在一家貿(mào)易公司負(fù)責(zé)國(guó)內(nèi)業(yè)務(wù)的劉昊�����,最近倍感困擾���。
由于工作需要�����,他在不少網(wǎng)站和 APP 應(yīng)用上都有自己的賬號(hào)�,然而不久前,順豐和華住等企業(yè)先后傳出上億條用戶(hù)數(shù)據(jù)遭泄露之后��,他被同事的“忠告”嚇得把十幾個(gè)平臺(tái)上的所有登錄密碼都修改了一遍����,而且每個(gè)平臺(tái)的用戶(hù)名和密碼都修改為完全不同。
“IT 部門(mén)的哥們兒說(shuō)�,只要黑客拿到一個(gè)平臺(tái)上的用戶(hù)密碼,就會(huì)用撞庫(kù)的方法在其它網(wǎng)站上進(jìn)行登陸嘗試�����。”他對(duì)此非常無(wú)奈�����,無(wú)論這些事件最終調(diào)查的結(jié)果如何���,都要先改一下所有的登錄密碼才覺(jué)得安心。畢竟有不少賬號(hào)密碼,與自己的支付密碼是相關(guān)的�����。
尤其是朋友告訴他�����,以后自己這些重要的應(yīng)用不要使用同一個(gè)登錄密碼�����,最好是一個(gè)應(yīng)用使用一個(gè)密碼���,不要重樣����。這可讓他費(fèi)勁了腦汁����。
實(shí)際上,近幾年無(wú)論是國(guó)內(nèi)還是國(guó)外的互聯(lián)網(wǎng)企業(yè)�����、服務(wù)機(jī)構(gòu),在用戶(hù)信息方面都屢屢出現(xiàn)重大泄露事件�����,幾乎可以說(shuō)沒(méi)有一位用戶(hù)的信息是絕對(duì)安全的�。而那些在網(wǎng)上高價(jià)兜售的用戶(hù)數(shù)據(jù),更是奇貨可居���,一旦出現(xiàn)就會(huì)被高價(jià)收購(gòu)��。到底是誰(shuí)在盯著我們每個(gè)人的數(shù)據(jù)隱私?
用戶(hù)信息泄露首先是“人”的問(wèn)題
“(用戶(hù))數(shù)據(jù)被盜已經(jīng)不是第一次了�,我們也很苦惱�。”
吳勝?gòu)?qiáng)在一家互聯(lián)網(wǎng)公司擔(dān)任運(yùn)營(yíng)總監(jiān)。兩年前�����,他所在的這家企業(yè)研發(fā)并運(yùn)營(yíng)了一款新車(chē)評(píng)測(cè)的視頻類(lèi)應(yīng)用���。之后�����,他們就一直在與用戶(hù)隱私數(shù)據(jù)安全做著不懈“斗爭(zhēng)”��。
由于這款應(yīng)用涉及評(píng)測(cè)和購(gòu)車(chē)話(huà)題�����,注冊(cè)用戶(hù)也被視作購(gòu)車(chē)����、養(yǎng)車(chē)的潛在客戶(hù)�,因此數(shù)據(jù)庫(kù)常常成為網(wǎng)絡(luò)黑客重點(diǎn)“光顧”的對(duì)象。應(yīng)用上線(xiàn)初期�����,幾乎每個(gè)月都會(huì)發(fā)生一����、兩起數(shù)據(jù)庫(kù)被攻擊的事件。
黑客通過(guò)攻擊數(shù)據(jù)庫(kù)�,導(dǎo)出部分用戶(hù)數(shù)據(jù)的行為,被稱(chēng)之為“拖庫(kù)”�。為了杜絕類(lèi)似的事件發(fā)生,公司的技術(shù)團(tuán)隊(duì)做了不少防護(hù)措施����,包括修復(fù)漏洞��,加強(qiáng)防火墻��,設(shè)置多級(jí)加密等�����。
“但類(lèi)似的用戶(hù)信息泄露問(wèn)題依舊還會(huì)出現(xiàn)�,有的時(shí)候感覺(jué)是防不勝防��。”他告訴懂懂筆記��,盡管數(shù)據(jù)庫(kù)安全系數(shù)增加了不少�����,但隱患始終沒(méi)有排除�����。
有時(shí)候�����,部分泄露信息還是在用戶(hù)投訴后�����,技術(shù)團(tuán)隊(duì)才得以發(fā)現(xiàn)。因此����,吳勝?gòu)?qiáng)和技術(shù)主管開(kāi)始懷疑�,在公司內(nèi)部出現(xiàn)了盜竊用戶(hù)數(shù)據(jù)的內(nèi)鬼,但是在缺乏證據(jù)的情況下�,他們一時(shí)難以鎖定目標(biāo)。
