而“社”一個(gè)人，則意味著(zhù)在網(wǎng)絡(luò )上挖掘與這個(gè)人有關(guān)的各種資料，通過(guò)不同網(wǎng)站的海量數據，破解密碼、下載資料……

　　一般而言，第一步需要入侵某個(gè)網(wǎng)站的后臺系統。這個(gè)過(guò)程并不復雜，對一個(gè)電腦迷而言，一個(gè)剛入行的中學(xué)生就可能有能力侵入一個(gè)普通網(wǎng)站。

　　大鳥(niǎo)對我們講述了他的故事。第一次學(xué)習黑客技術(shù)是大一的暑假，他花了一個(gè)月的時(shí)間在寢室自學(xué)。不久后，就已經(jīng)可以進(jìn)入學(xué)校網(wǎng)站的后臺了。

　　從這一刻開(kāi)始，數據就有了被泄露的危險。大鳥(niǎo)不會(huì )將數據下載下來(lái)用于己用，僅用來(lái)檢測網(wǎng)站是否存在漏洞，但他告訴21世紀經(jīng)濟報道記者，黑客入侵網(wǎng)站與白帽子檢測網(wǎng)站，在技術(shù)路徑上幾乎是相同的。

　　大鳥(niǎo)不崇拜儀式感，他不喜歡稱(chēng)之為戰斗，但這確實(shí)是一場(chǎng)戰斗，雖然戰利品只是為了滿(mǎn)足一種孩童式的好奇、對技術(shù)偏執的渴望，但把它稱(chēng)之為一場(chǎng)發(fā)生在“入侵者”與技術(shù)“看守者”之間的戰斗或許并不為過(guò)。

　　在大鳥(niǎo)的印象中，記憶最深的一次入侵行動(dòng)是他在正式做一名職業(yè)白帽子之前。那是一次比較復雜的行動(dòng)。大鳥(niǎo)發(fā)現了一家國外網(wǎng)站，對其原代碼十分感興趣，為了看到代碼，他決定“入侵”這家網(wǎng)站。

　　大鳥(niǎo)先找擁有域名的這個(gè)人，查他的信息，發(fā)現此人是外國人。因為不是中國人，所以不能掌握太多他的信息。接下來(lái)尋找這個(gè)域名下的子域名。

　　經(jīng)過(guò)分析，發(fā)現一些子域名放在幾臺普通VPS（Virtual Private Server 虛擬專(zhuān)用服務(wù)器）上，打開(kāi)幾個(gè)頁(yè)面是空的。掃了幾個(gè)端口也沒(méi)發(fā)現端倪，他知道從這幾臺VPS上很難找到問(wèn)題，于是他決定找一下它的VPS提供商。

　　如果拿到VPS提供商的權限，就可以獲取它所有VPS的權限，自然也就獲取了該域名所指向的VPS權限。隨后他發(fā)現這個(gè)VPS服務(wù)商的運維配置有一些問(wèn)題，一步一步滲透下去，最終找到了該VPS提供商所有用戶(hù)控制面板的賬號密碼，最后找到了對應人的賬戶(hù)密碼。

　　拿到用戶(hù)密碼后，大鳥(niǎo)登陸了對方的控制面板。VPS是以控制面板進(jìn)行操作的，進(jìn)入控制面板就可以操控他服務(wù)器上的文件，但是沒(méi)有文件打包編輯功能。最后，大鳥(niǎo)上傳一個(gè)了網(wǎng)頁(yè)后門(mén)，便獲得了它的代碼。

　　經(jīng)過(guò)十分復雜的程序，大鳥(niǎo)獲取了這臺服務(wù)器的權限，順利看到了代碼。

　　或許從技術(shù)上，這并不算很難，但對于大鳥(niǎo)來(lái)說(shuō)，這次“入侵”的復雜性遠遠高于技術(shù)，經(jīng)過(guò)一個(gè)多月的“戰斗”，看到代碼后，他選擇讓自己大睡一場(chǎng)，進(jìn)入冬眠。

