2019年初，在暗網(wǎng)(dark web)上出現(xiàn)了一波特別的數(shù)據(jù)集販賣。

這一次的泄露的數(shù)據(jù)不同以往，其信息所屬者多是3-20歲的未成年人。具體來說是1998年到2015年出生的兒童的就診記錄。

據(jù)相關(guān)報道，這一波數(shù)據(jù)來源于一個大型醫(yī)院網(wǎng)絡(luò)，詐騙犯聲稱他們收集了來自兒科醫(yī)生辦公室的就診數(shù)據(jù)。

那么，獲取兒童的數(shù)據(jù)到底有什么用?

數(shù)據(jù)泄露新趨勢——兒童隱私販賣

談到數(shù)據(jù)泄露，我們本能就會聯(lián)想到這些事情發(fā)生在成年人身上。從客戶、消費(fèi)者、員工到管理人員，似乎這只與成年人有關(guān)。

不幸的是，事實并非如此。大量的兒童數(shù)據(jù)泄露同樣存在，并且可能產(chǎn)生更嚴(yán)重的后果。

根據(jù)國際計算機(jī)科學(xué)研究所在18年的一份研究報告《沒人想到孩子嗎(Won’t Somebody Think of the Children?)》，市面上起碼有過半Android 應(yīng)用，涉嫌違反了《兒童在線隱私保護(hù)法案》(COPPA)。

報告基于對5,855個***的免費(fèi)兒童應(yīng)用程序的自動分析發(fā)現(xiàn)，大多數(shù)可能違反COPPA，主要是因為他們使用第三方SDK。更糟糕的是，報告稱19%的兒童應(yīng)用程序通過SDK收集標(biāo)識符或其他個人身份信息(PII)。

報告獲取：https://www.petsymposium.org/2018/files/papers/issue3/popets-2018-0021.pdf

盡管這份報告主要涉及安卓系統(tǒng) ，但iOS平臺的手機(jī)軟件也沒有安全太多。

據(jù)外媒thenextweb***報道，近期，大量的兒童隱私數(shù)據(jù)已在暗網(wǎng)上售賣，并正成為一種數(shù)據(jù)泄露的新趨勢。

暗網(wǎng)世界，潮流涌動

[[259067]]

這時候，我們需要先和不熟悉的讀者聊聊，什么是暗網(wǎng)(dark web)。

Dark web，又叫Deep web，顧名思義，是比正常網(wǎng)絡(luò)更深的一張網(wǎng)，這同時也意味著它能更深入地檢索到正常網(wǎng)絡(luò)檢索不到的東西。這里的用戶多使用匿名IP和更加隱秘難以破解的網(wǎng)絡(luò)環(huán)境，讓其徹底成為互聯(lián)網(wǎng)世界的一片公海，這里黑燈瞎火、暗無天日、無人監(jiān)管，任何事情都有可能發(fā)生。

這里也因此滋生了各種不合法行為。人們在里面購買、銷售和泄露盜取來的信息。網(wǎng)絡(luò)犯罪分子甚至為此建立了電子商務(wù)平臺，他們以此為生。

之前，兒童數(shù)據(jù)信息在暗網(wǎng)上并不怎么好賣。詐騙犯竊取那些有錢人和在網(wǎng)上交易的人的數(shù)據(jù)，利用盜取來的數(shù)據(jù)賺錢，但都是與成年人進(jìn)行經(jīng)濟(jì)往來。

但最近，一種新的趨勢逐漸出現(xiàn)：竊取來自兒童的數(shù)據(jù)。

相關(guān)報道稱，兒童數(shù)據(jù)買賣***次出現(xiàn)2016年初。在一個暗網(wǎng)市場上，有人將兒童社會安全號碼(美國社會安全卡上的 9 位數(shù)字)和父母信息捆綁銷售，售價低至10美元。由于影響范圍較小，這在當(dāng)時的市場上并沒引起波浪。

2017年末，在另一個暗網(wǎng)市場上，有人販賣嬰兒fullz數(shù)據(jù)，他們打出的廣告是“在交稅前得到它”。fullz指的是一個人完整的身份信息，包括姓名，地址，賬戶賬單，銀行卡數(shù)據(jù)，安全問題的答案等等。

可以說，fullz里的數(shù)據(jù)每一條都非常重要。雖然，僅僅幾個月大的嬰兒的fullz數(shù)據(jù)比成年人少，但這些數(shù)據(jù)足夠吸引詐騙犯。

很快又出現(xiàn)了另一起，這隱隱出現(xiàn)苗頭的趨勢令人擔(dān)憂。

文章開頭提到的這起泄露發(fā)生在2018年末，這一次的泄露的數(shù)據(jù)來源于一個大型醫(yī)院網(wǎng)絡(luò)，詐騙犯聲稱他們收集了來自兒科醫(yī)生辦公室的就診數(shù)據(jù)。

通常，這些孩子的家庭條件比較好，孩子們能得到很好的醫(yī)療照顧。顯然，這些孩子的數(shù)據(jù)對詐騙犯有致命的吸引力。

兒童數(shù)據(jù)有什么用?

[[259068]]

兒童數(shù)據(jù)泄露這件事很嚴(yán)重嗎?一年級學(xué)生的數(shù)據(jù)信息有什么用?

不幸的是，真的很有用!

