点餐、办卡、订酒店……我的个人信息怎么就被泄露了
消费者在享受数字化时代带来的便利时,个人信息也不可避免地留存在了不同的服务平台上。每年盗取、滥用个人敏感信息的犯罪事件并不罕见,到底是谁在背后收集这些数据?这些数据又是怎么流出的?《财经调查》起底非法贩卖个人信息黑色产业链条。
日常停车竟能暴露公民敏感信息?!
这几年,市场上一种被称为“智慧停车”的新业态应运而生。它依托于物联网和大数据技术,覆盖各种类型的停车场,大大提升了居民出行的便利度。停车信息包括了车辆进入和离开某个地点的完整闭环,属于《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。智慧停车,很智慧,但是够安全吗?
总台记者对北京两个采用了“智慧停车”系统的停车场进行了技术检测。驾驶员将车驶入停车场,远在几公里外的专业技术人员,输入车辆的车牌号后,无需身份验证,轻而易举就获得了车辆所在停车场、车辆入场时间等敏感信息。
在记者采用同样的方式测试第三个“智慧”停车场时,并没有直接显示出车辆的敏感信息,但经过技术专家的辨别,发现该停车场只是没有在前台显示信息,后台实际上有了应答,返回的数据包里同样有着车辆敏感信息。专家告诉记者,这样的招数只能让消费者不能直接看到。但是,不法分子依然能轻易获取这些敏感的个人信息。
2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定↓
犯罪分子利用停车信息追踪社会车辆
违法安装跟踪器 对公民人身安全造成巨大隐患!
犯罪分子的聊天群里每天在滚动发布着各种车辆的实时停车信息,包括了车牌号、停车场具体地址、进场时间等等。
被犯罪分子“盯上”的车辆一旦进入停车场,显示在群里,几十分钟之内,就会被装上GPS无线定位器,强磁吸附且超长待机。
2023年,安徽砀山网警破获了一起非法获取计算机信息系统数据,侵犯公民个人信息的案件。犯罪分子的突破口,就是全国数千个智慧停车服务系统中的数据接口漏洞。据安徽省砀山县公安局网安大队侦查中队中队长余天龙介绍,全国主流的这些停车场系统,它们都有一个问题是任何一个人都可以为任何一个车辆去缴费。通过批量地在这些停车场系统里面进行模拟缴费,获取返回值进行解析,就可以确定某一台车是不是在某一个停车场系统里面。
据警方介绍,不法分子通过互联网接单,帮助客户寻找指定车辆。在实施犯罪的过程中,正是利用了停车小程序数据接口上的漏洞。之后,短则几分钟,贴手就会找到指定车辆,贴上GPS追踪器。据警方资料显示,贴手每贴一辆车能获利800元到1000元。那些位于上游的入侵停车场数据系统的不法分子更是获利不菲。
这起案件中,安徽砀山网警成功打掉了这个非法获取售卖停车数据的犯罪团伙,抓获犯罪嫌疑人32名,查封远程服务器9台、关键脚本程序5套、车辆位置数据50余万条。
芦云律师向记者介绍,案件中犯罪分子的行为涉嫌非法侵入计算机信息系统,或者是非法获取计算机信息系统数据这样的罪名,那么同时也有可能涉嫌侵犯公民个人信息罪。
2024年10月,法院判决该案系列被告人犯侵犯公民个人信息罪,判决有期徒刑二年至四年不等。
点餐、办卡、订酒店……你的个人信息根本藏不住
就连医院验血的结果别人也能随意查看
眼下,骚扰电话和各类骚扰信息一直是困扰广大消费者的一个问题。最值得注意的是这些推销对消费者的选择,也异常精准。中国电子技术标准化研究院网安中心的何延哲表示,问题就出在API上,它也被称为应用程序接口,其中与开放、传输数据相关的则被称为数据接口。
购买机票时,输入起点、终点的输入框就是一个接口。消费者进一步点击某个航班,此时这个网页链接,也是一个数据接口。消费者获得服务的过程就是一个个数据接口通过不断与后台进行数据交互来实现的。专家告诉记者,眼下消费市场上的网站和应用程序上,存在着海量的数据接口。仅一个简单的App应用,平均就拥有成百上千个数据接口,一个小型平台,就可能拥有上万个数据接口。恰恰是这些承载着海量数据流转和交互的数据接口正是不法分子眼中的薄弱环节,也逐步成为他们主要攻击的目标。