　　竊取數據

　　對于白帽子而言，發(fā)現了網(wǎng)站的漏洞，他的工作就接近了尾聲了。可對于黑色產(chǎn)業(yè)鏈（簡(jiǎn)稱(chēng)“黑產(chǎn)”）上的人來(lái)說(shuō)，任務(wù)才剛剛開(kāi)始，他們的目的是拿到數據，進(jìn)而轉化成金錢(qián)。

　　業(yè)內人士透露，黑客的慣用手法有很多種，但路徑上存在相似性：獲得外網(wǎng)服務(wù)器權限、進(jìn)入內網(wǎng)、判斷核心業(yè)務(wù)范圍、獲取核心業(yè)務(wù)服務(wù)器權限，找到數據庫密碼、看到核心數據、下載核心數據、拿到最高權限、抹掉所有痕跡。

　　這是一個(gè)相對理想的操作鏈條，但并不意味所有的黑客都能完成上述步驟，比如“拿到最高權限”并不容易，因此有些黑客下載了所有核心數據，但痕跡仍被記錄。

　　對于目標的尋找，一位接近黑產(chǎn)的人士稱(chēng)，有時(shí)是黑客主動(dòng)尋找“含金量高”的網(wǎng)站，侵入網(wǎng)站，竊取數據。這主要涉及的是一些與金錢(qián)交易有關(guān)的公共服務(wù)行業(yè)，如信用卡或網(wǎng)絡(luò )支付、火車(chē)票購票網(wǎng)站、航空公司購票系統、網(wǎng)絡(luò )購物網(wǎng)站等等。

　　還有一些則是接受定向委托，一般委托方來(lái)自商業(yè)競爭對手，需要獲得競爭對手的客戶(hù)數據，于是雇傭黑客。

　　在進(jìn)入內網(wǎng)時(shí)，有時(shí)候黑客會(huì )直接查看對方的員工信息是否存在泄露，或根據常用密碼top 100來(lái)進(jìn)行測試，如果順利登陸員工賬號，就可以直接進(jìn)入內網(wǎng)。

　　但對于需要核心數據的黑客而言，進(jìn)入內網(wǎng)只是第一步，接下來(lái)，黑客需要對數據進(jìn)行分析，判斷核心數據所在位置，這就需要黑客對該網(wǎng)站的業(yè)務(wù)十分熟悉，甚至熟悉程度要高于網(wǎng)站運維人員，這樣才能判斷核心數據的子域名在哪一個(gè)IP段，進(jìn)而找到核心數據。

　　當然，時(shí)機的選擇十分重要，這一切都要在一個(gè)合適的時(shí)間里進(jìn)行：一個(gè)網(wǎng)站流量大，看守者不容易發(fā)現的時(shí)間。比如，一般的社交網(wǎng)站，上午十點(diǎn)和下午三點(diǎn)比較活躍。在這樣的時(shí)間里“拖庫”相對不易被察覺(jué)。

　　“拖庫”同樣是行話(huà)，意思是將目標數據下載下來(lái)。但在許多時(shí)候，他們并非需要經(jīng)過(guò)復雜的入侵程序獲得數據。因為許多人在不同的網(wǎng)站注冊信息時(shí)，會(huì )使用相同或相似的密碼。因此，這就存在利用“撞庫”的方式獲得更多的數據的可能。

　　2014年底發(fā)生的12306網(wǎng)站用戶(hù)信息泄露的事件，起初就被指是“撞庫”行為，即用戶(hù)的用戶(hù)名和密碼在其他網(wǎng)站泄露了，黑客利用其他網(wǎng)站獲得的用戶(hù)數據包，自動(dòng)登錄另一個(gè)網(wǎng)站，匹配出部分用戶(hù)信息，形成數據庫。

　　不過(guò)，即使是通過(guò)“撞庫”發(fā)生的信息泄露，相關(guān)網(wǎng)站也難脫其責，因為只有存在安全漏洞，網(wǎng)站才可能被“撞庫”。

　　目前，12306網(wǎng)站用戶(hù)信息泄露事件發(fā)生的原因仍不明，官方仍未公布調查進(jìn)展，網(wǎng)絡(luò )也曾一度流傳出泄露不是“撞庫”行為產(chǎn)生用戶(hù)信息泄露的例證。

