“潘多拉魔盒”正在全国热销

　　最近一则新闻一个盒子就能获取任意的手机号被报道出来，新闻提到，长沙一家公司正在售卖一个智能盒子，只要手机打开WIFI,在这个盒子周围100米范围内，任意手机号都可以被轻松获取。 今天，妮美就带大家一起来了解下这个黑科技（产）盒子。 本以为已被新闻报道，再加上涉及贩卖隐私，查询时应该会费番周折，甚至怀疑这公司可能已经被警方端掉了。可没想到的是，输入这家公司名字后，第一个出来的就是它的官网，还做了百度推广。 官网的装修也颇为用心，还在发展全国代理商，这作派不像一般搞黑产的。 官网页面下方模糊地展示着各种商标注册证书，一副正经生意的模样。 要是没有看到数据收集栏的线下真实场景，采集Mac地址，无感采集技术内容，我都快要怀疑自己进错了网站。 总之，浏览完官网后，我对这家公司的兴趣进一步增加了。 智能盒子的真面目 从官网看，这家公司经营的主要产品是70度大数据营销平台，具体如下： 介绍中的数据挖掘、app定向等词让产品非常高端、耀眼，可跟智能盒子的关系却一点看不出来。为了解更多内容，我以业务需求为由，联系了该公司业务员。 业务员告诉我，该公司的主要产品就是智能盒子，官网的宣传内容都是基于盒子的营销服务。之后给我介绍了智能盒子的相关信息。 智能盒子是什么 智能盒子鼠标大小，可随身携带，连接Wi-Fi和移动电源就能使用，主要用来搜集mac地址。 在运行中的智能盒子 智能盒子的使用 该业务员对我讲到，只要手机使用者打开WIFI功能或者数据流量，都能够通过智能盒子采集到该手机的mac地址，之后通过后期技术手段进而分析出该mac地址所对应的手机号码。 智能盒子的市场需求 有了客户手机号码，可以运作的内容就很多了，比如给客户发信息，打推广电话，发送广告推送，开展各种营销活动。 正在装箱打包的盒子 介绍完之后，他力邀我到他们的公司实地考察，测试，并希望发展我成为区域代理，不难看出，他对自己公司的产品和未来还是相当自信。 背后技术原理 仅仅只是带手机在外面逛了一圈，还来不及施展任何操作，信息就已经了。相信大家心里免不了有一丝慌张，也一定好奇，这个小小的智能盒子究竟是怎么实现他的这些功能的？我们一起来看看。 第一步：用盒子获取mac 地址 mac地址：手机mac地址就是手机网卡地址，是唯一的，换句话说，就是手机的身份证号。 只要你打开Wi-Fi，你的设备自己就在mac地址，这是Wi-Fi协议802.11，而智能盒子就是一个WIFI探针，实现这个成本极低。 至于通过数据流量获取mac地址，因为伪基站涉嫌违法，所以他们的业务员一再否认没有伪基站，但打开流量就能获取mac地址，除了基站还舍谁呢。伪基站我们已介绍过，点击可查看。 第二步：Mac地址匹配手机号码 拿到mac地址后，又如何获得使用者的手机号码，官网的一句话解释是自建数据库资源匹配。那问题来了，自建的数据库是从哪里得来数据呢？可能性最大的数据来源有两种： 一是运营商的信息泄漏。运营商会记录每个用户的mac地址,在有需要的时候查询，他们当然也知道你的手机号，因此他们是最完备的数据来源。 二是app信息泄漏。现在app基本都是用手机号注册，下载之后，很多app都会默认获得你的mac地址。这些资源，除了我们已知的在暗网售卖的各种明码实价的信息，还有众多的内部信息泄漏渠道。 第三步：利用手机号作用户画像 有了用户的手机号码，就可以拿着这些号码去尝试注册各种网站，只要提示已注册，那么你就是这个网站的受众，再给你打上母婴、英语这些特征标签，完物画像。这也是REG007（查找你注册过什么）这些网站的原理。 REG007网站 在REG007搜索任意手机号 经过这么一分析，我们就不难发现在用智能盒子搜集mac地址的背后就是集合拖库、洗库、撞库三部曲的一条信息贩卖链。只是这个案例中，通过线下采集，精准收集了人物的信息。 正规生意？ 智能盒子与一般黑产手段最大的不同点就在于，用户手机号码是加密给到客户的。 我们不会给你完整的手机号码，你只是有一个加密的联系方式，业务员小哥对我着重强调到，给你完整的号码涉嫌用户隐私是违法的。 只要加密就不涉及违法，这便是他们如今企业化、规模化的底气所在。 若真如他所说，这个设置实在是妙。从市场角度看，没有给出客户信息就可以商家持续的依赖企业，另一方面又能钻法律的，一举两得。 信息被如此大规模，真的不涉及违法吗？ 侵害隐私权的定义：以非法方式公开，知悉，收集和刺探，利用他的个人隐私，信息或者活动的空间范围。 为此我咨询了相关法律人士，有两种不同观点： 一方认为确实不算隐私权。侵害隐私权是只针对特定人。售卖加密的联系方式，行为实施时人并不具体化，不能以侵害具体隐私权论。 另一方认为应该界定为个人的隐私。加密的联系方式既然能直接联系到个人，那么它也就具备了一些个人信息的意味。同一个加密信息，只对应一个人，有特定性。 长期服务于网络安全领域的王律师告诉我：此案例处在灰色地带，国内个人数据立法还尚需完善，很难判别是否违法。 但欧盟PR《通用数据条例》可以参考。该条例明确表示个人信息数据（包括个人隐私数据）在内的搜集与处理都要获得用户授权，且在授权的目的范围内，应尽可能少地搜集用户数据。此案中，盒子搜集的信息，是否界定为隐私数据并不影响其就是个人信息数据的事实，是必然违反PR的。 听完王律的解释后，我感到十分无力，现在这个盒子还只是被用在市场营销上，但若是不能将其尽快遏制，被一些用在其它途径，比如给周围人发送藏有木马的短信，基于地理精准的电信诈骗，又将会造成多大的安全。况且，加密的手机号是可以被破解的。 售卖加密手机号是否违法，目前还尚有争议。且单就mac地址泄漏而言，是用户为了连接网络主动数据流量/Wi-Fi的，因此泄漏的风险是无法规避的。 从网络诞生以来，用户一直都在隐私和服务之间权衡。得到有价值的服务，注定要承担受到和其它损失的可能，网络世界是无法个人信息绝对安全。 而面对这些灰色、黑色的擦边球区域，法律界定必须越来越细致。所幸的是，除了现行的隐私权条例，国内专门针对个人信息的法律《个人信息保》，已在制订中，将进一步为我们捍卫隐私信息权提供武器。 最后，提醒下各位，以后若是在周围看到白色的小盒子，还请注意关机。