2019年初,暗网掀起了一波特殊的数据集贩卖浪潮。这次泄露的数据与以往不同,大部分信息属于3-20岁的未成年人。具体来说,就是1998年到2015年间出生的孩子的就诊记录。据相关报道,这波数据来源于一个大型医院网络,骗子声称他们收集了儿科医生办公室的就诊数据。那么,拿到孩子的数据有什么用呢?数据泄露的新趋势——儿童隐私贩卖说到数据泄露,我们本能地将这些事情与成年人联系起来。从客户、消费者、员工到管理者,似乎这只是成年人的事。不幸的是,这种情况并非如此。还存在许多针对儿童的数据泄露事件,并且可能造成更为严重的后果。根据国际计算机科学研究所2018年的研究报告《没人想到孩子吗(Won’t Somebody Think of the Children?)》,市面上至少有一半的Android应用程序涉嫌违反《儿童在线隐私保护法案》(COPPA)。该报告基于对5,855个顶级免费儿童应用程序的自动分析,发现其中大多数可能违反了COPPA,主要是因为它们使用了第三方SDK。更糟糕的是,报告称19%的儿童应用程序通过SDK收集标识符或其他个人身份信息(PII)。报告访问:https://www.petsymposium.org/2018/files/papers/issue3/popets-2018-0021.pdf虽然这份报告主要涉及安卓系统,但iOS平台的手机软件并不太安全。据外媒thenextweb***报道,近日,暗网大量出售儿童隐私数据,正成为数据泄露新趋势。暗网世界,风起云涌。这时候我们就需要先跟不熟悉的读者聊聊,什么是暗网(darkweb)。暗网又称深网,顾名思义,是比普通网络更深的网络,这也意味着它可以更深入地搜索普通网络无法检索到的东西。这里的用户大多使用匿名IP,网络环境更加隐秘、难以破解,完全是互联网世界的一片公海。在这里,漆黑一片,没有天空,没有监督,什么事都有可能发生。这里也出现了各种违法行为。这是人们买卖和泄露被盗信息的地方。网络犯罪分子甚至为此建立了电子商务平台,并以此为生。以前,孩子的数据信息在暗网上是不太好卖的。骗子从富人和在线交易者那里窃取数据,并使用窃取的数据来赚钱,但仅限于成年人。但最近出现了一种新趋势:窃取儿童的数据。据相关报道,儿童数据交易最早出现于2016年初。在一个暗网市场上,儿童社会安全号码(美国社会安全卡上的九位数字)和父母信息的捆绑销售价格低至10美元。由于影响范围较小,这在当时并没有在市场上引起波澜。2017年末,在另一个暗网市场上,正在出售babyfullz数据,广告宣传为“纳税前获取”。fullz是指一个人的完整身份信息,包括姓名、地址、账户对账单、银行卡资料、安全问题答案等。可以说fullz中的每一条数据都是非常重要的。虽然,只有几个月大的婴儿拥有的数据比成人少,但这些数据足以吸引骗子。另一个紧随其后,这是一个令人担忧的迫在眉睫的趋势。文章开头提到的泄露事件发生在2018年底,这次泄露的数据来自一家大型医院网络。诈骗者声称他们从儿科医生办公室收集了就诊数据。通常这些孩子的家庭条件都比较好,孩子能够得到很好的医疗照顾。显然,这些孩子的数据对于骗子来说是致命的。孩子的数据有什么用?这是对儿童数据的严重侵犯吗?一年级数据信息有什么用?不幸的是,它真的很有用!首先,此信息可用于进行税务欺诈。利用儿童税收抵免的形式。或者,犯罪分子可以使用儿童数据来创建所谓的合成身份。传统的身份盗窃利用真实和完整的身份。合成身份采用更灵活的欺诈方法,将不同的身份拼凑成一组全新的身份,其中最重要的是未使用(或未经检查)的社会安全号码,这些号码来自儿童。您会惊讶于人们如何使用具有未成年人社会安全号码的合成身份来申请信用卡,并且一旦该合成身份获得信用额度,他们就可以获得信用卡,使用信用卡并建立起来随着时间的推移债务。孩子们忙于学习以检查他们的信用报告,他们的父母没有意识到需要冻结信用来保护他们孩子的信息。如果你不注意这个问题,直到你的孩子申请学生贷款、拿到第一张信用卡、买第一辆车时,你才会意识到这个问题的严重性。每个经历过信用卡盗窃的人都知道犯罪分子可以在短短几分钟内让他们付出多少代价。让我们想象一下犯罪分子在几年内可以造成多少损失。数据显示,仅在2016年,合成身份欺诈就可能造成60亿美元的经济损失,其中一部分来自儿童数据泄露。2015年11月,玩具制造商vTech宣布其数据泄露影响了全球200,000名儿童。几天后,其新报告称,超过630万儿童的信息实际上已被泄露。就在几周前,我们看到两份报告指责Facebook未能保护儿童数据,包括使用研究软件监视未成年人、故意对良性欺骗视而不见,以及鼓励儿童在未经父母许可的情况下沉迷游戏。2017年,联网玩具CloudPets的制造商SpiralToys遭遇数据泄露,导致超过200万儿童及其父母的语音信息以及超过800,000封电子邮件和密码泄露。2018年5月,家长监控应用程序TeenSafe将孩子的数据存储在两台亚马逊服务器上。由于这些数据没有得到保护,数以千计的账户信息被泄露。其中一台服务器保存了测试数据,而另一台则包含孩子们的AppleID电子邮件地址和密码。不仅是孩子的账号密码,一些家长的苹果账号也可能被泄露。2018年9月,安全研究员NitishShahKrebsOnSecurity访问了一个开放的网络数据库该公司表示,该服务不需要身份验证,允许任何人在MSpy网站上查询***MSpy客户交易记录以及MSpy软件收集的手机数据。此外,近期因YouTube事件闹得沸沸扬扬,也引发了公众对儿童隐私保护的关注。二十三个隐私和儿童保护组织向联邦贸易委员会提交了文件,指控YouTube非法收集儿童数据。所有团体的伞式组织“无商业童年运动”认为,YouTube在未经父母同意的情况下收集13岁以下儿童的数据,违反了(儿童在线隐私保护法)。说了这么多国外的情况,那我国的情况呢?相关数据显示,我国教育APP总量超过7万款,约占全国APP市场份额的10%。在APP类别中排名第一。此类窃取用户隐私的软件猖獗,跟踪用户位置对儿童人身安全构成重大威胁。人工智能时代,智能手表、智能玩具、智能音箱不断涌入市场,这意味着包含大量隐私身份信息的物联网设备将越来越多地走进孩子们的生活。随着用户数据市场的持续增长,制造商、科技公司和广告商正在收集数据以瞄准年轻用户。一旦政府、制造商或科技公司开始收集儿童数据,儿童就会开始面临与成人相同的数据泄露风险和后果。在儿童上网隐私保护问题上,相关隐私保护基本处于空白状态。如何有效保护未成年人的数据隐私是全球面临的重大课题。相关报道:https://thenextweb.com/contributors/2019/02/23/children-data-sold-the-dark-web/
