当前位置:新闻 > 社会新闻 > 正文

亚马逊等电商用户信息遭售卖:黑客“撞库”获得(3)

2017-05-17 04:28:19  新京报    参与评论()人

5月10日,当接到新京报记者电话,被告知自己的真实姓名、住址以及购买过什么东西时,家住北京的孙喆丽(化名)第一反应是,遇到骗子了。

孙喆丽的网购信息就是记者花2元钱在上述信息贩子手上买到的,包括孙喆丽的详细购物信息以及她的住址、电话,网购的账号密码。

孙喆丽说,之前确实接到过骗子的电话。“有人打电话自称是客服,跟我说我的商品有问题会退款给我,让我登录支付宝看有没有收到退款,我说没有,他们就问我的芝麻信用,我当时觉得不对劲就把电话挂掉了。”

在孙喆丽和小严遭遇诈骗电话的案例中,对方都准确说出了二人的购物信息以及个人信息。

新京报记者发现,在“AA收购数据”提供的网购信息名单上,大部分用户的账号仍然可以按照其提供的密码登录。新京报记者随机联系了5名用户进行核实,发现名单上提供的个人信息全部属实,而大部分用户完全不知道自己的账号已经被盗取。

被称为“中国黑客教父”的现任益云(公益互联网)社会创新中心创始人万涛告诉新京报记者,网购用户质量高低与否决定了出售数据价格的高低。“质量指的网购商品的客单价,比如衣服等普通物品客单价较低,数据可能就便宜,但如果购买电视、手机等相对贵重的物品,客单价比较高,用户数据的价值也就更高一些。”

据业内人士介绍,根据客单价的不同,网购数据的价位也不同,被倒卖过多次的信息并不值钱,一些历史数据甚至是黑客圈中公开的秘密,价值为零。而没有被用过的“一手”信息则可以卖到几块钱一条。

5月16日,“AA收购数据”还向记者提供了30条苏宁易购的网购数据“样品”。记者发现,这些网购数据从4月27日到5月3日不等,均有账户和密码。记者登录了其中3条网购信息的账户,发现可以登录成功。新京报记者随即拨打了3名用户的电话,3名用户都表示,其电话和姓名均正确,并很疑惑地反问记者,“你是怎么知道我电话的。”

扫号产业链:黑客偷、贩子倒、骗子买

“通过‘扫号撞库’的方式,黑客可以拿到用户在网购平台上的数据,”游侠安全网创始人张百川向新京报记者表示,“而一些平台的用户信息之所以遭到泄露,就是因为缺少对这种‘撞库攻击’的防范。”

关闭