记者会同网络安全技术专家,针对不同消费场景中数据接口的使用情况进行了一系列实时测试和深入调查。技术测试分为三步:
测试场景1:咖啡茶饮店的手机点餐
测试结果:专家仅仅使用最基础的解码程序,就轻而易举地从小程序的数据接口返回的数据包中,获取了记者下单消费的完整且没有加密的后台数据。这家咖啡店的网络小程序数据接口授权不严密,导致任意人员能轻易获取该企业数据库中用户的个人信息,比如手机号。
测试场景2:运动健身购买月卡
测试结果:专家仅仅使用最基础的解码程序,就顺利通过了该小程序数据接口的用户身份校验,毫无阻拦地就拿到了完整且未加密的用户信息。这其中包括身高、体重、职业、生日等敏感信息。
测试场景3:生活服务
测试结果:这家企业的小程序接口存在一个非常明显的漏洞:当消费者查询的订单号为空的时候,该接口就会返回数据库中所有订单的信息,这几乎让程序平台里的整个用户信息都存在极大的泄露风险。敏感信息包括手机号、姓名和居住地址。
测试场景4:酒店订房
测试结果:这个小程序的接口虽然做了一定的加密措施,但是由于生成的订单号非常有规律,专业人员可以根据规律构造查询指令,也可以很轻易地查看到指定日期的所有订单信息。
测试场景5:医疗信息
测试结果:该医院的小程序也属于查询接口授权机制不完善。查询所有患者的化验报告应该要管理员权限才能访问,但是通过这个接口,用普通账号也能查询,医院的小程序在权限等级识别上根本就没有设置任何障碍。
- 最近发表
-
- 随机阅读
-
- 山东菏泽鄄城“1·20”较大爆炸着火事故调查报告公布
- 大湾区低空物流航线常态化商业运营“第一飞”亮相
- 切实做到文明养犬依规养犬
- “疆内环起来 进出疆快起来 南北疆畅起来”新疆现代化交通体系加快实现
- A股大涨:沪指涨3.23%报2789.49点
- 广西法院加大打击治理电信网络诈骗犯罪力度
- 中国能建大厦二期项目获评近零碳建筑科技示范工程
- 宁夏加力推动大规模设备更新和消费品以旧换新
- 阿塞拜疆总统:准备就伊朗总统乘坐直升机所发生的事故提供援助
- 坦桑尼亚前外长:从一条铁路,看中非如何共筑友谊之路
- 从“跟随”向“首发”转变 多家外资金融机构持续加码投资中国
- “主动”放弃休年假,能否获得补偿?
- 种族仇恨何时休?美国20岁男子被控教唆仇恨犯罪
- (新春走基层)南航打造近50班“木棉新禧”迎新春主题航班
- 苏州市工业园区一高架今晨发生多车相撞事故
- 烟台黄渤海新区聚集韩国元素 构建“类韩国”特色生态
- 山东以水兴业 实现“美丽河湖”向“效益河湖”蜕变
- 最新研究发现,外来物种比本土物种对极端天气表现出更弱敏感性
- (文化新纪行)杭州河坊街“四拐角”:历史文化名城保护在这里拐弯
- 咽喉痛就是“二阳”吗?专家:大多数是感冒引起咽喉炎
- 热门推荐
-
- 浙江文化观察:文化遗产如何“火”起来?
- 桂林三乡镇降雨量破历史极值 漓江封航天湖景区闭园
- 山西累计培育3500家创新型中小企业
- 南非橄榄球队荣膺南非年度最佳球队
- 首位女国医大师刘敏如谈立夏节气与养生
- 接待游客453.83万人次 江西龙虎山暑期游“成绩单”创新高
- 广东福建沿海等地有较强降水 渤海黄海等海域有大雾
- 浙江衢州小包装制冷剂“出口热” 为海外送“清凉”
- 台湾南部水灾严重 “前瞻计划”被批无效
- 记者调查多家青少年培训机构发现 地下二层办班的多问题也多
- 俄军两架图95战略轰炸机在日本海上空飞行
- 中国驻日本大使吴江浩在日本国际贸易促进协会发表演讲
- 俄常驻联合国代表:西方投入大笔武器资金 挑起核大国冲突
- 福建平潭边检站高效行动 外籍货船“江海达”快速脱困再启航
- 2023年医保目录调整启动 这两类药品依然受政策倾斜
- 西藏那曲市尼玛县发生3.1级地震 震源深度10千米
- 维也纳多边大使中国行:望与中国加强核技术合作
- 专家:熬夜属于2A类致癌物 睡眠是必需品不是奢侈品
- 蓝皮书:中国网络文学海外用户超过1.5亿人
- 近悦远来,安徽做对了什么?