“如果真的拿到真憑實(shí)據(jù)���,對(duì)于內(nèi)鬼也只能悄悄開(kāi)除��。”吳勝?gòu)?qiáng)透露�,不少企業(yè)都發(fā)現(xiàn)了內(nèi)鬼的存在�,但在部分信息泄露之后都不敢公開(kāi),甚至不敢報(bào)警���。究其原因����,還是為了維護(hù)品牌以及企業(yè)的名聲����。除非是大面積信息泄露被媒體報(bào)道����,相關(guān)企業(yè)才會(huì)做出回應(yīng)�����,或者交由警方處理�����。
據(jù)《財(cái)經(jīng)》雜志報(bào)道顯示�,有 80% 的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為,黑客和其他方式僅占 20%��。對(duì)于這樣的比例�,可能很多企業(yè)高管會(huì)感到驚訝,自己在技術(shù)上的投入防的了黑客卻防不住人心���。
“企業(yè)在不斷加強(qiáng)通過(guò)技術(shù)防御過(guò)程中�����,往往疏忽了‘人’才是安全攻防的本質(zhì)與核心����。”聊到這個(gè)話(huà)題,在知名信息安全企業(yè)任高級(jí)分析師的韓昊晟也表示����,一些企業(yè)在加強(qiáng)了數(shù)據(jù)安全技術(shù)防護(hù)措施之后,的確能夠減少因漏洞被黑客攻擊所產(chǎn)的生數(shù)據(jù)泄露事件��。但是這些舉措無(wú)法阻止因企業(yè)內(nèi)部培訓(xùn)�����、監(jiān)督�����、管理缺失�����,導(dǎo)致監(jiān)守自盜�����,泄露用戶(hù)隱私信息的行為��。
或許�,無(wú)論是加強(qiáng)技術(shù)防護(hù)門(mén)檻,還是加強(qiáng)對(duì)相關(guān)人員的監(jiān)察�����,都只能是在一定程度上盡量杜絕數(shù)據(jù)泄露的發(fā)生���。畢竟想要獲取這些數(shù)據(jù)的灰產(chǎn)或者黑客����,對(duì)于海量真實(shí)用戶(hù)數(shù)據(jù)的貪婪是我們難以想象的����。原因很簡(jiǎn)單,出售這些數(shù)據(jù)能夠帶來(lái)巨大的財(cái)富��。
那么�,那些泄露出去的用戶(hù)隱私的數(shù)據(jù),是被什么人買(mǎi)走了?
用戶(hù)信息被循環(huán)出售��,買(mǎi)家背景復(fù)雜
“只要驗(yàn)證信息是真實(shí)的���,他們就會(huì)收���。”
曾從事信息灰產(chǎn)的汪海(化名)在交流中透露���,無(wú)論是專(zhuān)門(mén)攻擊數(shù)據(jù)庫(kù)的黑客,還是盜竊企業(yè)數(shù)據(jù)的內(nèi)鬼����,除了個(gè)別的會(huì)自己去暗網(wǎng)上匿名兜售,大多情況下���,都是整套賣(mài)給類(lèi)似他這樣的“二道販子”�����,再通過(guò)社交網(wǎng)絡(luò)分銷(xiāo)出去。
“二道販子”根據(jù)信息內(nèi)容中�,所涉及的職業(yè)、所在地����、消費(fèi)能力等信息進(jìn)行分類(lèi)、篩選���、梳理成一套套有行業(yè)針對(duì)性的用戶(hù)信息資料�����。而這個(gè)分類(lèi)����、篩選、梳理的過(guò)程���,也被稱(chēng)為“洗庫(kù)”��。之后����,這些用戶(hù)信息����,就成了可以銷(xiāo)售的“成品”了。
“用戶(hù)信息的買(mǎi)家����,三教九流、形形色色什么人都有�。”汪海表示�����,諸如小區(qū)業(yè)主���、車(chē)主、高消場(chǎng)所顧客����、網(wǎng)購(gòu)達(dá)人等用戶(hù)信息,要價(jià)最高���,每萬(wàn)條信息甚至可以賣(mài)出幾千上萬(wàn)元的價(jià)格��。
他透露�����,高價(jià)值用戶(hù)數(shù)據(jù)的買(mǎi)家,或來(lái)自一些地產(chǎn)企業(yè)���、投資理財(cái)機(jī)構(gòu)�,也會(huì)有一些商業(yè)銀行和保險(xiǎn)機(jī)構(gòu)����。購(gòu)買(mǎi)這些數(shù)據(jù)的目的��,主要是希望通過(guò)這些用戶(hù)信息��,推銷(xiāo)拓展與房產(chǎn)��、投資���、理財(cái)?shù)认嚓P(guān)的業(yè)務(wù)。
而那些普通消費(fèi)類(lèi)用戶(hù)信息�,諸如酒店預(yù)訂、電商購(gòu)物����、商場(chǎng)積分等等,“二道販子”會(huì)整理好信息后�,在美妝、鞋服����、數(shù)碼、旅游�、培訓(xùn)等細(xì)分領(lǐng)域出售給相應(yīng)的企業(yè)。
