新的买主中,职业骗子占了大多数。
谁泄漏了个人隐私信息:教育机构信息安全投入不足
关于这些个人隐私数据的来源,绝大多数卖家都不愿透露。
有一位卖家称,他们获得电话号码的其中一个来源,是通过财经网站提取的。
李铁军解释,这可能是通过一个程序,只要用户登录这个网站,电话号码就会被抓取,但这些电话号码绝大多数不是实名的。
前述卖家还透露,其出售的数据的另一个来源是,自己去“开发”。这个所谓“开发”,正是向银行、证券公司、大型门户网站、购物网站等机构里的个人去购买。
不过该卖家称,现在这样的渠道越来越难了。
除了上述渠道,李铁军告诉澎湃新闻记者,黑客正成为泄漏个人信息产业链上最大一环,一部分黑客开始专门倒卖各种数据,一些教育机构、医疗机构的数据往往很容易被盗取,因为这些机构的业务现在与互联网的结合很紧密,但这些机构在国内一直是比较缺钱的部门,而做好信息安全需要比较大的投入,其在选择安全方案上就受限,这还包括后续的投入和维护,所以这些机构面临掌握了大量信息,但安全方面却是做得不够。
按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),当然学校可以根据自己需求提升安全保护等级。
可资对照的是,银行部分系统的最高防护等级为第四级。
“另外一个情况是,这些教育机构网站存在的漏洞并不高深,很容易被入侵“,李铁军表示。
上述资深计算机技术人员也表示过,其了解到,一个黑客团队几分钟内绕过某市教育局的网站防火墙进入后台。
监管缺位:防范仍只能靠个人
那么,问题这么多,监管去哪儿了。
关于个人隐私泄漏带来的损失甚至灾难,一位地方经侦警官表示很无奈,他们很理解也很同情受害者,但他们对这类案件也很苦恼,有时候牵涉金额不大,但案件的调查却很复杂,一方面涉及查案侦查地域范围会很广,另一方面一些零碎案件可能要积累到一定时候才一起侦办,对他们来说,精力很有限,不太可能到处去灭火。
这名警官认为,如果不从根本上解决问题,很难通过公安、司法机构来减少案件的发生。
据光明网报道,北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的网络诈骗全民举报平台——猎网平台于去年底发布的《现代网络诈骗产业链分析报告》初步统计,在中国,从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。
李铁军直言,现在中国个人信息泄漏正面临失控的危险,每个人都不安全,但这个系统的改善需要花的时间会非常长,包括国家相关法律法规的出台、司法机关办案能力是否跟的上、还有管理数据机构能力是否能提升等等,这中间需要花的时间和代价都会很大。
光明网在一篇评论中直言,骗子之所以得手,其“成功”之处远不止于电信主管部门和电信运营商对“骗子专用号段”公然存在的无睹和无视,其他掌握公民个人信息的部门和机构、以及负责审核(骗子开卡)客户信息的相关银行,都不能与此撇开关系。
李铁军提醒,在相关监管完善之前,最主要的防范还是靠自己,尽可能保护个人的信息,“比如在提供个人数据时,只有在那些必须提供个人真实数据的地方提供。”
另外,李铁军还认为,在这些容易泄露信息机构缺乏安全方面的管理人才时,这些机构找是不是可以找专门的第三方安全服务公司,比如现在用的较多的云技术,可以将他们的资料交给专业公司的云服务器托管,这些专业公司被黑客攻陷的可能远要低于他们本身。虽然无法从根本上解决这个问题,但可以安全方面上个台阶。
李铁军,社会不应该通过一个少女的死亡来警醒民众。在法制、网络安全相对滞后的今天,需要改善的地方也有太多,更需要个人清醒认识到这种电信骗局,让悲剧不再发生。