　　黑色產(chǎn)業(yè)鏈

　　在數據被竊取之后，黑客不一定可以將這些數據銷(xiāo)售出去。職業(yè)“中介”應運而生。黑產(chǎn)鏈條上，有人負責竊取數據，有人專(zhuān)門(mén)從事分銷(xiāo)，尋找目標買(mǎi)家或幫買(mǎi)家尋找黑客。

　　小編試圖尋找這樣的人，于是在一些社工庫論壇注冊，發(fā)帖“雇傭黑客”，并且尋找一些專(zhuān)門(mén)從事數據交易的QQ群。在QQ群搜索功能中，只要輸入“數據買(mǎi)賣(mài)”、“數據交易”等關(guān)鍵字就會(huì )看到有大量的活躍群，它們的名字直白簡(jiǎn)單，一般以“數據交易群”、“淘寶數據交易”等字樣為主。

　　小編偽裝成買(mǎi)家進(jìn)入了其中一個(gè)交易群，并與一位聲稱(chēng)可以提供“進(jìn)線(xiàn)數據（打進(jìn)某個(gè)電話(huà)的數據）”的人進(jìn)行對接。該人士稱(chēng)，自己可以拿到每個(gè)行業(yè)里任意一家企業(yè)的進(jìn)線(xiàn)數據。通過(guò)進(jìn)入機房，實(shí)時(shí)監控撥打該公司號碼的電話(huà)，并將其截取下來(lái)，進(jìn)行銷(xiāo)售。

　　但陌生人的網(wǎng)絡(luò )交易，確保交易安全是個(gè)難題，數據提供方可能提供假數據，而數據購買(mǎi)方也不希望自己的購買(mǎi)行為被記錄下來(lái)。對于這些疑問(wèn)，該人士稱(chēng)，自己可以提供前一天的進(jìn)線(xiàn)數據，并保證數據是一手信息。交易的過(guò)程，需要買(mǎi)家先少量購買(mǎi)，付錢(qián)后再工作，如果買(mǎi)家對第一批數據滿(mǎn)意，再進(jìn)行下一步更多數據的交易。

　　至于交易價(jià)格，該人士說(shuō)，每個(gè)行業(yè)的價(jià)格不同，21世紀經(jīng)濟報道記者問(wèn)到餐飲行業(yè)的某家巨頭企業(yè)，他稱(chēng)這些數據價(jià)格1條10元，而這個(gè)價(jià)格稱(chēng)得上是“不便宜”。

　　數據交易達成的半年內，買(mǎi)家和數據提供商為唯一擁有者，數據商保證不會(huì )泄露給第三方。半年后，數據商就可以將數據打包銷(xiāo)售，但此時(shí)數據已經(jīng)大大貶值，一條的價(jià)格大概是幾毛錢(qián)。

　　這時(shí)候，就產(chǎn)生了“二手數據”，二手數據一般會(huì )倒賣(mài)好幾次，基本已經(jīng)算是“公開(kāi)”信息，這樣的數據在一些社工網(wǎng)站上隨處可見(jiàn)。21世紀經(jīng)濟報道記者潛水幾個(gè)社工論壇多天，發(fā)現每天都會(huì )有幾條數據供應帖發(fā)出，論壇用戶(hù)只需要支付幾個(gè)金幣（一金幣一元錢(qián)）的價(jià)錢(qián)就可以購買(mǎi)到大量數據，有的數據（如個(gè)別企業(yè)內部通訊錄）甚至可以免費下載。

　　另外，在交易群里，經(jīng)常出現一些交易請求，有的在尋找數據商，有的在出售數據。而在QQ群記錄中，21世紀經(jīng)濟報道記者看到其中一條信息，涉及各公司大佬的手機號、郵箱等關(guān)鍵信息，該數據持有者將關(guān)鍵數字抹去，留下QQ號，吸引買(mǎi)家。

　　不過(guò)，擁有這類(lèi)功能的QQ群有很多，21世紀經(jīng)濟報道記者申請進(jìn)入數十個(gè)群，只有一個(gè)通過(guò)了請求。上述知情人士表示，這種情況并不意外。

