2019年初,在暗网(dark web)上出现了一波特别的数据集贩卖。
这一次的泄露的数据不同以往,其信息所属者多是3-20岁的未成年人。具体来说是1998年到2015年出生的儿童的就诊记录。
据相关报道,这一波数据来源于一个大型医院网络,诈骗犯声称他们收集了来自儿科医生办公室的就诊数据。
那么,获取儿童的数据到底有什么用?
数据泄露新趋势——儿童隐私贩卖
谈到数据泄露,我们本能就会联想到这些事情发生在成年人身上。从客户、消费者、员工到管理人员,似乎这只与成年人有关。
不幸的是,事实并非如此。大量的儿童数据泄露同样存在,并且可能产生更严重的后果。
根据国际计算机科学研究所在18年的一份研究报告《没人想到孩子吗(Won’t Somebody Think of the Children?)》,市面上起码有过半Android 应用,涉嫌违反了《儿童在线隐私保护法案》(COPPA)。
报告基于对5,855个***的免费儿童应用程序的自动分析发现,大多数可能违反COPPA,主要是因为他们使用第三方SDK。更糟糕的是,报告称19%的儿童应用程序通过SDK收集标识符或其他个人身份信息(PII)。
报告获取:https://www.petsymposium.org/2018/files/papers/issue3/popets-2018-0021.pdf
尽管这份报告主要涉及安卓系统 ,但iOS平台的手机软件也没有安全太多。
据外媒thenextweb***报道,近期,大量的儿童隐私数据已在暗网上售卖,并正成为一种数据泄露的新趋势。
暗网世界,潮流涌动
这时候,我们需要先和不熟悉的读者聊聊,什么是暗网(dark web)。
Dark web,又叫Deep web,顾名思义,是比正常网络更深的一张网,这同时也意味着它能更深入地检索到正常网络检索不到的东西。这里的用户多使用匿名IP和更加隐秘难以破解的网络环境,让其彻底成为互联网世界的一片公海,这里黑灯瞎火、暗无天日、无人监管,任何事情都有可能发生。
这里也因此滋生了各种不合法行为。人们在里面购买、销售和泄露盗取来的信息。网络犯罪分子甚至为此建立了电子商务平台,他们以此为生。
之前,儿童数据信息在暗网上并不怎么好卖。诈骗犯窃取那些有钱人和在网上交易的人的数据,利用盗取来的数据赚钱,但都是与成年人进行经济往来。
但最近,一种新的趋势逐渐出现:窃取来自儿童的数据。
相关报道称,儿童数据买卖***次出现2016年初。在一个暗网市场上,有人将儿童社会安全号码(美国社会安全卡上的 9 位数字)和父母信息捆绑销售,售价低至10美元。由于影响范围较小,这在当时的市场上并没引起波浪。
2017年末,在另一个暗网市场上,有人贩卖婴儿fullz数据,他们打出的广告是“在交税前得到它”。fullz指的是一个人完整的身份信息,包括姓名,地址,账户账单,银行卡数据,安全问题的答案等等。
可以说,fullz里的数据每一条都非常重要。虽然,仅仅几个月大的婴儿的fullz数据比成年人少,但这些数据足够吸引诈骗犯。
很快又出现了另一起,这隐隐出现苗头的趋势令人担忧。
文章开头提到的这起泄露发生在2018年末,这一次的泄露的数据来源于一个大型医院网络,诈骗犯声称他们收集了来自儿科医生办公室的就诊数据。
通常,这些孩子的家庭条件比较好,孩子们能得到很好的医疗照顾。显然,这些孩子的数据对诈骗犯有致命的吸引力。
儿童数据有什么用?
儿童数据泄露这件事很严重吗?一年级学生的数据信息有什么用?
不幸的是,真的很有用!
