[[283964]]

我們知道在坐火車或者坐飛機(jī)的時(shí)候需要驗(yàn)證身份，這個(gè)時(shí)候我們會(huì)出示我們的身份證，工作人員核驗(yàn)過(guò)后就可以繼續(xù)出行了，這種形式叫身份驗(yàn)證。

身份核驗(yàn)的權(quán)限最終都來(lái)自中國(guó)公安部，以及有公安部授權(quán)的各個(gè)有資質(zhì)的機(jī)構(gòu)或者企業(yè)。

比如征信公司、酒店、支付公司的商戶入網(wǎng)，金融公司的用戶信息審核等等。

我們可以看出來(lái)，以上的使用場(chǎng)景都是公共服務(wù)領(lǐng)域或者授權(quán)企業(yè)，一般都能理解。

[[283965]]

01.2元查任意身份證

那么突然有一天，有一個(gè)陌生人告訴你，他可以隨時(shí)調(diào)出你的身份證信息，并且還可以拿到你的身份證上對(duì)應(yīng)的照片，以及身份證正反面照。

會(huì)不會(huì)覺(jué)得挺恐怖的，隱私就這么輕易的被泄露了!

當(dāng)然還有更恐怖的，只要你愿意付費(fèi) 2元/條，我可以幫你查全國(guó)任何人的身份證信息，是不是太牛 X 了!

當(dāng)然,有人說(shuō)我就一介草民，身份證信息讓人看到了也沒(méi)啥。

那是你可能還沒(méi)意識(shí)到這個(gè)風(fēng)險(xiǎn)：

• 如果有人以你的身份在各大現(xiàn)金貸公司借了很多錢呢?
• 用你的身份注冊(cè)了手機(jī)號(hào)做詐騙呢?
• 甚至用你的身份做了違法的事情呢?

是不是很酸爽?

公民的身份證信息如果可以隨意被泄露，隱私保護(hù)就無(wú)從談起。

如果不法分子拿到你的身份證信息，就可以依賴身份證信息對(duì)你做大數(shù)據(jù)挖掘，得到更多關(guān)于你的信息。

拿到你的信息越多，可以干的事情就越有把握。

比如精準(zhǔn)營(yíng)銷：xxx先生，你好，您家里是不是有一輛車呢?我是 XX 公司的。。。這類電話接的不少吧。

但這個(gè)事情，過(guò)去其實(shí)就一直在我們的身邊悄悄發(fā)生著。

02.4.68億公民信息泄露

據(jù)央視網(wǎng)報(bào)道，近日江蘇淮安警方依法打擊了 7 家涉嫌侵犯公民個(gè)人信息犯罪的公司，涉嫌非法緩存公民個(gè)人信息 1 億多條。

具體看看報(bào)道中透露的這條信息：

“截至目前，警方共立案?jìng)刹榍址腹駛€(gè)人信息案件29起，抓獲犯罪嫌疑人288人，繳獲公民個(gè)人信息4.68億多條，涉案金額9400多萬(wàn)元。”

中央臺(tái)報(bào)道的視頻如下：

看完之后是不是感覺(jué)很神奇，我們的個(gè)人數(shù)據(jù)就這樣隨隨便便被賣了。

03.數(shù)據(jù)到底是怎樣被泄露的?

2018年4月，江蘇淮安警方在網(wǎng)上巡查時(shí)發(fā)現(xiàn)，有人非法購(gòu)買公民個(gè)人信息，高某覺(jué)察到警方調(diào)查之后，主動(dòng)到警方投案。高某交代，他花500塊錢從網(wǎng)名叫“過(guò)去、將來(lái)”的人手里購(gòu)買了317條公民個(gè)人信息，這些信息包括手機(jī)號(hào)、姓名、身份證號(hào)和家庭地址。

他買這些信息的目的是打電話，給網(wǎng)絡(luò)小貸公司拉客戶。

警方通過(guò)對(duì)QQ、微信等資料的綜合研判，鎖定販賣個(gè)人信息的“過(guò)去、將來(lái)”位置在河南焦作，隨即出動(dòng)警力，將犯罪嫌疑人申某在家中抓獲。