　　黑產(chǎn)鏈條上的中介人士面貌仍模糊不清。一些接近這些人士的白帽子稱(chēng)，這些人的圈子很小，有些是“老鄉帶老鄉”的方式發(fā)展。而網(wǎng)絡(luò )犯罪呈現的一些特征也印證了這個(gè)特征。2014年12月6日，公安部網(wǎng)絡(luò )安全保衛局法制工作處處長(cháng)李菁菁在一次論壇上介紹，目前我國網(wǎng)絡(luò )犯罪案件地域化明顯，比如廣西南寧QQ好友詐騙、福建安溪網(wǎng)絡(luò )購物詐騙、海南儋州網(wǎng)絡(luò )中獎詐騙等。

　　通過(guò)中國裁判文書(shū)網(wǎng)的公開(kāi)檢索也可以發(fā)現，這些地區相關(guān)案件判決書(shū)數量明顯高于周邊地區。

　　《刑法》第285條規定了非法入侵計算機信息系統罪，通過(guò)已判決的司法案件也可以窺視黑產(chǎn)業(yè)的狀況。2014年1月1日至今，中國裁判文書(shū)網(wǎng)公布了15份非法入侵計算機信息系統罪判決書(shū)，其中除少數目的為買(mǎi)賣(mài)國家機關(guān)證件和事業(yè)單位印章外，大多是為非法獲取、買(mǎi)賣(mài)公民個(gè)人信息。

　　如，2013年3月，1986年出生的陳某和1981年出生的崔某在兩家網(wǎng)絡(luò )游戲公司的系統中植入木馬，下載了幾十萬(wàn)條游戲賬號及密碼，并以1.4萬(wàn)元價(jià)格賣(mài)出，此后這批賬號和密碼又在網(wǎng)絡(luò )“黑市”中被輾轉交易。他們分別被判處有期徒刑4年和2年，并各處3000元和2000元的罰金。

　　不過(guò)，黑市上所出售的個(gè)人信息并非都是來(lái)自非法侵入計算機系統，有些是來(lái)自?xún)炔咳说谋O守自盜，這些案例也并不少見(jiàn)。

　　需求方

　　黑產(chǎn)的形成在于存在強大的市場(chǎng)需求，參與購買(mǎi)數據的最終需求者多種多樣。如，一些商業(yè)機構是強大的需求方，他們?yōu)榱双@取潛在的客戶(hù)資料、了解競爭對手的核心數據，從而從黑市購買(mǎi)數據。還有一些創(chuàng )業(yè)公司，是為了充實(shí)客戶(hù)量，制造“虛假的繁榮”，以吸引風(fēng)險投資。

　　一位業(yè)內人士對21世紀經(jīng)濟報道記者分析了幾起案例，如2014年底，130萬(wàn)考研考生信息泄露。他分析稱(chēng)，許多考研培訓機構需要這些數據，進(jìn)而進(jìn)行精準的市場(chǎng)推廣。

　　與此同理，此前還發(fā)生過(guò)新生兒信息泄露事件。他稱(chēng)，許多母嬰保健機構、培訓機構、奶粉經(jīng)銷(xiāo)商、玩具經(jīng)銷(xiāo)商等各種盈利性組織對此類(lèi)信息都有需求。

　　快遞服務(wù)業(yè)同樣是被黑產(chǎn)盯上的“重災區”。有白帽子對21世紀經(jīng)濟報道記者表示，快遞單號十分容易獲得，只要對網(wǎng)址進(jìn)行修改，就可以看到單號的具體信息。而在一些交易網(wǎng)站上，快遞單號被明碼標價(jià)，幾毛錢(qián)就能買(mǎi)到一個(gè)單號信息。

　　這樣的案例不勝枚舉，交通、醫療、教育、金融服務(wù)、酒店業(yè)、快遞業(yè)等公共服務(wù)行業(yè)機構都掌握了大量的用戶(hù)信息，使之成為其上下游產(chǎn)業(yè)及類(lèi)似機構覬覦的目標。