首先，這些信息可以用來進(jìn)行稅務(wù)欺詐，在提交納稅申報表時利用兒童稅收抵免。另外，犯罪分子也可以用兒童數(shù)據(jù)創(chuàng)建所謂的合成身份( synthetic identities)。

傳統(tǒng)的身份信息盜竊利用的是真實和完整的身份。合成身份采用更靈活的詐騙手段，將不同的身份信息拼湊成一組完整的新身份信息，其中最重要的就是未使用(或未經(jīng)檢查)的社會安全號碼，這些號碼來源于兒童。

你會驚訝的發(fā)現(xiàn)，人們可以利用帶有未成年社會安全號碼的合成身份申請信用卡，一旦這個合成身份獲得信用額度，那么就可以辦信用卡，使用信用卡，然后逐漸積累債務(wù)。

而孩子們忙于學(xué)習(xí)并不會去查看他們的信用報告，他們的父母也沒有意識到需要對孩子進(jìn)行信用凍結(jié)來保護(hù)孩子的信息安全。

如果都不重視這個問題，那么直到孩子們申請助學(xué)貸款，辦***張信用卡，買***輛車時，才意識到這個問題嚴(yán)重性。

每一個經(jīng)歷過信用卡被盜的人都知道一個犯罪分子在短短的幾分鐘內(nèi)能給他們帶來多大的損失。讓我們設(shè)想一下，幾年來犯罪分子能累積造成多大的損失。

數(shù)據(jù)顯示，僅2016年一年，合成身份欺詐可能造成60億美元的經(jīng)濟(jì)損失，其中有一部分來源于兒童數(shù)據(jù)泄露。

兒童數(shù)據(jù)泄露大盤點(diǎn)

2015年11月，玩具制造商vTech宣布它的數(shù)據(jù)泄露影響了全球20萬名兒童。幾天后，它新發(fā)布的報告稱實際上有超過630萬名兒童的信息被泄露。

就在幾個星期前，我們看到兩份報告指控Facebook沒有對兒童數(shù)據(jù)進(jìn)行保護(hù)，包括使用研究軟件監(jiān)視未成年人、故意對善意欺騙視而不見、鼓勵兒童在沒有父母允許的情況下沉迷于游戲。

2017年，聯(lián)網(wǎng)玩具 CloudPets 的生產(chǎn)商 Spiral Toys 遭遇了數(shù)據(jù)泄漏事件，泄漏了超過兩百萬兒童及其父母的語音信息，以及超過 80 萬電子郵件和密碼。

2018年5月份，TeenSafe 這款家長監(jiān)管應(yīng)用，是將兒童的數(shù)據(jù)存放在了兩臺亞馬遜服務(wù)器上，由于這些數(shù)據(jù)卻沒有被保護(hù)起來，已經(jīng)有幾千個賬戶信息被泄漏。其中一臺服務(wù)器保存的是測試數(shù)據(jù)，而另一臺中包含兒童的 Apple ID 郵箱地址和密碼，不僅是兒童的賬號密碼，一些家長的蘋果賬號恐怕也已經(jīng)泄露。

用戶名，密碼，短信和其他更多個人詳細(xì)信息的負(fù)載從運(yùn)行mSpy的移動設(shè)備泄露出來

MSpy 是一款幫助父母對孩子或合作伙伴的電話實施監(jiān)控的軟件，2018年9月份，安全研究員Nitish Shah表示，KrebsOnSecurity訪問了一個開放的網(wǎng)絡(luò)數(shù)據(jù)庫，該數(shù)據(jù)庫不需要身份驗證，允許任何人查詢MSpy網(wǎng)站上客戶交易的***MSpy記錄以及MSpy軟件收集的手機(jī)數(shù)據(jù)。

此外，近期鬧得沸沸揚(yáng)揚(yáng)YouTube事件也引起了公眾對于兒童隱私保護(hù)的重視。

[[259069]]

23個隱私及兒童保護(hù)團(tuán)體向FTC提交文件，指責(zé)YouTube非法收集兒童數(shù)據(jù)。無商業(yè)化童年運(yùn)動(Campaign for a Commercial-Free Childhood)組織是所有團(tuán)體的***，它認(rèn)為YouTube侵犯了《兒童隱私保護(hù)法案》(Children’s Online Privacy Protection Act)，未經(jīng)父母允許收集13歲以下兒童的數(shù)據(jù)。

說了這么多國外的情況，我國的狀況又如何?

相關(guān)數(shù)據(jù)顯示，國內(nèi)教育類APP總量超過7萬個，約占全國APP市場份額的10%，其中，家長對于幼教類APP的花費(fèi)在教育類APP中位居榜首。

這類軟件竊取用戶隱私的行為非常猖獗，追蹤用戶位置更會對兒童的人身安全造成顯著威脅。

而在人工智能時代，智能手表、智能玩具、智能音箱大量涌入市場，這意味著包含有大量隱私身份信息的物聯(lián)網(wǎng)設(shè)備，將越來越多的進(jìn)入到兒童的生活中。

隨著用戶數(shù)據(jù)市場的不斷壯大，制造商、科技公司和廣告商正在收集目標(biāo)年輕用戶的數(shù)據(jù)。一旦政府、制造商或科技公司開始收集兒童數(shù)據(jù)，兒童就要開始像成年人一樣面臨數(shù)據(jù)泄露的風(fēng)險和后果。而我們在兒童在線隱私保護(hù)這一問題上，相關(guān)的隱私保護(hù)基本處于空白狀態(tài)。

如何有效保護(hù)未成年人數(shù)據(jù)隱私，這是一個全球共同面臨的大課題。

相關(guān)報道：https://thenextweb.com/contributors/2019/02/23/children-data-sold-the-dark-web/