在申某的電腦里，警方查獲公民個(gè)人信息7萬(wàn)多條，這些信息包括公民姓名、身份證號(hào)、地址、電話以及芝麻信用分等。

很多信息顯示推廣來(lái)源為“花錢無(wú)憂”“借點(diǎn)錢”等小貸平臺(tái)。

順藤摸瓜，警方繼續(xù)調(diào)查發(fā)現(xiàn)申某自己不做貸款，他是從別人手里買過(guò)來(lái)以后，然后賺個(gè)差價(jià)。

警方繼續(xù)往上查詢抓捕了申某的上線謝某，根據(jù)謝某的交待，他的信息也是買來(lái)的，他的信息是從網(wǎng)上一個(gè)網(wǎng)名叫“叮咚叮咚”的人買的。

04.警方順藤摸瓜追上線

警方跟著“叮咚叮咚”的線索往上查，發(fā)現(xiàn)“叮咚叮咚”是廣州諾涵科技公司的員工。她販賣公民信息并非個(gè)體行為，而是給公司推廣業(yè)務(wù)。

淮安警方深度研判發(fā)現(xiàn)，廣州諾涵科技公司不只是販賣公民個(gè)人信息，更主要的是在進(jìn)行小額貸款并進(jìn)行軟暴力催收，是一個(gè)組織嚴(yán)密、分工明確、涉案人數(shù)眾多的犯罪團(tuán)伙。

經(jīng)過(guò)周密部署，2018年6月6日，在廣東警方配合下，淮安警方一舉將該公司45名涉案人員全部抓捕。

也就到了我們上面看到視頻的那一幕。

[[283966]]

警方發(fā)現(xiàn)，在廣州諾涵科技公司，一方面賣公民個(gè)人信息牟利，另外一方面公司有“樂(lè)花管家”等多個(gè)小貸平臺(tái)，利用這些公民身份信息推銷貸款、軟暴力催收。

同時(shí)廣州諾涵科技公司還和其它同行公司私下交換數(shù)據(jù)，擴(kuò)大他們公司的用戶數(shù)據(jù)池。并且還開(kāi)發(fā)了爬蟲(chóng)云等軟件從其它小貸公司爬取數(shù)據(jù)。

可以說(shuō)是利用了各種渠道來(lái)獲取公民數(shù)據(jù)，一方面自己用，一方面對(duì)外出售。

05.廣州諾涵科技公司的數(shù)據(jù)從哪里來(lái)?

廣州諾涵科技公司只是一家普通企業(yè)，沒(méi)有獲取身份證驗(yàn)證的相關(guān)權(quán)限，網(wǎng)上爬取以及和同行交換的數(shù)據(jù)畢竟有限。

警方調(diào)查的時(shí)候，在他們販賣的公民個(gè)人信息里，甚至還出現(xiàn)了公民身份證照片信息，有的還是兩三個(gè)月之前才拍照的身份證照片也都有。

于是警方繼續(xù)追查廣州諾涵科技公司的數(shù)據(jù)來(lái)源。

隨著調(diào)查的深入發(fā)現(xiàn)，廣州諾涵科技公司的數(shù)據(jù)是從湖南九象公司的接口獲取，湖南九象公司的數(shù)據(jù)又是從北京黑格科技有限公司獲取的。

北京黑格科技有限公司又是從北京考拉征信服務(wù)有限公司等四家公司購(gòu)買的查詢接口，最終查到了所有數(shù)據(jù)來(lái)源的上線。

拉卡拉是今年剛剛上市的第三方支付公司，北京考拉征信服務(wù)有限公司是拉卡拉公司的子公司。

于是拉卡拉公司的股票，直接就跌停了，多少個(gè)股民就無(wú)意中躺槍了。

目前這整個(gè)一條線上的涉案公司的相關(guān)法定代表人、董事長(zhǎng)、銷售、技術(shù)等人員都被抓捕了。

06.重新捋一下這條線

看了整個(gè)事件的經(jīng)過(guò)，我們可以發(fā)現(xiàn)整個(gè)倒賣過(guò)程中，個(gè)人就倒賣了3次來(lái)自廣州諾涵科技公司的數(shù)據(jù)。而這些數(shù)據(jù)在這之前已經(jīng)被相關(guān)公司在網(wǎng)上倒賣了3次而到廣州諾涵科技公司。為了讓大家看得更明白，我給大家畫一張圖。

