高薪引诱：研究者声称中国数据黑市经营者公开招募政府机构内部人员获取公民和监管数据

《连线》当地时间11月21日刊文称，网络安全公司SpyCloud在Cyberwarcon安全会议上揭露了中国公民数据在黑市上的非法交易情况。研究人员发现，黑市经营者公然招募政府机构内部人员，付费获取监控数据后在网上转售。这些数据包括电话号码、银行信息、酒店和航班记录，甚至位置数据，只需花费几美元的加密货币即可查询。这些服务通过Telegram等消息服务提供，拥有数万名成员，使用积分系统进行交易，客户支付加密货币获取积分，然后兑换数据。SpyCloud指出，这些服务不仅利用被黑客入侵的数据库和商业收集的数据，还涉及科技、电信公司、银行及国家监管机构内部人员提供的信息。黑市广告甚至承诺为内部人员提供高额日薪，以及风险规避计划和加密货币支付方式，以吸引更多内部人士参与。这一现象揭示了中国监控数据的滥用和黑市交易的严重性，对个人隐私和国家安全构成威胁。

长期以来，中国一十多亿人的公民私人数据控制权集中在政府机构手中，对这些数据的管控和利用，充满风险和挑战。另一方面，这些私人信息也可能被泄露到活跃的黑市上——内部人员将自己的访问权卖给任何愿意付钱的骗子或跟踪者。

疑是演讲中的一张图

数据泄露的地下黑市

周五（美国11月22日），在弗吉尼亚州阿灵顿举行的 Cyberwarcon 安全会议上，网络安全公司SpyCloud的研究人员（Kyla Cardona和Aurora Johnson，简介见后面的截图）将发表题为《Flies On The Great Wall: How Insiders Siphon from China's Domestic Surveillance Apparatus》的演讲，计划展示他们对一系列黑市服务的监控结果，这些服务提供廉价且简单的中国公民数据搜索服务。在许多情况下，供应商通过招募中国监管机构和政府承包商的内部人员来获取这些敏感信息，然后不加询问地将访问权转售给在线买家。结果是一个在公众面前运作的生态系统，只需花费价值几美元的加密货币，任何人都可以查询目标个人的电话号码、银行详细信息、酒店和航班记录，甚至位置数据。

疑是演讲的主要内容摘要

Telegram数据经纪服务招聘帖截图。写着“真诚合作，招募公安内部人员”。由SpyCloud提供

演讲者之一，SpyCloud公司的研究人员奥罗拉·约翰逊 (Aurora Johnson) 表示，中国已经建立了这个庞大的监管机构。普通人发现自己在一个经济和社会流动性不大的系统中工作，他们可以不受限制地访问这些信息数据库，这取决于他们在政府或科技公司的工作。所以他们可能滥用这种访问权，在许多情况下是通过窃取数据并将其在犯罪市场上出售。

两位演讲者的简介，可以看出，都是网络安全和开源情报研究的专家，而且履历极为丰富。其中一位堪称中国通。

隐蔽的查询交易

SpyCloud的研究人员重点关注了通过消息服务Telegram的账户提供服务的中文数据供应商，其中包括Carllnet、DogeSGK和X-Ray。这些服务在其Telegram群组中都有数万名成员，它们将自己称为SGK或“社会工程库”，研究人员将其翻译为“社会工程库”——这个名字表明这些服务可能主要由骗子使用。这三项服务都使用积分系统，客户可以通过支付（通常使用加密货币 Tether，但在某些情况下，中国支付服务WePay和支付宝也可以接受）来获得“积分”，或者通过邀请其他客户来赚取积分。然后，客户可以兑现这些积分，根据从姓名或电子邮件地址到电话号码再到中国QQ、微信或微博社交网络上的用户名等标识符进行搜索。

为了回应这些搜索查询，这些服务承诺提供目标的数据和记录，包括电话号码、通话记录、银行账户、结婚记录、车辆登记、酒店预订和无数其他个人信息。SpyCloud研究人员表示，对于数百美元的更高费用，这些服务还提供针对更敏感信息（如护照图像或地理位置记录）的高级搜索，尽管他们只对这些高级搜索进行了有限的实验。其中一些服务特别承诺提供对中国“三大”国有电信公司（中国电信、中国联通和中国移动）数据的详细访问。

《连线》杂志通过Telegram联系了Carllnet、DogeSGK和X-Ray，以及他们声称可以访问其数据的三大中国电信公司，但他们均未回应置评请求。

高薪诱惑寻求合作

在某些情况下，这些服务似乎利用了被入侵的数据库（黑客在网上泄露的数据集合）以及类似于西方数据经纪人提供的商业收集数据源，例如许多免费智能手机应用程序收集的位置数据。但他们似乎还提供来自科技和电信公司、银行和国家监管机构内部人士的信息，甚至公开发布广告，寻求招募这些寻求额外收入来源的组织的工作人员。“真诚寻找公安人员建立合作关系，”Telegram上发布的一则广告写道，由SpyCloud翻译。

