在过去几年间,数以千万计的网友隐私信息泄露,不过究竟隐私信息泄露以后会发生什么事情呢?这些信息如果是如何被卖出去的,绝大部分人应该是不知道的。这些被盗的信息记录基本最终都进入到了互联网不为人知的灰色领域内,所谓的黑暗网络(dark web)。
在互联网的灰色领域内,也有类似eBay淘宝这样的市场,这里充斥着人们的个人信息,包括ID、家庭住址、生日等等。国外媒体特别对去年出售的个人信息做了分析,所得信息来自黑暗网络的著名搜索引擎Grams。那么一个被盗的个人信息究竟值多少钱呢?
在Grams大约上万数据中,就能找到超过600则个人信息详单,其中有一些就包含了信用卡信息等等。这些信息标价在不到1美元至450美元之间——由比特币换算而来。每则个人信息中值大约是21.35美元,也就是说一则个人信息平均标价是133元人民币。
虽说这样的情报通常都是非法的,但在黑暗网络世界看来,这样的市场显得非常司空见惯。那些被盗的账户信息,其价格也基于质量、可靠性、稳定性和出售者本身的声望信誉。
在本次分析的这么多数据中,其中发现最昂贵的数据,是来自名叫OsamaBinGraudin的卖家,这份资料标价为454.05美元。此卖家在列表中解释说,这则信息伴有较高的信用度:“此账户建立时间不久,且已有720信用积分甚至更高,没有不良记录,可用于贷款购车购房任何方式。资料中有全名、地址、社会保障号dob,可用于登陆确认信用记录。价格高是因为账户本身已有较高信用积分,你想用多久就可以用多久。”
其中售价排名第二高的标价为248.22美元,其中有美国运通的卡——卖家宣称其额度有10000美元:“下单以后,你就能拥有一个第一手账户信息,来自美国运通,包含完整的信息,如登陆信息的ID、密码、账单信息、名字、地址、城市编号、所在州、电话号码、生日、出生地、社会保险号、母亲婚前姓氏、母亲的生日,信用卡信息则有信用卡号码、过期时间、CVV2号、E-Mail地址、密码等等。”
而那些标价相对低一些的就没有这样的吸引力了,它们可能只有一些比较基本的信息,比如被盗用户的名字、地址、社会保险号,以及母亲婚前姓氏等。在这些资料中,卖家不会对信用积分、额度做保证,有些时候出售的资料甚至是无效的,被卖家标注为“DEAD”,比如那些早就报销的信用卡。比如有一则2美元的信息出售,来自一个叫做“mrq1234”的卖家,他对这则出售的信息是这样描述的:
“这是个DEAD的英国账户资料,请搞清楚你所购买的可能是个无效的卡片信息。这张卡片也有可能有效,但我们无法保证我们提供的信息还有用。对那些如何将这些信息转化为有用信息的人而言,这些信息可能会有用武之地。”
总的来说,包含了信用积分的个人信息一般会更加值钱,而上面这样可能已经无效的卡片信息自然价格就低得多了。
黑暗网络中的市场,和eBay之类的合法市场还有相同点,针对那些卖家是有回馈系统的,也就是所谓的信誉,还有退货政策(虽然绝大部分都会声明不允许退货)。如果你要去逛的话,没有必要知道什么特别的暗语,也不需要什么特别的渠道,消费起来也很方便。比如说在AlphaBay这个市场上,你可以直接点个“Fraud”的按钮,进入子项目“个人信息”或者“CVV & Cards”。
当然在这种黑色交易中,你是没有可能辨别出卖家的身份的,也当然不可能知道这些数据的来源。某些卖家可能会声称,他们的数据来自某些特别的地方(“Limited supply of these ultra fresh Turbo Tax Profile”),或者是说得含糊不清,所以实际上发生不可靠的情况也并不罕见。
比如说6月份的时候,黑市公告板上出现了一份文本文件,据说其中包含美国政府人事管理局的资料记录,其中的数据好像也跟卖家所宣称的一致。不过后来有人发现,这份资料实际上是来自另外一个政府部门。所以说,买家一般没有办法很确切地了解数据来源,也不可能知道卖家的身份,除非卖家被抓。
比如其中有个人2012年被捕,本月早前被判13年有期徒刑,警方获得了他出售非法信息的情报。此人名叫Hieu Minh Ngo,越南人,他手上的2亿条数据记录包含了社会保险号,来自一家名叫Court Ventures的公司,其上属母公司就是Experian。这件事也的确告诉人们,在线上做这种交易是相当赚钱的,通过出售这些资料,他获得了超过190万美元的收入。
每当黑暗网络中的某个类似市场关闭,就会在其他地方再度看到。文末的这张表展示了进行这种交易的两个主要市场每月经手的资料数量有多少。Evolution市场今年3月份遭遇被捕事件以后,其管理员携比特币潜逃,不久以后AlphaBay就开了,而且交易量飙升。