陌陌、万豪信息泄露事件频频爆出，暗网的锅？

前几日万豪系酒店5亿用户数据泄露风波还未平息，今天挂在微博“陌陌数据暗网出售”的热搜一下又把焦点转移到陌陌的头上了。

据网友爆料，有多达3000万条陌陌用户数据正在暗网上销售，而要价只有区区50美元，折合人民币还不到350元，相当于1000条才一分钱。卖家宣称，这些数据一共31613301条，包含手机号、密码等字段，包括不到1％完全没密码的，去除后也依然有3000多万条。

事实上，从2018年层出不穷的隐私泄露事件来看，暗网在售用户数据的猖獗已到了丧心病狂的地步。

2018年8月28日，媒体报道称，5亿条开房信息泄露，一张“黑客在黑市出售华住酒店集团客户数据”的截图广为流传。

短短3天后，又有媒体报道称，疑似顺丰快递3亿条用户数据泄露，并在暗网公开售卖，售价2个比特币。

而以上的列举，也仅仅只是暗网在售泄露数据的冰山一角而已。

暗网，这个游离于标准互联网和搜索引擎之外的世界。

在《纸牌屋》第二季中，正义记者LucasGoodwin想要查询主人公Underwood的黑历史，他的黑客朋友对其说了下面这句话：

“96%的互联网数据无法通过标准搜索引擎访问，虽然其中的大部分属于无用信息，但那上面有一切东西，儿童贩卖、洗钱、致幻剂、赏金黑客……”。

暗网：信息泄露的元凶

自古以来，有江湖的地方就有利益纷争，有利益的地方就有丑陋黑暗。

事实上，暗网的存在并不是什么新闻。了解它的人醉心于这里的自由放荡。不了解它的人，可能一生都不会踏进这扇门。

那究竟什么是暗网呢？

暗网，是指那些储存在网络数据库里、不能通过普通超链接访问而需要通过动态网页技术访问的资源集合。其运作原则是“洋葱路由”，通过多个不同的分散IP地址重新路由用户的互联网活动，以便掩盖流量最初来自哪台计算机，从而实现网络上的匿名性。

关于暗网的匿名性，就如同电影大师库布里克人生的最后一部作品《EyesWideShut》（大开眼戒）中所描述那样：

无论身份显赫或平庸，从进入古堡的一刻起，都必须头戴面具。而这个古堡在网络世界中的翻版，就是暗网。

就算你会“科学上网”，用谷歌、百度等引擎也绝对搜索不到暗网中那些网站的蛛丝马迹。要进入这个世界，你需要一本特殊的“护照”，你的浏览器也需要学另一种“语言”。因为一旦踏入这些“暗室”，你的相貌、身份、地位、地理位置、联系方式、道德和底线，全部坍缩成一个词——匿名者。

不过，一个意想不到的现实是，暗网这个概念最初是由美国海军作为保护美国在线情报而提出的。

海军研究实验室的两名数学家经过研究，最终在1997年发布了“洋葱路线”项目——现在更为人所知的是Tor。然后，他们将项目部署到公共领域供任何人使用，其给出的理由是，越多的用户使用它，就越难以分辨出美国政府在其中的真实流量。

自此之后，暗网便吸引了越来越多的犯罪活动，同时也吸引了那些需要警惕监控的活动人士或记者，以及在互联网使用中受到限制的的用户。

根据“知道创宇暗网雷达”发布的2018上半年暗网研究报告可以得知，暗网上的网站大致可以分为12大类，分别是商业、个人、社会、其他语言、主机托管、成人、技术、核心网站、通讯、政治宗教、赌博和其他。

TOR暗网网站分类占比情况

而将“其他“类除外，占比最高的便是“商业”网站了，达18.98%，其中包括交易市场，自营商店。

这里的的市场商店可并不是像我们平时所使用的淘宝京东，因为通过对商业费雷网站进行关键词提取发现，这些网络商店的交易品种大多是信用卡、枪支、毒品、护照、电子产品、伪钞、欧元票据、亚马逊礼品卡、解密服务、比特币洗钱服务，甚至还有杀手服务！而近期频频泄露的数据便是在这个商业类的中文暗网网站标价出售。

不难看出，信息泄露的主要元凶就是暗网这一灰色地带。

监守自盗：员工是信息泄露的另一个缺口

除了暗网是泄露信息的主要因素之外，内鬼也是泄露信息的另一缺口。

2017年，网上传的沸沸扬扬的京东“50亿信息泄漏案”，嫌疑犯是京东网络安全部员工，其监守自盗，长期与黑客相互勾结。

事实上，在此之前，内鬼勾结地下黑产售卖公司内部数据的案件就屡有发生。

譬如，2013年底支付宝被曝出的20G信息泄露事件，就和其前技术员工李明（音）利用职务之便，勾结地下黑产有关。在物流方面，顺丰快递也曾多次出现内鬼售卖物流信息的案件，其他快递的物流信息也几乎无一幸免地出现在地下黑市。

虽然暗网里有无数的信息交易，可是有一个不容置疑的是：这些信息的来源，并不是什么所谓的黑客大佬，闲得没事做，去盗取的信息，也不是黑客大佬为了钱才去盗的信息。

在笔者看来，理由有二：一是黑客大佬没有那么无聊，会做吃力不讨好的事。二是黑客大佬的出手费是很贵的，他们可以赚到更多的钱，要知道这些所谓的信息即便是在在一手的情况下，其实卖得也是很便宜。

事实上，这些所有的信息，很大一部分全部是来源于内容员工的出售。

随着大数据的来临，导致无数公司一心想着收集无数客户的信息，来此进行大数据分析。最典型的例子就是，几乎是所有的手机APP，全部要通迅录权限、摄像头权限、位置权限等。

这些APP都恨不得要到客户所有的权限，来24小时收集客户的信息，妄想来进行大数据分析大赚一笔。虽然，所有的APP也好，各种公司也好，全部自我鼓吹绝对对客户的信息进行保密，就算是最顶级的黑客也无法盗取任何一点客户的信息。

但事实是，除了自吹自擂的保密大门被黑客从里撬开，其内部员工也在利益面前选择低头，玩起了监守自盗的贩卖游戏。

那么这些被盗取的数据如何变现？

①直接通过暗网黑市卖掉被盗取的数据，出售的信息约多，约新则售价越高。例如盗取华住酒店数据的黑客便是企图使用此途径变现，近50亿数据标价8个比特币，约合人民币30万元。

②把被盗的个人数据制作成一个大型专有数据库，通过贩卖数据库使用权限赚钱。使用盗取的数据实施诈骗，比如大家深恶痛绝的电信诈骗之所以可以准确的知道你的信息，就是因为诈骗犯掌握了黑客盗取的个人信息数据。

③通过盗取的账户密码等信息，登陆个人账户直接盗取账户中的财产。如银行账户、在线支付账户、游戏帐户等等.有关政府军事的数据和大公司的公司电子邮件地址和密码也非常受黑客喜欢。

结语

如今，暗网的无监管状态，已经引起中国和美国政府的重视和合作。

在第三次中美打击网络犯罪及相关事项高级别联合对话成果清单中，明确列出：

双方拟继续侦办网络传播儿童淫秽信息案件，寻求扩大打击利用网络实施犯罪的合作范围，共同打击在暗网市场上销售合成毒品和枪支等非法行为。

虚拟网络并非法外之地，罪恶无论在何处，都不能姑息。针对暗网上隐蔽罪恶的全球行动，才刚刚开始。