這一類(lèi)數(shù)據(jù)的價(jià)格比較便宜����,每萬(wàn)條售價(jià)數(shù)百元到千元�����,而且常常會(huì)多次�、重復(fù)銷(xiāo)售����。甚至有一些買(mǎi)家在利用完這部分信息進(jìn)行產(chǎn)品推廣后,還會(huì)通過(guò)更低級(jí)別的信息販子�����,轉(zhuǎn)手出售給一些小規(guī)模的房產(chǎn)中介�、網(wǎng)貸公司。
“至于那些缺少標(biāo)簽���,無(wú)法分類(lèi)的個(gè)人信息����,往往會(huì)跟著多次回收的二手信息一起��,低價(jià)賣(mài)給詐騙份子��。”汪海透露�����,一些詐騙電話(huà)���、短信之所以能夠知道用戶(hù)曾經(jīng)的消費(fèi)記錄����、購(gòu)物信息����,有針對(duì)性的進(jìn)行詐騙,都是參考自這些廉價(jià)���、且自帶多重消費(fèi)行為標(biāo)注的隱私數(shù)據(jù)����。
如此算來(lái)�,一套擁有數(shù)千萬(wàn)個(gè)用戶(hù)信息的數(shù)據(jù),能夠給黑客���、信息販子帶來(lái)的直接收益�����,就足夠驚人���。而在這些信息買(mǎi)賣(mài)的過(guò)程中�,不少信息販子為了掩人耳目��,在交易時(shí)是使用購(gòu)買(mǎi)來(lái)的身份證件�����、銀行卡去收款�,甚至?xí)褂锰摂M幣進(jìn)行交易,以規(guī)避被有關(guān)部門(mén)查處的風(fēng)險(xiǎn)����。
有不少網(wǎng)友表示,個(gè)人信息泄露事件層出不窮�,自己已經(jīng)見(jiàn)怪不怪了。若信息只是賣(mài)給商家���、騙子�����,那么遇到銷(xiāo)售�����、詐騙電話(huà)和短信��,頂多不接不看就是���。不接觸,對(duì)日常的生活影響也就不大��,所以自己完全并沒(méi)有必要過(guò)分擔(dān)憂(yōu)�。
那么,個(gè)人隱私信息泄露的危害�����,真的只是如此嗎?
平臺(tái)賬號(hào)密碼泄露�,資金也有風(fēng)險(xiǎn)
“為了方便,我很多賬號(hào)密碼都設(shè)置一樣的���。”
前不久�,從事客服工作的賈彤發(fā)現(xiàn)郵箱賬號(hào)被盜����,而她只是簡(jiǎn)單修改替換了郵箱密碼�����。然而接下來(lái)的幾天����,她有不少平臺(tái)的賬號(hào)在異地被頻繁登錄��。就連手機(jī)中的支付應(yīng)用�,也經(jīng)常提示賬號(hào)異常。
賈彤趕緊上網(wǎng)搜索解決方法�����,發(fā)現(xiàn)有不少網(wǎng)友都在咨詢(xún)類(lèi)似的情況���。
由于跨平臺(tái)賬號(hào)密碼設(shè)置一致�,導(dǎo)致用戶(hù)只要有一個(gè)賬號(hào)被盜�,黑客就會(huì)利用這一賬號(hào)信息頻繁嘗試登錄其他平臺(tái),以竊取更多的用戶(hù)資料和價(jià)值信息��,而這種“撞庫(kù)”的成功率據(jù)說(shuō)相當(dāng)高。
“如果密碼都會(huì)設(shè)置不一樣��,經(jīng)常會(huì)搞混或者忘記�����,設(shè)置一樣的話(huà)��,又怕一個(gè)平臺(tái)發(fā)生信息泄露����,其他平臺(tái)都被破解��。”同樣懷疑自己遭遇“撞庫(kù)”的大學(xué)生黃宇告訴懂懂筆記����,不久前,他的游戲賬號(hào)就發(fā)生了被盜����、無(wú)法登陸的現(xiàn)象。
在花了兩天時(shí)間將賬號(hào)申訴回來(lái)之后��,他卻無(wú)奈發(fā)現(xiàn)���,游戲中的大量裝備���,都被“轉(zhuǎn)讓”一空了��。這讓他不禁想起了事發(fā)前��,某知名網(wǎng)站被爆大量用戶(hù)信息泄露的新聞�����。
“雖然不是很肯定這之間有關(guān)系�,但還是擔(dān)心別的賬號(hào)也被盜號(hào)�。”小心起見(jiàn),黃宇不得不將所有的平臺(tái)密碼都改了一遍��。甚至還將支付寶��、微信支付中的銀行卡全部解綁����,以確保資金的安全。
那么����,黑客通過(guò)通過(guò)“撞庫(kù)”是否能盜取���、轉(zhuǎn)走用戶(hù)支付應(yīng)用中的資金呢?