從這個(gè)圖我們就很容易看清楚整個(gè)事件：

1. 高某販賣數(shù)據(jù)給公司做營(yíng)銷，他的數(shù)據(jù)是從申某進(jìn)行購(gòu)買的;
2. 申某的數(shù)據(jù)是從謝某購(gòu)買來(lái)的;
3. 泄密的數(shù)據(jù)又是從一個(gè)叫做“叮咚叮咚”的用戶處購(gòu)買;
4. “叮咚叮咚”其實(shí)是廣州諾涵科技公司的員工，他賣數(shù)據(jù)是為了給公司做業(yè)務(wù);
5. 廣州諾涵科技公司的數(shù)據(jù)來(lái)源有網(wǎng)上非法爬取、同行交換、上游公司購(gòu)買;
6. 廣州諾涵科技公司的購(gòu)買數(shù)據(jù)來(lái)自湖南九象公司公司;
7. 湖南九象公司的數(shù)據(jù)又是從北京黑格科技公司購(gòu)買的;
8. 北京黑格科技公司又是從北京考拉征信等四個(gè)公司購(gòu)買的。

也就是說(shuō)本來(lái)公安部給北京考拉征信等有資質(zhì)的公司因?yàn)闃I(yè)務(wù)需要而開(kāi)的權(quán)限，結(jié)果這些公司毫無(wú)顧忌的將這些數(shù)據(jù)經(jīng)過(guò)層層加價(jià)又毫無(wú)限制的對(duì)外出售而轉(zhuǎn)輾到了個(gè)人的手上。價(jià)格也從最初的 0.1 元/條的查詢到了最后的2元/條。整個(gè)鏈條經(jīng)過(guò) 8 層倒賣層層加價(jià)販賣個(gè)人信息。其實(shí)為了利益的最大化，這些公司不僅僅是出賣接口這么簡(jiǎn)單，還有很多其它騷動(dòng)作。

07.企業(yè)的騷動(dòng)作

公安部授權(quán)給企業(yè)一般會(huì)限定場(chǎng)景和權(quán)限，并且這項(xiàng)服務(wù)是收費(fèi)的。比如驗(yàn)證一條用戶信息 0.1 元。這些企業(yè)利用這些接口做風(fēng)控審查，幫助企業(yè)排查風(fēng)險(xiǎn)。

公安部是一家國(guó)家機(jī)構(gòu)，所以它一般只給特別的企業(yè)開(kāi)放，比如說(shuō)金融機(jī)構(gòu)、支付機(jī)構(gòu)等。

那特別小的企業(yè)或者不符合資質(zhì)的企業(yè)如果要用怎么辦，可能就得想其它辦法了。

比如 A 企業(yè)是符合資質(zhì)的，公安部給了它接口后，它有可能還會(huì)再次放給其它企業(yè)來(lái)使用，同時(shí)加價(jià)再收一筆費(fèi)用比如 1 元/條驗(yàn)證。

先說(shuō)兩個(gè)常識(shí)：

公安部授權(quán)給企業(yè)的接口，企業(yè)是沒(méi)有權(quán)限再次授權(quán)給別的公司的。

公安部給企業(yè)的查詢接口只允許進(jìn)行查驗(yàn)，不允許企業(yè)私自保留。

而現(xiàn)實(shí)情況是，絕大部分企業(yè)把這兩個(gè)條件都觸犯了。

其實(shí)不只是北京考拉征信，據(jù)我所知現(xiàn)在仍然有很多的公司在進(jìn)行這個(gè)業(yè)務(wù)，P2P 盛行時(shí)更是泛濫。

很多企業(yè)為了盈利就會(huì)多次倒賣認(rèn)證查詢接口，不但倒賣接口并且還非法緩存用戶信息。

這樣當(dāng)同樣用戶再次查詢的時(shí)候，就省了再次向公安部查詢的費(fèi)用。

再給大家畫個(gè)圖：

正常業(yè)務(wù)是每次用戶調(diào)用的時(shí)候，企業(yè)拿數(shù)據(jù)去調(diào)公安部接口驗(yàn)證信息，最后把結(jié)果反饋給業(yè)務(wù)前端。但是現(xiàn)在企業(yè)為了省錢或者掙更多的錢，私自將用戶認(rèn)證的結(jié)果存了起來(lái)，這樣下次再驗(yàn)證的時(shí)候就直接走自己的數(shù)據(jù)了。如果企業(yè)緩存的數(shù)據(jù)越來(lái)越多，那就等于私建了一份用戶信息檔案，他就可以直接對(duì)外來(lái)放認(rèn)證接口進(jìn)行掙錢了。很多公司以前就都這樣干了，其實(shí)這樣的操作是違法的。

08.非法獲取數(shù)據(jù)都干了什么?

