帳號泄露門(mén)，隱私被多次售賣(mài)

　　12月28日消息，從CSDN公告部分用戶(hù)數據遭泄露，到天涯社區承認用戶(hù)賬戶(hù)被泄，用戶(hù)信息泄露成了2011年年終中文互聯(lián)網(wǎng)上最大的話(huà)題。

　　一條隱匿多年龐大產(chǎn)業(yè)鏈被順勢挖開(kāi)，互聯(lián)網(wǎng)上每個(gè)人的數據與隱私最終都被層層盤(pán)剝、打包瓜分，黑客亦是這個(gè)產(chǎn)業(yè)鏈的打工者。

　　中國鷹派聯(lián)盟網(wǎng)的創(chuàng )立者、鷹派代表萬(wàn)濤透露，CSDN這樣的明文庫，如果不是定向銷(xiāo)售，估值也僅會(huì )在數千到幾萬(wàn)元人民幣。整個(gè)產(chǎn)業(yè)鏈并不復雜，但最終被榨取的除了用戶(hù)賬戶(hù)內的有限財富外，還有用戶(hù)本身的隱私和數據。

　　重現個(gè)人隱私全面泄密過(guò)程 可多重盤(pán)剝銷(xiāo)售

　　那么如何由點(diǎn)到面榨干一個(gè)用戶(hù)的最終價(jià)值呢?一位匿名黑客從筆者已被泄露的天涯賬戶(hù)開(kāi)始，理想化的重現了這一過(guò)程：

　　1 在獲取筆者的天涯賬戶(hù)后，黑客首先嘗試了關(guān)聯(lián)的網(wǎng)易郵箱，由于筆者的網(wǎng)易郵箱密碼與天涯賬戶(hù)相同，對方毫不費力進(jìn)入了郵箱。

　　2 進(jìn)入郵箱后，對方獲得筆者歷年來(lái)注冊開(kāi)心網(wǎng)、智聯(lián)招聘、中華英才網(wǎng)、前程無(wú)憂(yōu)、快錢(qián)、百度、百付寶、校內、京東、新浪微博的確認郵件。

　　其中智聯(lián)招聘、中華英才網(wǎng)、前程無(wú)憂(yōu)、京東的注冊確認郵件中直接顯示會(huì )員名及密碼。其余幾個(gè)網(wǎng)站除開(kāi)心網(wǎng)及快錢(qián)外均與天涯賬戶(hù)密碼相同。但因開(kāi)心網(wǎng)及快錢(qián)密碼與京東密碼相同，也被猜中，至此以上網(wǎng)站密碼全被攻破。

　　3 通過(guò)前程無(wú)憂(yōu)，獲知筆者QQ號碼，真實(shí)姓名，身份證信息，收入情況和生日等重要信息。

　　4 嘗試破解QQ號碼，盡管筆者的QQ密碼與以上各網(wǎng)站密碼完全不同，但黑客依據真實(shí)姓名全拼、生日、手機和之前各類(lèi)密碼的組合方式，迅速暴力破解成功。進(jìn)入QQ郵箱，獲得筆者在豆瓣、淘寶、網(wǎng)易戰網(wǎng)的注冊確認郵件，暴力破解淘寶及支付寶密碼成功。

　　至此，一個(gè)天涯賬號的泄密變成了一個(gè)自然人從虛擬到現實(shí)全方位的泄密，據匿名黑客介紹，已經(jīng)從筆者身上獲得的信息可以反復銷(xiāo)售數次：虛擬貨幣的賬戶(hù)賣(mài)給專(zhuān)人直接變現;網(wǎng)絡(luò )游戲的賬號賣(mài)給專(zhuān)人將虛擬物品變現;個(gè)人資料賣(mài)給各個(gè)推廣公司、調研機構(根據性別、年齡、收入、地域可賣(mài)給不同行業(yè));私密關(guān)系賬戶(hù)可賣(mài)給騙子集團牟利(QQ、人人網(wǎng)或朋友網(wǎng));天涯及微博早年注冊的ID可賣(mài)給網(wǎng)絡(luò )水軍公司……

　　該匿名黑客稱(chēng)，除非有高價(jià)人肉搜索的單子，否則自己不會(huì )人工去做這些工作。但天涯和CSDN的數據庫曝光太久，恐怕其中大部分人的隱私早已被窺探出售過(guò)。

　　產(chǎn)業(yè)鏈非黑客主導 隱私權不被重視恐難制止

　　在萬(wàn)濤看來(lái)，上面這個(gè)產(chǎn)業(yè)鏈條并非是黑客主導。直接獲取賬號內的虛擬貨幣或盜取賬號只是小買(mǎi)賣(mài)，市場(chǎng)對隱私和數據的需求才是黑客不斷刷庫的主因。在如今的細分市場(chǎng)，隱私買(mǎi)賣(mài)早已泛濫。雖然用戶(hù)可以不斷修改自己的密碼，但郵件、ID與對應的真實(shí)身份等信息永遠不會(huì )改變。

　　他透露，很多國內的數據庫也被賣(mài)到海外，海外也有很多生意被放到大陸，整個(gè)隱私及數據的買(mǎi)賣(mài)都已經(jīng)放在海外，如前兩年被打掉的俄羅斯的RBN，黑色產(chǎn)業(yè)鏈正在云化，而目前治理卻還在強調屬地管理。

　　“有需求就會(huì )有市場(chǎng)”，萬(wàn)濤認為，各大網(wǎng)站一味呼吁用戶(hù)修改密碼是舍本逐末，更多的關(guān)注應該放在個(gè)人隱私的保護，也許相關(guān)部門(mén)明年會(huì )有一輪打擊風(fēng)暴，但治標不治本是運動(dòng)式治理的常態(tài)，隱私法不出臺難以解決問(wèn)題。任何投機者都會(huì )看風(fēng)險成本與收益。

　　據悉，目前個(gè)人信息的司法保護并不完善，僅有2009年通過(guò)的《刑法修正案(七)》有相關(guān)規定。但在實(shí)際操作中卻并未起到對個(gè)人隱私的充分保護，有業(yè)內專(zhuān)家認為，只對隱私信息買(mǎi)賣(mài)產(chǎn)業(yè)鏈的提供方進(jìn)行管制并不治本，必須要對需求方加大監管力度才能真正減少類(lèi)似事件的發(fā)生。

原文轉自：http://kjueaiud.com