“是否能轉(zhuǎn)走用戶(hù)資金,屬于撞庫(kù)攻擊后具體的操作�,這也涉及到相關(guān)支付平臺(tái)的安全措施和安全等級(jí)。”360 網(wǎng)絡(luò)安全響應(yīng)中心安全分析師韓昊晟告訴懂懂筆記�����,撞庫(kù)攻擊是一種通用的攻擊方法��,轉(zhuǎn)走用戶(hù)資金是一些具備該功能的平臺(tái)被攻擊后����,黑客進(jìn)行的另一種操作�,這兩者之間并不是同一個(gè)概念。
韓昊晟強(qiáng)調(diào)�����,如果用戶(hù)在使用金融相關(guān)應(yīng)用的過(guò)程中����,開(kāi)啟了諸如動(dòng)態(tài)密碼、短信驗(yàn)證碼等多重驗(yàn)證措施�,可以大幅提高應(yīng)用支付時(shí)的安全系數(shù)����,同時(shí)減少撞庫(kù)攻擊后自己資金被轉(zhuǎn)走的風(fēng)險(xiǎn)�。
他同時(shí)強(qiáng)調(diào),不同賬戶(hù)設(shè)置不同的密碼�,是保障用戶(hù)數(shù)據(jù)安全的重要方式之一。針對(duì)個(gè)人密碼的設(shè)置����,建議養(yǎng)成良好的密碼習(xí)慣,字母大小寫(xiě)+數(shù)字+符號(hào)的 16 位密碼����,“不要使用生日、手機(jī)號(hào)等作為常用密碼��,并且養(yǎng)成定期更改的習(xí)慣���,重要賬號(hào)密碼需單獨(dú)設(shè)置���。”
最為重要的是,當(dāng)出現(xiàn)重大數(shù)據(jù)泄露事件且涉及到自身安全隱私時(shí)�,用戶(hù)應(yīng)該盡快去修改相關(guān)賬戶(hù)密碼。同時(shí)及時(shí)查看自己是否在其它站點(diǎn)�、應(yīng)用���、金融或銀行業(yè)務(wù)使用了同一密碼,如果有的話(huà)也應(yīng)該立即修改���。
處身于網(wǎng)絡(luò)時(shí)代���,我們每個(gè)人的數(shù)據(jù)信息都有可能淪為灰產(chǎn)牟利的工具,實(shí)際上這也暴露了當(dāng)前網(wǎng)絡(luò)安全防護(hù)的脆弱性��。我們可以說(shuō)不在意自己在網(wǎng)上已經(jīng)是“透明人”���,但是這些信息很可能不僅被不法分子用于謀取商業(yè)利益���,還可能用于危害公共信息安全�,操縱社會(huì)輿論,這樣的后果更是細(xì)思極恐����。
今年初,國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》發(fā)布后���,就有行業(yè)人士呼吁��,對(duì)于那些擁有海量個(gè)人數(shù)據(jù)信息的企業(yè)��,如果繼續(xù)漠視用戶(hù)利益�����,甚至違法違規(guī)�����,這部《規(guī)范》應(yīng)該會(huì)成為其巨大的負(fù)擔(dān)和追責(zé)依據(jù)�����,只有這樣才能引發(fā)那些野蠻生長(zhǎng)的行業(yè)進(jìn)行反思�。
作為個(gè)人用戶(hù),我們希望整個(gè)行業(yè)都能守土有責(zé)��,信息安全已經(jīng)不是個(gè)人的事情����,也希望那些掌握海量數(shù)據(jù)的企業(yè),能在技術(shù)和人這兩方面����,負(fù)起真正的責(zé)任����。
?��。?a href="http://m.jinteng090.cn/">邯鄲網(wǎng)站制作)
