SDK收集的用户信息可以详细到什么程度?北京网贷协会数据安全专家韩洪慧表示,“SDK一旦嵌入,如果你注册登录了这个APP,并默认授权,所有的行为数据都能记录,它会在不知不觉中爬取手机通讯录、聊天记录、银行账号的密码口令、短信、通讯录、位置信息等。”
因此,用户授权APP采集个人信息,但往往并不知道自己的个人信息在何时、以何种方式被共享给了第三方SDK。很多APP“隐私政策”的内容关于共享的相关表述中,最常见的是“可能会将用户的个人信息分享给第三方”。但是,几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。
对于个人信息安全的忧虑,折射出的是用户日益敏感的神经,更是用户缺乏对个人数据的知情权和主动权的表现。SDK对于用户来说,犹如一颗隐藏的“定时炸弹”,危险性不言而喻。
SDK提供商泄露和滥用用户信息非常隐蔽,甚至成为了泄露用户隐私的源头之一。
谁窃取了用户隐私?
数腾科技一位销售经理向记者表示,他们有自己特殊渠道去拿取一些数据,其中最为主要的渠道就是通过第三方SDK获取数据。
“这个渠道拿到的数据会更精确,类似漏斗模式,会把数据按照需求进行筛选。比如说网贷行业的用户数据,用户登录XX普惠,使用此款APP就要授权,一旦授权SDK就会收集这个用户的所有登录痕迹。其他消费金融公司如果也使用了这家SDK软件开发包,同样也能共享。”
记者进一步追问具体是跟哪家SDK友商合作时,该经理以“敏感信息”为由拒绝透露。
无法忽视的是,用户个人信息通过网络倒卖非常猖獗。近期记者潜入多个千人QQ群,发现群里不时有人喊单出售来自各行各业的公民个人信息。
记者以买家身份接触了一位QQ名为“空城”的卖家,并提出先测试数据真实性为由,要求对方提供股民个人信息数据。
为证明自己的数据来源,“空城”给记者提供了一张数据来源截图,收集的股民个人信息来自各大证券公司APP,广发证券、中投证券、国泰君安等都中招。
正如“空城”所说,QQ群里的确有部分人在卖数据的时候打着“公司内部信息”旗号公开倒卖数据。“内鬼”监守自盗是个人信息流入黑产的重要渠道之一。可以接触到大量个人信息的职业,并非高门槛,岗位职级也不需要太高,泄露源可能来自各层级。
2020年,公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为,各行业内部都有涉案人员,查获重点行业内部涉案人员500余名,而这不过是冰山一角。
除了“内鬼”泄密,还有通过各种技术手段窃取公民隐私。
在调查采访过程中,黑市数据交易市场非常活跃且采集数据软件五花八门,其中一款名为汇容客的APP,号称“全网最全大数据获客软件”。其销售经理向记者称,“我们这款软件是全自动采集,只要搜索关键词,就能在各大网站、三大地图、三大运营商搜索出你想要的客户资源和群体,不仅是获客功能,我们还能提供营销素材,带货视频等,每档功能都会对应不同价格。”
当记者问及跟哪三大地图合作时,该销售经理称主要是腾讯地图、高德地图以及百度地图,并且是经过授权使用他们的数据接口,并向记者发来跟三大地图运营商盖章的合同协议。
就此记者向百度、腾讯以及高德公司求证是否授权汇容客使用平台用户数据,对方均一致表示不清楚这家公司,也不会将API(数据接口)随意授权。腾讯内部相关人士向记者称,这个章是假的,字体不一样。
为力证此款软件的数据爬取能力,上述销售经理称可以帮忙后台注册后先测试。随后记者下载了此款APP,发现这款软件可以按照地理位置、行业、客户类型等进行搜索,然后导出相应的用户数据,并且一键添加微信。
“因为只是体验所以你不会看到客户手机号,这也是我们公司为了维护其他会员权益。我们会跟一些第三方SDK合作,也会跟一些大的互联网公司进行API数据接口对接,我们跟腾讯、百度、华为、阿里、抖音、快手、美团、饿了么都有战略级合作关系,资源高度整合。”该销售经理称。
记者发现汇容客软件上显示数据来源主要为地图数据、工商数据、抖音、快手、阿里巴巴、美团、饿了么、京东互联网巨头。
针对软件所提及的数据来源,证券时报记者向腾讯、阿里、美团、京东等都一一核实,多数均表示并没有将API数据接口跟名为汇容客的第三方共享,仅快手表示不回应。阿里公关进一步称,集团不可能允许该公司通过API接口爬取调用蚂蚁用户信息,目前已经在深入调查此事。