这是来自Telegram的一家数据经纪商的帖子的翻译截图，展示了针对目标个人的地理位置跟踪的示例。由SpyCloud提供。

X-Ray Telegram的另一篇帖子邀请“公安、民政、银行”等“内部人员”参与该服务。“我们欢迎具备内部搜索条件的各行各业精英加入我们！”该帖子的翻译写道。

据一则招聘广告称，内部人员每天的薪酬超过1万元人民币（约合1,400美元），而另一则招聘帖承诺的薪酬是这个数字的两倍，并称一些消息来源每天的薪酬高达7万元人民币（约合1万美元）。“与我们合作的同志很多，而且已经稳定合作了好几年，”一则招聘帖写道。为了进一步缓解担忧，该帖承诺“为您提供完整的风险规避计划”。

一则广告暗示，向这些来源支付的费用是以“虚拟货币”的形式支付的，并提供“混币”和其他提款方法的培训，根据SpyCloud的翻译，“这些方法与暗网黑市人员的方法相当”——这表明内部人员很可能以加密货币支付报酬，因为“混币”服务通常用于破解基于区块链分析的加密货币追踪。“你可以安心收款，放心提款，”广告写道。

SpyCloud 究人员认为，考虑到中国的平均年薪（即使是国有IT公司）也只有30,000美元左右，通过出售内部数据访问权来每天赚取近三分之一的年收入（无论可信与否）的承诺具有很强的诱惑力。“这些人不一定是主谋，”约翰逊说。“他们有机会和动机赚点外快。”

网络安全公司SentinelOne的中国政策和网络安全研究员达科塔·卡里 (Dakota Cary) 在查看了SpyCloud的调查结果后表示，在中国持续不断的反腐斗争中，一些政府内部人员利用监管数据牟利是意料之中的事。拥有此类数据的个人在工作中有效地出让他们所拥有的访问权，铤而走险以谋取暴力，这一点也不奇怪。

监管与数据安全的困惑

在研究中，SpyCloud的分析师甚至试图使用基于Telegram的数据经纪人来搜索党政军的某些高级官员的个人信息。这些查询的结果包括这些政府官员和承包商的电话号码、电子邮件地址、银行卡号、汽车登记记录和“散列”口令（这些口令可能是通过数据泄露获得的，受到某种加密形式的保护，但有时很容易被破解）。

在某些情况下，数据经纪人至少会声称会限制搜索，以排除名人或政府官员。但研究人员表示，他们通常能够找到解决方法。“你总能找到另一家愿意进行搜索并获取一些相关文件的服务，”SpyCloud研究员Kyla Cardona说。

结果，正如卡多纳所描述的，这个系统收集了全国每个公民如此庞大而集中的数据，其后果更是出乎意料：这些数据不仅泄露到私人手中，还泄露到那些监管监视者的人手上。

“这是一把双刃剑，”卡多纳说，“这些数据是为他们收集的，也是由他们收集的。但这些数据也可能被用来对付他们。”

抛开SpyCloud公司和演讲者的立场不论，他们调查和披露的地下黑市数据交易和内部人员滥用职权甚至串通黑产出售数据的现象，可能是严重且具有巨大危害性的。这提醒数据安全监管方和数据运营者，既要防止外部攻击造成的数据泄露，还是防控内部威胁造成的泄密。

当地时间11月22日，上述有关中国的那个演讲已经完毕，但会议的官方网站和媒体尚无进一步的信息披露。搜索到两张参会者拍摄的图片。更多相关的视频和演讲资料，静待跟踪观察。

关于Spycloud公司

SpyCloud创立于2016年，领导团队拥有来自财富500强公司、威胁情报供应商、联邦机构和美国国防部的丰富经验。近十年来，SpyCloud已为超过40亿员工和消费者账户自动提供身份威胁保护。公司的重点是使暗网数据可行，以保护企业免受网络攻击、保护员工和消费者身份并简化网络犯罪调查。全球客户（包括超过一半的财富10强企业）都依靠SpyCloud来阻止基于身份的攻击，包括勒索软件、账户接管、会话劫持和在线欺诈。公司的使命是通过自动化解决方案帮助企业打击网络犯罪，让互联网更加安全。公司与客户和合作伙伴一起，致力于终结犯罪分子利用被盗信息牟利的能力。

关于Cryberwarcon 2024

参考资源：https://www.cyberwarcon.com/