当你点击手机链接打开一个看似普通的网站,比如教育培训网、寻医问病网,即使你不曾注册,不曾留下手机号,却仍然很快收到了营销电话。这到底是怎么回事?难道我只浏览一下网站,手机号就泄露了?
卖家称 三大运营商的手机号均可抓取
近日,据《新京报》报道,记者用手机4G网络浏览一个教育项目网站后,接到了该项目招商人员的电话。经过了解,这是一种手机访客抓取技术,手机点进链接的瞬间,后台就能看见手机号码。
随后记者按照抓取系统卖家的指示,使用四台手机分别测试,结果两个手机号被抓取,另外两个未被抓取。卖家还表示,购买抓取系统的客户主要来自房地产销售行业、教育培训行业和医疗行业。
隐私护卫队在某社交平台检索“浏览网站,获取手机号”等关键词,发现了不少出售类似上述服务的卖家。
卖家“小移”表示,只要是中国移动的手机号,无论3G还是4G信号,他都能获取,但是使用联通、电信以及Wi-Fi上网的不行。这是因为他“只有移动的接口”。
购买服务后,“小移”会给购买者开通其平台的一个账号,登录可下载代码。购买者把代码插入网页中,即可实现“获取访客手机号”功能。他特别叮嘱,测试时需把Wi-Fi关掉。
另一位卖家“小马”则表示,他能获取中国联通、中国电信的手机号,“(中国)移动的过段时间就可以。”他也提到,之所以能实现手机号抓取是因为有“运营商内部关系渠道”,还强调“是一手数据”。
不过,“小马”称购买者看到的手机号是“脱敏”的,比如中间四位以*号代替。购买者若想电话联系访客,需借助“小马”的后台进行外呼。“一个号码4.2元,350个号码下发一次”,他说,“正式合作了,每个号码可2.2—1.2元不等。”
任何页面都可以被抓取手机号吗?“小马”称,目前他手上的技术可以抓取所有Http页面,但只能抓取以.com结尾的Https页面。
服务购买者获取手机号后用于精准营销
隐私护卫队搜索“浏览网站,获取手机号”相关词发现,涉及该话题的技术分享、问答贴很多,比如有网友提问“手机访问网页,有没有可能直接获取当前设备的手机号?”,相关服务的售卖也早已出现。
早前就有出售“获取访客手机号”的服务。
事实上,这种行为已经触犯了法律。《中华人民共和国网络安全法》明确规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
公开资料显示,警方曾破获过多起类似案件,相关报道曾提到,泄漏源头可能是运营商提供的手机号查询接口。
2017年12月,据《北京青年报》报道,“获取访客手机号”已形成完整的黑色产业链。违法分子根据运营商手机号查询接口开发出“手机访客营销”平台,并进行业务分销,购买者可在平台看到用户的手机号、搜索的关键词等各种信息,然后对访客进行精准的电话营销。
有专家曾对《第一财经》解释称,网站获取访客手机号可能利用了部分机型的安全漏洞直接获取手机号,也可能是利用了运营商的一些手机号查询接口(漏洞),动态获取用户手机号。
隐私护卫队还就相关问题联系了三大运营商,截至发稿前暂未获得回复。
专家:运营商有漏洞或接口被滥用
如今,“获取访客手机号”的模式再次引起关注,造成用户个人信息泄露的源头究竟是什么?
多位专家向隐私护卫队表示,该模式的实现与运营商的确有很大关系。
从事网站安全防护14年的一诺互联安全技术总监刘巍告诉隐私护卫队,使用手机流量访问网页时,用户的手机号会包含在通信字段中,运营商会对此加密;若想获取手机号,要么是卖家掌握了加密技术,要么是运营商的手机号查询接口被企业或第三方滥用。
IPIP.NET创始人高春辉则表示,现在通信字段中应该默认不包含手机号了,但如果企业有正规业务需求,在考虑安全和用户隐私问题的前提下,运营商可协商配合提供对应方案。
据了解,很多App的“一键登录”功能就使用了运营商提供的“手机号查询”接口。当用户使用运营商的移动数据网络,注册、登录网站或App等客户端时,只需点击“一键登录”功能键,客户端会向运营商提交申请数据,待运营商完成验证、返回用户手机号后,用户便可成功注册或登录。
某网站对“一键登录”的释义图。
“理论上运营商有更安全的配合方案,而不是直接对外提供手机号。”针对“获取访客手机号”问题出现的原因,高春辉表示,目前难以判断是运营商存在漏洞还是第三方滥用运营商提供的接口服务。
为了避免手机号被非法获取,使用Wi-Fi而非移动网络会更加安全吗?
理论上的确是这样。对此,高春辉解释说,通过Wi-Fi发出的网络请求可能存在跨运营商的情况,因此难以获取手机号。