更多资讯可登录运营商财经网(telworld.com.cn),也可关注微信公众号tel_world
运营商财经网讯 央视3·15晚会曝光315晚会后,来自于中国电子技术标准化研究院的专家何延哲介绍了整个产业链形成情况,即最大范围内收集信息,然后做全面画像,这样就可以做靶向推向、精准营销的活动。
以下为节目实录:
谢颖颖:但是截取了信息怎么用的,今天我们在这儿做一个实验?这个实验怎么做?
何延哲:这里有个信封,这里面是真实的社保信息,有姓名、身份证号、社保查询密码。您现在手头有这台手机,里面装了一块APP叫社保掌上通,用这个APP查询信封里的数据,我用电脑做监测,看看能不能拿到信封里的数据。
谢颖颖:我们现在用准备好信封里的内容登陆注册一下,看看社保信息怎么跑到他那里去了。我先把信息打开,确实是密封着的。同时请工作人员把手机操作页面投到大屏幕上,让现场观众直观地看到。离您远点,让您看不到我们的信息。我们现在点击进入到社保掌上通的应用程序。大屏幕上也出现了,首先要选取一下这位用户的所在地,我们切换城市,已经切换了,现在进行立即注册,在注册的时候我们能够看到要进行输入社会保障号,也就是18位的身份证号码,输入!
接着现在输入的是姓名,接下来是他的社保卡查询密码,一共是八位数。接下来是我们的注册信息了,登陆密码,然后是他的密码进行确认,八位数。接下来进行的手机验证码,从这个手机当中可以读取到验证码,这个验证码出现了,验证码号码是920990,下一步!已经成功了,我现在登陆我的社保账号,我们能看到社保信息马上就要出来了,账号在输入,输入我的密码,登陆!从大屏幕上大家一会清晰地看到,现在数据读取当中,基本医疗保险、基本养老保险都已经出现了,余额是1200元,累计缴纳了5个月,非常清晰地在手机上很方便地查询到了。但是何专家,我在查询过程当中,你的信息已经截取到了吗?
何延哲:当然,而且问题非常严重,工作人员请把我的屏幕投到大屏幕上。这是刚才抓取的数据包,现在说一下我抓取到的信息,您看看和信封里是不是一致的?这位用户是不是姓李。
谢颖颖:对。
何延哲:他的身份证号后四位是不是0038?
谢颖颖:0038!正确!
何延哲:查询密码后四位是不是4427。
谢颖颖:4427,所有信息怎么都到你那儿去了呢?
何延哲:我们看一下数据包里面信息发送到哪儿了?
谢颖颖:我不是去了社保的官方网站吗?
何延哲:他是发送到了FUDATA.CN,这是一个大数据公司的服务器,根本不是社保的官网。
谢颖颖:可是我刚才是按照那样注册登记的。
何延哲:您的查询密码、敏感信息给到了服务器之后,可以冒充您的身份再去社保的官网拿到数据再反馈给您。这样对用户来讲,就是相当于是正常的一次查询,他感觉不到后台对他的数据做了截取。信息事实上已经泄漏了。
谢颖颖:所以不知道有人冒充身份截取了我的信息,这肯定是违法违规的行为,他们为什么有胆子敢这么做呢?
何延哲:我们看一下,其实他们也挺会打擦边球。比如刚才你点击查询的时候有个同意。有默认同意的查询条款,在此充分有效的不可撤销的民事同意授权使用您的社保账户密码为您提供查询服务。
谢颖颖:这明白着是不合理的条款。
何延哲:不光是这个,其实隐私权政策里面还有这样的条款,您看啊,模拟您登陆学信网、社保、公积金、运营商网站等获取您的个人信息。您如果同意了这样的隐私协议,相当于认可他拿走你的数据,那他拿走之后干的什么就不知道了。看了这样的条款之后还会查询吗?还会使用吗?
谢颖颖:不是官方的自然不信任了,肯定不会使用这样的APP使用。
何延哲:我相信很多人都是这么考虑的。我们看到社保官方的渠道也是通报了这样的APP,就是说没有得到官方的授权,也提醒大家不要下载、不要使用,谨防自己的信息泄漏。比如查社保、公积金、违章、订票,非官方的APP都会截留一些用户的信息。
谢颖颖:看来在数字时代APP强制索权、过度用权的行为还是非常多的,我们呼吁在监管要更多加强才能保护我们每个人的信息安全!
运营商财经网(官方微信公众号tel_world)—— 主流财经媒体,一家全面覆盖科技、金融、证券、汽车、房产、食品、医药及其他各种消费品报道的原创资讯网站。