　　近年來(lái)，還有創(chuàng )業(yè)公司購買(mǎi)數據，迅速做大客戶(hù)群，從而吸引外來(lái)投資。該人士舉例，曾遇到過(guò)一位朋友的創(chuàng )業(yè)公司，通過(guò)購買(mǎi)數據，讓自己的用戶(hù)數據庫看起來(lái)龐大一些。這種情況并不少見(jiàn)。

　　企業(yè)為何“休眠”？

　　在數據泄露的過(guò)程中，數據保管者有著(zhù)不可推卸的責任。

　　烏云網(wǎng)合伙人鄔迪告訴21世紀經(jīng)濟報道記者，幾乎每一個(gè)網(wǎng)站都可能存在漏洞。漏洞是造成泄露的一大因素，烏云網(wǎng)建立的初衷之一就是為了減少因漏洞造成的泄露，在泄露之前對漏洞曝光，并通知廠(chǎng)商及時(shí)修補。

　　鄔迪表示，國內企業(yè)的安全意識并不強，一開(kāi)始，很多企業(yè)在被通知漏洞后會(huì )選擇置之不理，這是造成之后信息被泄露的原因之一。

　　小編梳理了以往發(fā)生的信息泄露事件，一些漏洞引起的問(wèn)題反復出現。

　　如此前被烏云網(wǎng)頻頻爆出漏洞的12306網(wǎng)站，并非首次出現用戶(hù)信息泄露事件，漏洞卻遲遲未修復。

　　再比如， 2014年3月22日，烏云漏洞平臺發(fā)布消息稱(chēng)，攜程系統存在技術(shù)漏洞，可導致用戶(hù)個(gè)人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶(hù)的姓名、身份證號碼、銀行卡類(lèi)別、銀行卡卡號、銀行卡CVV碼以及銀行卡6位Bin（用于支付的6位數字）。而在此之前，攜程信息安全漏洞事件就已經(jīng)多次發(fā)生，其中2014年1月，在被媒體指出儲存信用卡敏感信息存在泄露風(fēng)險時(shí)，攜程網(wǎng)回應稱(chēng)采用的信用卡支付方式符合國際慣例。

　　業(yè)內人士分析，企業(yè)數據安全意識不強、懲處機制的不明是導致企業(yè)在漏洞發(fā)生后沒(méi)有及時(shí)修補的原因之一。

　　另外，數據庫的設計缺陷也是數據可能泄露的原因。一位數據庫的設計人員告訴21世紀經(jīng)濟報道記者，一些公司尋找第三方設計數據庫，確實(shí)存在泄露的風(fēng)險。雙方在合作之前，一般會(huì )簽署保密協(xié)議，但由于設計者可以看到客戶(hù)的核心數據，因此數據是否泄露，不僅要看保密協(xié)議，還要看設計者的人品。

　　一位創(chuàng )業(yè)公司的負責人告訴21世紀經(jīng)濟報道記者，公司的數據庫自己設計，其考量的因素就是擔心核心用戶(hù)數據泄露。

　　政府網(wǎng)站同樣是高危行業(yè)，一位白帽子告訴21世紀經(jīng)濟報道記者，他們一般只去測試省級政府網(wǎng)站的漏洞，更低層級的政府網(wǎng)站漏洞甚至可能找不到負責人。有些網(wǎng)站的技術(shù)水平，在他們看來(lái)根本達不到采購中所需耗費的價(jià)格。

　　相對樂(lè )觀(guān)的是，隨著(zhù)大數據和移動(dòng)互聯(lián)網(wǎng)在各行各業(yè)的深入運用，很多廠(chǎng)商的信息安全意識都在提高，表現之一是在接收到漏洞舉報后大多會(huì )及時(shí)修補。而發(fā)現和舉報漏洞的白帽子人才市場(chǎng)一旦形成，從事黑產(chǎn)的人就會(huì )越來(lái)越少。

　　“讓黑產(chǎn)上的人變成白帽子，這是未來(lái)的方向。”一位白帽子對21世紀經(jīng)濟報道記者說(shuō)。