Information Security in China


信息安全,也许你从来也没有关注过这个词。又或者信息泄露这件事在你身上从来没有发生过,所以你根本不在乎。

其实,在上大学之前,我和大多数人一样几乎没有去关注过信息安全这个领域。直到上了大学,开始接触计算机相关的知识之后,我开始注重自己的个人隐私,试着在日常生活中尽可能地去保护自己的隐私。我的所有购物平台的收件人没有真名,几乎都是类似于库克之类的名字,我的收件地址都没有具体到几幢几室,所以一般都会被放在丰巢。但是这样做,还有一个非常不妥的地方,那就是你的手机号码必须要填写真实的,否则你搜不到丰巢的取件码。顺丰和京东是我最喜欢的快递公司,当然他们也是快递业内做的最大的,他们的运单上面用户的手机号都不是完整的,如果你平时注意的话,中间都是用 星号 代替的,快递员只能通过虚拟号码来拨打。而别的快递公司的运单上,几乎都是11位完整的电话号码。设想一下,如果小区的清洁人员和某个组织有所合作,每天就是收集垃圾堆里的快递运单上的手机号,那么几乎可以获取到整个小区业主的电话。这看起来似乎是个不太聪明的方法,如果找物业买,可以轻松得到所有的业主信息,据我所知,这样的事情的确在大部分物业都在做这样的事情。除了快递之外,外卖是另一个信息泄露的重要途径,虽然目前的主流外卖平台,饿了么和美团打印的外卖单上都是虚拟的号码,但是外卖单上有个比手机号更重要的信息就是非常具体的地址,我相信没有人会为了保护隐私地址写小区名字,不写几幢几室,然后每次都去小区门口自己拿外卖,这似乎就不能凸显外卖的优势了。注意不要去任何平台购买饿了么年费会员,很有可能会登录你的账号泄露你所有的外卖收货地址。

说完日常生活的快递和外卖,再来说说民宿和酒店,酒店需要登记入住人信息,但是我相信稍高档一些的酒店的信息只是录入系统传给公安。但是民宿呢,在Airbnb和美团等等软件上,在你订购的时候需要填写真实姓名和证件号码。但是奇怪的事情是,当你到了入住那天下午两点,跟房东询问如何入住时,大部分的房东都会要求你拍摄身份证正反面发给他(注意是通过微信的方式)。一般在这种情况下,我是非常反感的,通过微信这样的方式私底下要别人证件。大多数情况下,我会向房东解释,不通过平台是不能够索要身份证件的,有些房东还算好说话,也就不再追究下去了。而有的房东穷追不舍一定要你发给他,这个时候其实你有两个选择,一个简单的选择就是妥协,另一个选择就是坚持自己,那你就只能选择不住,或者就向平台反馈这件事情,但是第二种选择必定会给你带来不少麻烦,如果你选择不住,你得换一个地方,你也不确定你新找的地方是不是还是需要让你发身份证,你向平台投诉,平台客服又得找房东去核实,必然会浪费几十分钟甚至几个小时。回到最前面,如果你妥协了把身份证件发给房东了,你又如何保证房东除了出租民宿之外,还有一份副业会不会就是出售个人身份信息(当然我没有证据,只是恶意地揣测)。

那么除了日常和旅行之外,真的就没有别的信息泄露的途径了吗?真实情况远远不是这样的。在2020年的时候,我在一个群里看到了一个链接,只要打开链接,输入QQ号,就可以知道该QQ绑定的手机号,后来又有了微博号查绑定手机。这就是网上疯狂的8亿QQ和5亿微博,很荣幸我也亲眼见到过这两份数据库。这两份数据库的带来的后果是什么呢,只要QQ和微博是2020年之前注册的,你就可以轻松得到对方的手机号,可以添加微信,通过支付宝转账又可以知道对方的名字,通过手机号和名字又可以知道很多很多信息。这还不是最严重的,再后来我发现,只要通过一个名字就可以知道他的很多信息,包括教育经历等等。经过我的考证,在浙江省内接受过小学、初中、高中或者职校的几乎所有学生,只要通过名字都可以查到姓名、身份证号码、家长名字、家长电话、家庭住址、学校和班级。我有怀疑过是学校的工作人员出卖了数据,后来我否定了这样的想法,很有可能是教育局泄露了这份数据。当然学校也许也在卖,否则你上学的时候你爸妈手机为什么天天会收到培训机构的电话呢,甚至比你还先知道你期中考试考了多少分。

这些都是过去的数据泄露,来讲讲最近的。2022年6月21日,超星学习通1.7亿用户数据泄露,虽然官方否定了这个传闻,但是经过证实,这就是事实,已经有人摆上货架售卖500USDT,在某些地方也已经可以查到这份数据。没用过超星学习通可能不知道这意味着什么,毫不夸张地说,在中国大陆80-90%的高校都在使用超星学习通教学,这就意味着所有正在读书的学生的信息都被泄露了。这份数据包括姓名、学号、性别、手机号和密码。官方轻描淡写地出来辟谣,还说密码是加密的,这个密码的问题之后会讲到。

如果说1.7亿,相比于中国14亿人口来说,不值得一提的话,那2022年7月2日的这个传闻泄露的数据包含10亿多中国公民,包含个人信息、犯罪记录、疫情数据。这是迄今为止中国大陆发生的最大的信息泄露事件。境外网站写的是 Shanghai GOV National Police 的漏洞泄露的数据,目前为得到证实,售价10BTC。结合国内知名黑客 sunwear 的微博来看,应该是真的。

最后我想说说社交账号和密码问题。社交账号上建议,抖音号和微信号不要设置与自己的名字全拼、缩写、生日、手机号、QQ号相关的。抖音个人简介里,尽量不要写自己的微博账号。给别人微信的时候,尽量不要给QQ号或者手机号。支付宝务必关闭手机号搜索。讲讲密码,我相信大部分人的习惯都一样,几乎所有平台的密码都是一样的,而且密码都是ZJL021212,名字缩写加出生日期,或者出生日期加名字缩写。非常不建议采用这样的密码,最好是和你本人的个人信息没有任何关系的密码。如果不涉及财产的网站和软件,可以采用相同的密码,当然最好是每个平台都不一样,但是这样记密码的成本太高。请务必不要相信学习通所说的密码加密就不会被泄露。就举个例子,MD5加密,这样的加密方式设计的时候就是不可逆的,例如12345,加密后是827ccb0eea8a706c4c34a16891f84e7b,你如果想知道827ccb0eea8a706c4c34a16891f84e7b的明文是什么,必须要123、1234、12345这样子的明文一个一个加密之后去比对,看似天衣无缝的加密算法,实际上目前MD5密文几乎都可以用彩虹表破解。所以加密后的密码被泄露也不一定是安全的。

最后的最后,希望中国能再多一些网络安全专家,希望我们每个人的隐私都能被好好地保护起来。

以上信息不一定都是真实的,很多来自互联网,请理性看待。