我在暗网上「买」了一次自己的信息
2026年4月,我委托一位网络安全研究员朋友,帮我做了一件事:在暗网上查找我自己的个人信息。
他的回复让我后背发凉。
「你的163邮箱账号和密码,在三个不同的暗网市场上被人挂出来了。价格是0.3美元。你的手机号、身份证号和住址,在一个叫’身份证大全’的数据包里,售价0.5美元。你的淘宝购物记录,在一个叫’消费画像’的数据集里,售价2美元。」
「你猜你的全部数字身份在黑市上值多少钱?」他问我。
「几千?」我猜。
「不超过50美元。而且已经被人买过至少两次了。」
暗网数据交易:一个成熟的「地下经济」
暗网上的数据交易,不是一个「黑客论坛」里的小打小闹。它是一个高度专业化、分工明确、有信用评级和售后服务的「地下电商」。
以我朋友带我「参观」的一个暗网市场为例(名字我就不说了),它的界面设计跟淘宝惊人地相似:商品分类、价格筛选、卖家评级、买家评价、交易记录——唯一的区别是,交易货币是门罗币(Monero,一种具有强匿名性的加密货币)。
这个市场上有以下「商品品类」:
账号密码类:
- 一个Gmail账号密码:0.3-2美元(取决于账号是否活跃、是否绑定了其他服务)
- 一个Netflix账号:1-3美元
- 一个ChatGPT Plus账号:5-10美元
- 一个企业邮箱账号:50-500美元(取决于企业的规模和行业)
金融信息类:
- 一张信用卡信息(含CVV):15-30美元
- 一张借记卡+网银登录信息:50-200美元
- 一个支付宝账号+支付密码:100-300美元
- 一个PayPal账号(已验证):50-150美元
个人身份类:
- 一份完整身份档案(姓名+身份证号+住址+电话+照片):50-100美元
- 一份医疗记录:100-250美元(医疗欺诈比信用卡欺诈更值钱)
- 一份护照扫描件:500-1000美元
企业数据类:
- 一个企业客户数据库(1000条):500-2000美元
- 一份企业内部邮件通讯录:300-1000美元
- 一个企业VPN账号:1000-5000美元
看到这个价格表,你有什么感受?我的感受是:你的数据比你想象的便宜,但被滥用的后果比你想象的严重。
你的密码是怎么流到暗网上的
我问我朋友:「我的邮箱密码是怎么泄露的?我从来没在什么奇怪的网站上注册过。」
他笑了:「你确定吗?」
然后他帮我做了一个实验。他让我报出我常用的10个网站的账号,然后他用一个叫「Have I Been Pwned」的工具查了一下。
结果:10个里有7个网站,在过去5年中发生过数据泄露。
- 2019年,某知名中文论坛泄露了2亿条用户数据,我在其中
- 2020年,某在线教育平台泄露了5000万条用户数据,我在其中
- 2021年,某电商平台泄露了1.5亿条用户数据,我在其中
- 2023年,某社交App泄露了3亿条用户数据,我在其中
「你什么都没做错,」他说,「错的是那些保护不了你数据的公司。但后果你来承担。」
更可怕的是,如果你的密码在这些泄露事件中被暴露了,而你在多个网站上用了同一个密码——那黑客只需要用你的邮箱+密码组合去其他网站「撞库」,就能登录你所有的账号。
我问他:「那我该怎么办?」
「改密码。现在。」他说,「而且每个网站用不同的密码。用密码管理器,别用脑子记。」
谁在买你的数据?
暗网数据的买家分成几类:
第一类:身份盗窃犯。 他们买你的完整身份档案,用来申请信用卡、贷款、甚至注册公司。2026年,中国每年因身份盗窃造成的经济损失超过200亿元人民币。
第二类:垃圾营销公司。 他们买你的手机号、邮箱和消费记录,用来做精准营销。你以为那些「精准推送」是大数据AI的功劳?有时候只是一个Excel表格。
第三类:诈骗团伙。 他们买你的消费记录和社交信息,用来做「精准诈骗」。比如你刚在某平台上买了机票,诈骗电话就打来了:「您的航班已取消,请点击链接退票。」他们知道你的航班号、出发时间、目的地——不是因为他们「黑」进了航空公司,而是因为你的购票记录在暗网上被人卖了。
第四类:竞争对手和商业间谍。 他们买企业数据——客户数据库、内部通讯录、商业计划书。2026年,商业间谍造成的企业损失超过1万亿美元。
第五类:国家行为体。 他们买的是「战略情报」——外交邮件、军事承包商数据、关键基础设施蓝图。这不是本文的讨论范围,但你懂的。
你的数据还能被「救」回来吗?
答案是:不能。
数据一旦泄露,就像水泼出去了一样——你可以用毛巾擦,但水已经渗进地板里了。你可以在暗网上找到你的数据,但你不能「删除」它。暗网市场是分布式的,一个市场被查封,数据会在另一个市场上重新出现。
你能做的,是「止损」:
第一,修改所有重要账号的密码。每个账号用不同的密码。用密码管理器(Bitwarden、1Password等)来管理。
第二,开启双重认证。所有支持双重认证的服务都开启。最好是基于硬件钥匙(如YubiKey)或App生成的一次性验证码,而不是短信验证码——因为短信可以被拦截。
第三,检查你的邮箱是否在已知的数据泄露中。去「Have I Been Pwned」网站上输入你的邮箱地址,它会告诉你你的数据是否在已知的泄露事件中暴露了。
第四,监控你的信用报告。定期查看你的信用报告,看有没有人用你的身份申请了信用卡或贷款。
第五,对那些「精准」的诈骗电话、短信保持警惕。如果你接到一个电话,对方知道你的姓名、身份证号、最近消费了什么东西——不要被吓到,挂断电话,自己通过官方渠道核实。
最后说一句
你的数据在暗网上只值0.3美元。但为了这0.3美元,诈骗团伙可能会骗走你30万。
这不是一个「技术问题」,这是一个「意识问题」。大多数人觉得自己「不是重要人物,不会被盯上」。但黑客不在乎你是谁——他们只在乎你的数据能不能卖出去。
别等到银行卡被刷爆了才改密码。现在就去改。就用你读完这篇文章的这一刻。