趋势网(微博｜微信)讯：数字经济时代中，数据就像石油一样宝贵。个人数据的商业市场已经形成，而那些拥有大量用户数据的公司的价值就会直线上升。与此同时，一些专门买卖用户信息的网络犯罪组织也越来越张狂，像“cybercrime-as-a-service”服务更是激发了网络犯罪的发生。

据今年3月的外媒报道，很多有效Uber帐户的资料公然被放到了网络黑市上出售，每个帐户的标价仅为1美元。

报道称，在黑市网站AlphaBay上面，多名卖家摆出了一系列“x1 Uber帐户——全球计程车！”的商品。只要花1美元，任何人都能匿名买到一个Uber帐户的用户名和密码。另有卖家要价为每个Uber帐户5美元。并在产品介绍中写道：“我保证这些帐号都是有效的和活跃的。如果购买数量多，还可享受折扣。”

据了解，只要获得了用户名和密码就能访问用户的旅行记录，其中还包括一些个人详细资料比如家庭住址。此外，还可以看见用户信用 卡卡号的最后4位和信用 卡有效期。

Uber公司代表称，公司尚未发现遭到黑客入侵的迹象。

分析人士指出，要么是Uber内部的一些人把这些隐私信息卖出去了，要么就是他们的安全防卫措施太松懈了。尽管Uber表示它还没有发现黑客入侵的迹象，但是这些帐户的登录数据或许证明了Uber的安全系统肯定被黑客攻破了。这可能还意味着这些用户是分别被黑客通过其他手段入侵的，黑客获得了他们的证书后放到了网上出售。

而黑市中的买卖远不止1美元的uber账户。通过多年与执法部门的合作和对在线平台、社区、买卖数据市场的长期监视，发现了一些地下网络犯罪市场的商业交易、业务和价格情况。

报 告中列出了所有黑市上可以买卖的物种，包括PayPal账户、信用 卡/借记卡数据等。银行登陆凭证的价格从190美元到1200美元不等，含2200美元 的结算帐户登录凭证售价190美元。能够暗中向美国银行转移资金的银行帐户登录凭证价格中，余额为6000美元的售价500美元,余额为20000美元的 账户售价1200美元。而可向英国转移资金的银行帐户登录凭证中，余额为10000美元的售价为700美元帐户, 16000美元的账户价格是900美元。

信用 卡和借记卡的价格也会因地域不同有所差异，在美国是从5美元到30美元不等，在英国是20到35美元不等，加拿大是20到40美元不等，澳大利亚是21到40美元不等，欧盟是25到45美元不等。

事实上，买卖用户数据的地下市场都有一个隐秘的入口，但不是每个人都能找到并进入。而且这些市场并不像我们想象的那般——有一个隐秘的房屋，后面有个没人知道的小庭院。

现在黑市上交易的物品种类繁多，所有网络犯罪者得到的非法信息都可以拿来买卖。尤其是在网络犯罪服务（cybercrime-as-a-service）出现之后，地下市场上出现了更多可供交易的商品。

但是，随着各种数据泄露事件、网站入侵事件的披露，越来越多的人对个人信息泄露已经“麻木”，所以本报告的一个目的就是对抗麻木，不是说要唤起大家的危急意识，但要对数据泄露有一定的认知。

金融数据

买卖金融数据是一个很大的话题，这里所说的金融数据买卖主要指的是支付卡信息的买卖问题。出现在地下市场上的支付卡信息价格会因信息内容不同而不同，具体的价格划分如下面的表格：

贫困生一年旅游20多地引争议 旺旺三公子称明显有人在搞事 浙大通报家庭困难学生晒旅游照 何同学抄袭风波原作者发声 兰州交大情侣楼梯间发生不雅行为

其 中cvv是card verification value的缩写；Software-generated是主账号（PAN）、有效期、CVV2的有效结合；Fullzinfo是指包含所有了所有的信 息：全名、账单地址、支付卡号、有效期、PIN码、社保号、母亲姓、出生日期、CVV2。

买方在购买这些信息时，也可以设定一些限定条件，而且卡的价格也会因地域和可用余额的信息不同而不同：

你要相信一切皆有可能，只有想不到的没有做不到的。下面这张图展示的是地下市场上的银行-银行的转账行为：

登录凭证

地下市场上还会出售访问系统的有效凭证：有直接登录凭证，有需要一定技术的登录凭证（比如漏洞）。如下图所示，利用漏洞可以访问位于欧洲、亚洲、美国的银行和航空系统。

某些企业数据也可以被出售，下面这张图就是卖方在出售某大学的数据。

在线服务

有很多人喜欢订阅数字服务，如音乐、视频、积分计划等，因为订阅这些服务相对来说比较便宜，但也给网络犯罪者留下了一个广阔的活动空间。如果用户的账户被盗 取，则会对用户造成很大的影响，轻则账号可能会被冻结或者关闭数周，重则甚至会造成一定得经济损失，比如利用账户中存储的信用 卡信息购买一些东西（礼品、 服务等），有时还会错失一些优惠积分。

甚至一些积分账号、积分卡都会被网络犯罪者拿到地下市场上拍卖，比如某酒店100000积分的账号就会被卖到20美元。

报告中还评估了黑市中在线服务账户登录凭证了价格,如在线视频(0.55-1美元),额外的有线电视频道流媒体服务(7.50美元),额外的漫画书服务(0.55美元)和职业体育流媒体服务(15美元)。

数字身份

买卖受害者的身份信息是最为严重的，因为身份信息是非常私人的信息。

正如我们所熟知的，有很多僵尸网络会自动下载恶意程序，比如ZBot网银密码窃取器、病毒、勒索软件等，进而窃取用户的敏感信息。一旦用户的数字身份信息被在网上买卖，那么购买者则可以完全掌控受害者的信息：社交账号、邮件等。

关于隐私泄露，其实生活中无时不用的手机就存在了很大的隐患。

苹果应用开发工具xCode曾曝出被加入恶意代码，之后知名游戏引擎Unity和Cocos-2d也被以同样的手法遭到篡改。这一事件很大程度上挑战了iOS以及苹果APP生态链的安全性。

尽管腾讯安全应急响应中心保守估计后认为，受xCodeGhost影响的用户数超过一亿，但到目前为止，并没有一例真实的苹果用户报告因为这个事件遭受隐私泄露或财产损失。国内几家安全研究团队只是根据XCodeGhost的运行机制，实验演练证实可以利用其漏洞进行更大规模的破坏。

除了苹果的生态链，Android系统的安全性也再多次引起业界的关注。瑞星安全研究院院长刘思宇称，面向程序开发工具的攻击是一种跨平台的攻击手段，尽管Android系统暂时没有发现该类攻击，并不代表未来不可能出现。

猎豹移动安全专家李铁军对搜狐科技表示，由于Android系统的开放性，安全问题更难解决。一般APP都会通过系统权限获取手机类型、串号、位置等信息。Android生态链，已经处处给用户设计了各种坑。

网络犯罪其实是传统犯罪某种形式的进化，网络犯罪者们购买这些数据之后便会进行大规模的攻击活动，如此造成的危害可想而知。本报告中列举的数据只是冰山一角，还有很多种类的数据、服务没有列举出来，但是希望能通过这些例子引起大家的注意。