2019年初，在暗網(dark web)上出現了一波特別的數據集販賣。

這一次的泄露的數據不同以往，其信息所屬者多是3-20歲的未成年人。具體來說是1998年到2015年出生的兒童的就診記錄。

據相關報道，這一波數據來源于一個大型醫院網絡，詐騙犯聲稱他們收集了來自兒科醫生辦公室的就診數據。

那么，獲取兒童的數據到底有什么用?

數據泄露新趨勢——兒童隱私販賣

談到數據泄露，我們本能就會聯想到這些事情發生在成年人身上。從客戶、消費者、員工到管理人員，似乎這只與成年人有關。

不幸的是，事實并非如此。大量的兒童數據泄露同樣存在，并且可能產生更嚴重的后果。

根據國際計算機科學研究所在18年的一份研究報告《沒人想到孩子嗎(Won’t Somebody Think of the Children?)》，市面上起碼有過半Android 應用，涉嫌違反了《兒童在線隱私保護法案》(COPPA)。

報告基于對5,855個***的免費兒童應用程序的自動分析發現，大多數可能違反COPPA，主要是因為他們使用第三方SDK。更糟糕的是，報告稱19%的兒童應用程序通過SDK收集標識符或其他個人身份信息(PII)。

報告獲取：https://www.petsymposium.org/2018/files/papers/issue3/popets-2018-0021.pdf

盡管這份報告主要涉及安卓系統 ，但iOS平臺的手機軟件也沒有安全太多。

據外媒thenextweb***報道，近期，大量的兒童隱私數據已在暗網上售賣，并正成為一種數據泄露的新趨勢。

暗網世界，潮流涌動

[[259067]]

這時候，我們需要先和不熟悉的讀者聊聊，什么是暗網(dark web)。

Dark web，又叫Deep web，顧名思義，是比正常網絡更深的一張網，這同時也意味著它能更深入地檢索到正常網絡檢索不到的東西。這里的用戶多使用匿名IP和更加隱秘難以破解的網絡環境，讓其徹底成為互聯網世界的一片公海，這里黑燈瞎火、暗無天日、無人監管，任何事情都有可能發生。

這里也因此滋生了各種不合法行為。人們在里面購買、銷售和泄露盜取來的信息。網絡犯罪分子甚至為此建立了電子商務平臺，他們以此為生。

之前，兒童數據信息在暗網上并不怎么好賣。詐騙犯竊取那些有錢人和在網上交易的人的數據，利用盜取來的數據賺錢，但都是與成年人進行經濟往來。

但最近，一種新的趨勢逐漸出現：竊取來自兒童的數據。

相關報道稱，兒童數據買賣***次出現2016年初。在一個暗網市場上，有人將兒童社會安全號碼(美國社會安全卡上的 9 位數字)和父母信息捆綁銷售，售價低至10美元。由于影響范圍較小，這在當時的市場上并沒引起波浪。

2017年末，在另一個暗網市場上，有人販賣嬰兒fullz數據，他們打出的廣告是“在交稅前得到它”。fullz指的是一個人完整的身份信息，包括姓名，地址，賬戶賬單，銀行卡數據，安全問題的答案等等。

可以說，fullz里的數據每一條都非常重要。雖然，僅僅幾個月大的嬰兒的fullz數據比成年人少，但這些數據足夠吸引詐騙犯。

很快又出現了另一起，這隱隱出現苗頭的趨勢令人擔憂。

文章開頭提到的這起泄露發生在2018年末，這一次的泄露的數據來源于一個大型醫院網絡，詐騙犯聲稱他們收集了來自兒科醫生辦公室的就診數據。

通常，這些孩子的家庭條件比較好，孩子們能得到很好的醫療照顧。顯然，這些孩子的數據對詐騙犯有致命的吸引力。

兒童數據有什么用?

[[259068]]

兒童數據泄露這件事很嚴重嗎?一年級學生的數據信息有什么用?

不幸的是，真的很有用!