首先,这些信息可以用来进行税务欺诈,在提交纳税申报表时利用儿童税收抵免。另外,犯罪分子也可以用儿童数据创建所谓的合成身份( synthetic identities)。
传统的身份信息盗窃利用的是真实和完整的身份。合成身份采用更灵活的诈骗手段,将不同的身份信息拼凑成一组完整的新身份信息,其中最重要的就是未使用(或未经检查)的社会安全号码,这些号码来源于儿童。
你会惊讶的发现,人们可以利用带有未成年社会安全号码的合成身份申请信用卡,一旦这个合成身份获得信用额度,那么就可以办信用卡,使用信用卡,然后逐渐积累债务。
而孩子们忙于学习并不会去查看他们的信用报告,他们的父母也没有意识到需要对孩子进行信用冻结来保护孩子的信息安全。
如果都不重视这个问题,那么直到孩子们申请助学贷款,办***张信用卡,买***辆车时,才意识到这个问题严重性。
每一个经历过信用卡被盗的人都知道一个犯罪分子在短短的几分钟内能给他们带来多大的损失。让我们设想一下,几年来犯罪分子能累积造成多大的损失。
数据显示,仅2016年一年,合成身份欺诈可能造成60亿美元的经济损失,其中有一部分来源于儿童数据泄露。
儿童数据泄露大盘点
2015年11月,玩具制造商vTech宣布它的数据泄露影响了全球20万名儿童。几天后,它新发布的报告称实际上有超过630万名儿童的信息被泄露。
就在几个星期前,我们看到两份报告指控Facebook没有对儿童数据进行保护,包括使用研究软件监视未成年人、故意对善意欺骗视而不见、鼓励儿童在没有父母允许的情况下沉迷于游戏。
2017年,联网玩具 CloudPets 的生产商 Spiral Toys 遭遇了数据泄漏事件,泄漏了超过两百万儿童及其父母的语音信息,以及超过 80 万电子邮件和密码。
2018年5月份,TeenSafe 这款家长监管应用,是将儿童的数据存放在了两台亚马逊服务器上,由于这些数据却没有被保护起来,已经有几千个账户信息被泄漏。其中一台服务器保存的是测试数据,而另一台中包含儿童的 Apple ID 邮箱地址和密码,不仅是儿童的账号密码,一些家长的苹果账号恐怕也已经泄露。
用户名,密码,短信和其他更多个人详细信息的负载从运行mSpy的移动设备泄露出来
MSpy 是一款帮助父母对孩子或合作伙伴的电话实施监控的软件,2018年9月份,安全研究员Nitish Shah表示,KrebsOnSecurity访问了一个开放的网络数据库,该数据库不需要身份验证,允许任何人查询MSpy网站上客户交易的***MSpy记录以及MSpy软件收集的手机数据。
此外,近期闹得沸沸扬扬YouTube事件也引起了公众对于儿童隐私保护的重视。
23个隐私及儿童保护团体向FTC提交文件,指责YouTube非法收集儿童数据。无商业化童年运动(Campaign for a Commercial-Free Childhood)组织是所有团体的***,它认为YouTube侵犯了《儿童隐私保护法案》(Children’s Online Privacy Protection Act),未经父母允许收集13岁以下儿童的数据。
说了这么多国外的情况,我国的状况又如何?
相关数据显示,国内教育类APP总量超过7万个,约占全国APP市场份额的10%,其中,家长对于幼教类APP的花费在教育类APP中位居榜首。
这类软件窃取用户隐私的行为非常猖獗,追踪用户位置更会对儿童的人身安全造成显著威胁。
而在人工智能时代,智能手表、智能玩具、智能音箱大量涌入市场,这意味着包含有大量隐私身份信息的物联网设备,将越来越多的进入到儿童的生活中。
随着用户数据市场的不断壮大,制造商、科技公司和广告商正在收集目标年轻用户的数据。一旦政府、制造商或科技公司开始收集儿童数据,儿童就要开始像成年人一样面临数据泄露的风险和后果。而我们在儿童在线隐私保护这一问题上,相关的隐私保护基本处于空白状态。
如何有效保护未成年人数据隐私,这是一个全球共同面临的大课题。
相关报道:https://thenextweb.com/contributors/2019/02/23/children-data-sold-the-dark-web/