網安專家驚爆中國政府人員出售民眾個資 以網路用戶名就可查對方身分
中國近年加強對人民監控,對於蒐集到的龐大個資卻未妥善保管。美國網路安全專家發現,有任職於中國監控機構內部人員參與賤賣國民個資的不法活動,這些個資可能被詐騙集團或惡意跟蹤者利用。
美國《連線》(Wired)雜誌週四(11/21)報導,網路安全公司SpyCloud研究人員發現,有多個在黑市廉價販賣中國公民數據的供應商。這些供應商召募在中國監控機構及政府承包商任職的從業人員,藉由他們存取公家資料庫的權限,任意取得公民資料。
研究指出,這些供應商在Telegram設立群組提供服務,號稱「社工庫」,即社會工程資料庫。任何人只要以加密貨幣或微信、支付寶等支付工具購買點數,或邀請其他用戶加入群組賺取點數,就可搜尋特定人士的個資。
查詢者只要支付少許點數,就能用姓名、電郵地址、電話號碼、甚至微博微信用戶名,去搜尋特定對象的電話號碼、銀行資料、旅館住宿與航班紀錄,婚姻紀錄、車輛註冊資料等。
若要查詢更敏感的資訊,如特定對象的所在位置和護照影像,加付數百美元的費用亦可取得。
SpyCloud研究人員發現,這些資料的來源包括已洩露的資料庫(例如駭客上傳的資料)、商業資料來源、電信公司、銀行,甚至國家監控機構內部人員提供的資訊。
高薪召募中國政府內部人員
在Telegram上,甚至有貼文直接招募來自「公安、民政、銀行」等機構的內部人員合作,並承諾給予每日逾1萬至7萬元人民幣(約4.5萬至31萬元台幣)的高額報酬。
有召募廣告宣稱「已有許多同志和我們穩定合作多年」,以安撫合作對象的疑慮,廣告甚至宣稱提供「完整的風險規避計劃」,支付形式為虛擬貨幣,並提供「混幣」訓練,以協助安全取得報酬。
SpyCloud 研究人員發現,今年稍早,承包中國國安部、解放軍等安全機構網路監控業務的「上海安洵信息」(I-SOON)發生檔案外洩,其中包括員工的對話記錄。有外洩對話紀錄顯示,該公司內部人員出售情報牟利。
SpyCloud研究人員週五將在美國維吉尼亞州阿靈頓市舉行的網戰安全會議發表這項研究。其中一名研究員強生(Aurora Johnson)表示,中國建立了龐大的監控機器,讓政府及相關科技公司許多內部人員擁有不受限制的資料庫存取權限。
她指出,這些人員發現自己在一個經濟和社會流動性不高的體系裡工作,某些人就濫用自己的存取權限,竊取公民個資,在犯罪市場出售。
知情者:「開盒」產業存在已久
曾擔任微博審查員的劉力朋向自由亞洲電台(RFA)表示,這種出售身分資訊的服務稱爲「開盒」,這一產業已存在多年,其資料來源就兩種,「一種是網站資料外洩,因爲(中國)各網站都實名制」,另一種則是「讓內部人員直接去查你。也有那種打包賣出來的,各種變現方法都有」。
劉力朋補充,這種服務「其實就是他們充當仲介,爲你聯繫願意用自己權限去查人的(內部人員),這其實是相當具規模的產業」。
更多太報報導
中國「鹽颱風」駭客入侵震撼華府 白宮召集電信商討論對策
美副國務卿:美中注定是競爭關係 習近平提早讓美警覺中國野心
不顧中國反對 日自民黨下週將首開「亞洲版北約」會議