本來(lái)公民身份認(rèn)證服務(wù)是直接服務(wù)于“互聯(lián)網(wǎng)+政務(wù)”，用來(lái)提升政府公共服務(wù)效能，防范欺詐和金融風(fēng)險(xiǎn)的。現(xiàn)在層層加價(jià)后，這些數(shù)據(jù)被小貸公司利用，查詢價(jià)格從源頭的0.1元/條到查詢底層時(shí)可能兩三元/條，整整翻了二三十倍。

身份證照片可以隨意獲取，這為小貸公司實(shí)施“套路貸”犯罪、暴力催收敞開(kāi)了罪惡之門。

催收公司把這些非法獲取的公民身份證照片PS成靈堂照片或者淫穢色情的照片發(fā)給貸款人本人，對(duì)其進(jìn)行威脅。

如果貸款人還不還款，PS照片就會(huì)被小貸公司發(fā)給貸款人的親友、同事、同學(xué)，毀壞貸款人聲譽(yù)，逼迫其還款。

還有就是被用于電信詐騙犯罪中的通緝令詐騙。

本案中，湖南九象信息有限公司還利用爬蟲(chóng)軟件，大量爬取其他小貸公司的公民貸款個(gè)人信息。

包含姓名、身份證號(hào)、住址、電話、芝麻信用分、銀行卡號(hào)、是否逾期還款等。

甚至還有貸款人被迫提供給某一家小貸公司的通話記錄等，形成所謂的“地下征信”。

然后以數(shù)據(jù)形式打包出售，其他小貸公司購(gòu)買后成為是否放貸、放貸多少的風(fēng)險(xiǎn)控制依據(jù)。

公安部針對(duì)此案暴露出的行業(yè)亂象，全面開(kāi)展了打擊整治工作。就出現(xiàn)了剛開(kāi)始的那一幕，警方共立案?jìng)刹榍址腹駛€(gè)人信息案件29起，抓獲犯罪嫌疑人288人，繳獲公民個(gè)人信息4.68億余條，涉案金額9400余萬(wàn)元。

涉案公司非法緩存的公民身份認(rèn)證數(shù)據(jù)現(xiàn)已全部收繳。

同時(shí)堵塞漏洞，“身份核驗(yàn)返照業(yè)務(wù)”接口全部封停。

公安部門會(huì)同中國(guó)人民銀行等部門，加強(qiáng)對(duì)公民身份認(rèn)證服務(wù)、個(gè)人征信服務(wù)的監(jiān)管。

09.最后

國(guó)家整頓整個(gè)行業(yè)是大勢(shì)所趨，之前的互聯(lián)網(wǎng)黑產(chǎn)中夾雜了太多的非法利益，早就應(yīng)該規(guī)范整個(gè)行業(yè)。

互聯(lián)網(wǎng)公司也不是法外之地，請(qǐng)大家且行且珍惜，合法合規(guī)穩(wěn)定前行。

我身邊也有朋友在現(xiàn)金貸公司被公安抓捕的。這位朋友其實(shí)也意識(shí)到了風(fēng)險(xiǎn)，準(zhǔn)備年后跳槽另選擇一家公司，沒(méi)想到?jīng)]過(guò)幾個(gè)月整個(gè)公司就被抓了。

所以我再次提醒大家，未來(lái)對(duì)個(gè)人隱私的重視度會(huì)越來(lái)越高，以前可以做的事情未必現(xiàn)在就可以做，在相關(guān)行業(yè)的朋友們需盡早做選擇。

近期特別是現(xiàn)金貸、小貸公司、大數(shù)據(jù)公司的程序員，如果公司涉嫌違法，最好一天都不要留。

【本文為51CTO專欄作者“純潔的微笑”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)微信公眾號(hào)聯(lián)系作者獲取授權(quán)】

戳這里，看該作者更多好文