首先，這些信息可以用來進行稅務欺詐，在提交納稅申報表時利用兒童稅收抵免。另外，犯罪分子也可以用兒童數據創建所謂的合成身份( synthetic identities)。

傳統的身份信息盜竊利用的是真實和完整的身份。合成身份采用更靈活的詐騙手段，將不同的身份信息拼湊成一組完整的新身份信息，其中最重要的就是未使用(或未經檢查)的社會安全號碼，這些號碼來源于兒童。

你會驚訝的發現，人們可以利用帶有未成年社會安全號碼的合成身份申請信用卡，一旦這個合成身份獲得信用額度，那么就可以辦信用卡，使用信用卡，然后逐漸積累債務。

而孩子們忙于學習并不會去查看他們的信用報告，他們的父母也沒有意識到需要對孩子進行信用凍結來保護孩子的信息安全。

如果都不重視這個問題，那么直到孩子們申請助學貸款，辦***張信用卡，買***輛車時，才意識到這個問題嚴重性。

每一個經歷過信用卡被盜的人都知道一個犯罪分子在短短的幾分鐘內能給他們帶來多大的損失。讓我們設想一下，幾年來犯罪分子能累積造成多大的損失。

數據顯示，僅2016年一年，合成身份欺詐可能造成60億美元的經濟損失，其中有一部分來源于兒童數據泄露。

兒童數據泄露大盤點

2015年11月，玩具制造商vTech宣布它的數據泄露影響了全球20萬名兒童。幾天后，它新發布的報告稱實際上有超過630萬名兒童的信息被泄露。

就在幾個星期前，我們看到兩份報告指控Facebook沒有對兒童數據進行保護，包括使用研究軟件監視未成年人、故意對善意欺騙視而不見、鼓勵兒童在沒有父母允許的情況下沉迷于游戲。

2017年，聯網玩具 CloudPets 的生產商 Spiral Toys 遭遇了數據泄漏事件，泄漏了超過兩百萬兒童及其父母的語音信息，以及超過 80 萬電子郵件和密碼。

2018年5月份，TeenSafe 這款家長監管應用，是將兒童的數據存放在了兩臺亞馬遜服務器上，由于這些數據卻沒有被保護起來，已經有幾千個賬戶信息被泄漏。其中一臺服務器保存的是測試數據，而另一臺中包含兒童的 Apple ID 郵箱地址和密碼，不僅是兒童的賬號密碼，一些家長的蘋果賬號恐怕也已經泄露。

用戶名，密碼，短信和其他更多個人詳細信息的負載從運行mSpy的移動設備泄露出來

MSpy 是一款幫助父母對孩子或合作伙伴的電話實施監控的軟件，2018年9月份，安全研究員Nitish Shah表示，KrebsOnSecurity訪問了一個開放的網絡數據庫，該數據庫不需要身份驗證，允許任何人查詢MSpy網站上客戶交易的***MSpy記錄以及MSpy軟件收集的手機數據。

此外，近期鬧得沸沸揚揚YouTube事件也引起了公眾對于兒童隱私保護的重視。

[[259069]]

23個隱私及兒童保護團體向FTC提交文件，指責YouTube非法收集兒童數據。無商業化童年運動(Campaign for a Commercial-Free Childhood)組織是所有團體的***，它認為YouTube侵犯了《兒童隱私保護法案》(Children’s Online Privacy Protection Act)，未經父母允許收集13歲以下兒童的數據。

說了這么多國外的情況，我國的狀況又如何?

相關數據顯示，國內教育類APP總量超過7萬個，約占全國APP市場份額的10%，其中，家長對于幼教類APP的花費在教育類APP中位居榜首。

這類軟件竊取用戶隱私的行為非常猖獗，追蹤用戶位置更會對兒童的人身安全造成顯著威脅。

而在人工智能時代，智能手表、智能玩具、智能音箱大量涌入市場，這意味著包含有大量隱私身份信息的物聯網設備，將越來越多的進入到兒童的生活中。

隨著用戶數據市場的不斷壯大，制造商、科技公司和廣告商正在收集目標年輕用戶的數據。一旦政府、制造商或科技公司開始收集兒童數據，兒童就要開始像成年人一樣面臨數據泄露的風險和后果。而我們在兒童在線隱私保護這一問題上，相關的隱私保護基本處于空白狀態。

如何有效保護未成年人數據隱私，這是一個全球共同面臨的大課題。

相關報道：https://thenextweb.com/contributors/2019/02/23/children-data-sold-the-dark-web/