网络“黑色产业链”调查：快递单号被明码标价

黑色产业链

在数据被窃取之后，黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上，有人负责窃取数据，有人专门从事分销，寻找目标买家或帮买家寻找黑客。

21世纪经济报道记者试图寻找这样的人，于是在一些社工库论坛注册，发帖“雇佣黑客”，并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中，只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群，它们的名字直白简单，一般以“数据交易群”、“淘宝数据交易”等字样为主。

21世纪经济报道记者伪装成买家进入了其中一个交易群，并与一位声称可以提供“进线数据（打进某个电话的数据）”的人进行对接。该人士称，自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房，实时监控拨打该公司号码的电话，并将其截取下来，进行销售。

但陌生人的网络交易，确保交易安全是个难题，数据提供方可能提供假数据，而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问，该人士称，自己可以提供前一天的进线数据，并保证数据是一手信息。交易的过程，需要买家先少量购买，付钱后再工作，如果买家对第一批数据满意，再进行下一步更多数据的交易。

至于交易价格，该人士说，每个行业的价格不同，21世纪经济报道记者问到餐饮行业的某家巨头企业，他称这些数据价格1条10元，而这个价格称得上是“不便宜”。

数据交易达成的半年内，买家和数据提供商为唯一拥有者，数据商保证不会泄露给第三方。半年后，数据商就可以将数据打包销售，但此时数据已经大大贬值，一条的价格大概是几毛钱。

这时候，就产生了“二手数据”，二手数据一般会倒卖好几次，基本已经算是“公开”信息，这样的数据在一些社工网站上随处可见。21世纪经济报道记者潜水几个社工论坛多天，发现每天都会有几条数据供应帖发出，论坛用户只需要支付几个金币（一金币一元钱）的价钱就可以购买到大量数据，有的数据（如个别企业内部通讯录）甚至可以免费下载。

另外，在交易群里，经常出现一些交易请求，有的在寻找数据商，有的在出售数据。而在QQ群记录中，21世纪经济报道记者看到其中一条信息，涉及各公司大佬的手机号、邮箱等关键信息，该数据持有者将关键数字抹去，留下QQ号，吸引买家。

不过，拥有这类功能的QQ群有很多，21世纪经济报道记者申请进入数十个群，只有一个通过了请求。上述知情人士表示，这种情况并不意外。

黑产链条上的中介人士面貌仍模糊不清。一些接近这些人士的白帽子称，这些人的圈子很小，有些是“老乡带老乡”的方式发展。而网络犯罪呈现的一些特征也印证了这个特征。2014年12月6日，公安部网络安全保卫局法制工作处处长李菁菁在一次论坛上介绍，目前我国网络犯罪案件地域化明显，比如广西南宁QQ好友诈骗、福建安溪网络购物诈骗、海南儋州网络中奖诈骗等。

通过中国裁判文书网的公开检索也可以发现，这些地区相关案件判决书数量明显高于周边地区。

《刑法》第285条规定了非法入侵计算机信息系统罪，通过已判决的司法案件也可以窥视黑产业的状况。2014年1月1日至今，中国裁判文书网公布了15份非法入侵计算机信息系统罪判决书，其中除少数目的为买卖国家机关证件和事业单位印章外，大多是为非法获取、买卖公民个人信息。

如，2013年3月，1986年出生的陈某和1981年出生的崔某在两家网络游戏公司的系统中植入木马，下载了几十万条游戏账号及密码，并以1.4万元价格卖出，此后这批账号和密码又在网络“黑市”中被辗转交易。他们分别被判处有期徒刑4年和2年，并各处3000元和2000元的罚金。

不过，黑市上所出售的个人信息并非都是来自非法侵入计算机系统，有些是来自内部人的监守自盗，这些案例也并不少见。

需求方

黑产的形成在于存在强大的市场需求，参与购买数据的最终需求者多种多样。如，一些商业机构是强大的需求方，他们为了获取潜在的客户资料、了解竞争对手的核心数据，从而从黑市购买数据。还有一些创业公司，是为了充实客户量，制造“虚假的繁荣”，以吸引风险投资。

一位业内人士对21世纪经济报道记者分析了几起案例，如2014年底，130万考研考生信息泄露。他分析称，许多考研培训机构需要这些数据，进而进行精准的市场推广。

与此同理，此前还发生过新生儿信息泄露事件。他称，许多母婴保健机构、培训机构、奶粉经销商、玩具经销商等各种盈利性组织对此类信息都有需求。

快递服务业同样是被黑产盯上的“重灾区”。有白帽子对21世纪经济报道记者表示，快递单号十分容易获得，只要对网址进行修改，就可以看到单号的具体信息。而在一些交易网站上，快递单号被明码标价，几毛钱就能买到一个单号信息。

这样的案例不胜枚举，交通、医疗、教育、金融服务、酒店业、快递业等公共服务行业机构都掌握了大量的用户信息，使之成为其上下游产业及类似机构觊觎的目标。

近年来，还有创业公司购买数据，迅速做大客户群，从而吸引外来投资。该人士举例，曾遇到过一位朋友的创业公司，通过购买数据，让自己的用户数据库看起来庞大一些。这种情况并不少见。

企业为何“休眠”？

在数据泄露的过程中，数据保管者有着不可推卸的责任。

乌云网合伙人邬迪告诉21世纪经济报道记者，几乎每一个网站都可能存在漏洞。漏洞是造成泄露的一大因素，乌云网建立的初衷之一就是为了减少因漏洞造成的泄露，在泄露之前对漏洞曝光，并通知厂商及时修补。

邬迪表示，国内企业的安全意识并不强，一开始，很多企业在被通知漏洞后会选择置之不理，这是造成之后信息被泄露的原因之一。

21世纪经济报道记者梳理了以往发生的信息泄露事件，一些漏洞引起的问题反复出现。

如此前被乌云网频频爆出漏洞的12306网站，并非首次出现用户信息泄露事件，漏洞却迟迟未修复。

再比如， 2014年3月22日，乌云漏洞平台发布消息称，携程系统存在技术漏洞，可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin(用于支付的6位数字)。而在此之前，携程信息安全漏洞事件就已经多次发生，其中2014年1月，在被媒体指出储存信用卡敏感信息存在泄露风险时，携程网回应称采用的信用卡支付方式符合国际惯例。

业内人士分析，企业数据安全意识不强、惩处机制的不明是导致企业在漏洞发生后没有及时修补的原因之一。

另外，数据库的设计缺陷也是数据可能泄露的原因。一位数据库的设计人员告诉21世纪经济报道记者，一些公司寻找第三方设计数据库，确实存在泄露的风险。双方在合作之前，一般会签署保密协议，但由于设计者可以看到客户的核心数据，因此数据是否泄露，不仅要看保密协议，还要看设计者的人品。

一位创业公司的负责人告诉21世纪经济报道记者，公司的数据库自己设计，其考量的因素就是担心核心用户数据泄露。

政府网站同样是高危行业，一位白帽子告诉21世纪经济报道记者，他们一般只去测试省级政府网站的漏洞，更低层级的政府网站漏洞甚至可能找不到负责人。有些网站的技术水平，在他们看来根本达不到采购中所需耗费的价格。

相对乐观的是，随着大数据和移动互联网在各行各业的深入运用，很多厂商的信息安全意识都在提高，表现之一是在接收到漏洞举报后大多会及时修补。而发现和举报漏洞的白帽子人才市场一旦形成，从事黑产的人就会越来越少。

“让黑产上的人变成白帽子，这是未来的方向。”一位白帽子对21世纪经济报道记者说。记者 吴燕雨

关键词：虚拟专用服务器，1986年，游戏账号，CVV，网络支付，白帽子，中