多数数据泄漏是内鬼所为:售价惊人!谁在盯着我们的隐私?

2018 年 9 月 17 日 腾讯科技

点击上方“腾讯科技”,选择“置顶公众号”

关键时刻,第一时间送达


来源 / 懂懂笔记 (ID:dongdongnote)

文 / 木子  编辑 / 秦言

欢迎下载腾讯新闻客户端,关注科技页卡,查看更多科技热点新闻


在一家贸易公司负责国内业务的刘昊,最近倍感困扰。


由于工作需要,他在不少网站和APP应用上都有自己的账号,然而不久前,顺丰和华住等企业先后传出上亿条用户数据遭泄露之后,他被同事的“忠告”吓得把十几个平台上的所有登录密码都修改了一遍,而且每个平台的用户名和密码都修改为完全不同。



“IT部门的哥们儿说,只要黑客拿到一个平台上的用户密码,就会用撞库的方法在其它网站上进行登陆尝试。”他对此非常无奈,无论这些事件最终调查的结果如何,都要先改一下所有的登录密码才觉得安心。毕竟有不少账号密码,与自己的支付密码是相关的。


尤其是朋友告诉他,以后自己这些重要的应用不要使用同一个登录密码,最好是一个应用使用一个密码,不要重样。这可让他费劲了脑汁。


实际上,近几年无论是国内还是国外的互联网企业、服务机构,在用户信息方面都屡屡出现重大泄露事件,几乎可以说没有一位用户的信息是绝对安全的。而那些在网上高价兜售的用户数据,更是奇货可居,一旦出现就会被高价收购。到底是谁在盯着我们每个人的数据隐私?


用户信息泄露首先是“人”的问题



“(用户)数据被盗已经不是第一次了,我们也很苦恼。”


吴胜强在一家互联网公司担任运营总监。两年前,他所在的这家企业研发并运营了一款新车评测的视频类应用。之后,他们就一直在与用户隐私数据安全做着不懈“斗争”。


由于这款应用涉及评测和购车话题,注册用户也被视作购车、养车的潜在客户,因此数据库常常成为网络黑客重点“光顾”的对象。应用上线初期,几乎每个月都会发生一、两起数据库被攻击的事件。


黑客通过攻击数据库,导出部分用户数据的行为,被称之为“拖库”。为了杜绝类似的事件发生,公司的技术团队做了不少防护措施,包括修复漏洞,加强防火墙,设置多级加密等。


“但类似的用户信息泄露问题依旧还会出现,有的时候感觉是防不胜防。”他告诉懂懂笔记,尽管数据库安全系数增加了不少,但隐患始终没有排除。


有时候,部分泄露信息还是在用户投诉后,技术团队才得以发现。因此,吴胜强和技术主管开始怀疑,在公司内部出现了盗窃用户数据的内鬼,但是在缺乏证据的情况下,他们一时难以锁定目标。


“如果真的拿到真凭实据,对于内鬼也只能悄悄开除。”吴胜强透露,不少企业都发现了内鬼的存在,但在部分信息泄露之后都不敢公开,甚至不敢报警。究其原因,还是为了维护品牌以及企业的名声。除非是大面积信息泄露被媒体报道,相关企业才会做出回应,或者交由警方处理。


据《财经》杂志报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。对于这样的比例,可能很多企业高管会感到惊讶,自己在技术上的投入防的了黑客却防不住人心。


“企业在不断加强通过技术防御过程中,往往疏忽了‘人’才是安全攻防的本质与核心。”聊到这个话题,在知名信息安全企业任高级分析师的韩昊晟也表示,一些企业在加强了数据安全技术防护措施之后,的确能够减少因漏洞被黑客攻击所产的生数据泄露事件。但是这些举措无法阻止因企业内部培训、监督、管理缺失,导致监守自盗,泄露用户隐私信息的行为。


或许,无论是加强技术防护门槛,还是加强对相关人员的监察,都只能是在一定程度上尽量杜绝数据泄露的发生。毕竟想要获取这些数据的灰产或者黑客,对于海量真实用户数据的贪婪是我们难以想象的。原因很简单,出售这些数据能够带来巨大的财富。


那么,那些泄露出去的用户隐私的数据,是被什么人买走了?


用户信息被循环出售,买家背景复杂



“只要验证信息是真实的,他们就会收。”


曾从事信息灰产的汪海(化名)在交流中透露,无论是专门攻击数据库的黑客,还是盗窃企业数据的内鬼,除了个别的会自己去暗网上匿名兜售,大多情况下,都是整套卖给类似他这样的“二道贩子”,再通过社交网络分销出去。


“二道贩子”根据信息内容中,所涉及的职业、所在地、消费能力等信息进行分类、筛选、梳理成一套套有行业针对性的用户信息资料。而这个分类、筛选、梳理的过程,也被称为“洗库”。之后,这些用户信息,就成了可以销售的“成品”了。


“用户信息的买家,三教九流、形形色色什么人都有。”汪海表示,诸如小区业主、车主、高消场所顾客、网购达人等用户信息,要价最高,每万条信息甚至可以卖出几千上万元的价格。


他透露,高价值用户数据的买家,或来自一些地产企业、投资理财机构,也会有一些商业银行和保险机构。购买这些数据的目的,主要是希望通过这些用户信息,推销拓展与房产、投资、理财等相关的业务。


而那些普通消费类用户信息,诸如酒店预订、电商购物、商场积分等等,“二道贩子”会整理好信息后,在美妆、鞋服、数码、旅游、培训等细分领域出售给相应的企业。


这一类数据的价格比较便宜,每万条售价数百元到千元,而且常常会多次、重复销售。甚至有一些买家在利用完这部分信息进行产品推广后,还会通过更低级别的信息贩子,转手出售给一些小规模的房产中介、网贷公司。


“至于那些缺少标签,无法分类的个人信息,往往会跟着多次回收的二手信息一起,低价卖给诈骗份子。”汪海透露,一些诈骗电话、短信之所以能够知道用户曾经的消费记录、购物信息,有针对性的进行诈骗,都是参考自这些廉价、且自带多重消费行为标注的隐私数据。


如此算来,一套拥有数千万个用户信息的数据,能够给黑客、信息贩子带来的直接收益,就足够惊人。而在这些信息买卖的过程中,不少信息贩子为了掩人耳目,在交易时是使用购买来的身份证件、银行卡去收款,甚至会使用虚拟币进行交易,以规避被有关部门查处的风险。


有不少网友表示,个人信息泄露事件层出不穷,自己已经见怪不怪了。若信息只是卖给商家、骗子,那么遇到销售、诈骗电话和短信,顶多不接不看就是。不接触,对日常的生活影响也就不大,所以自己完全并没有必要过分担忧。


那么,个人隐私信息泄露的危害,真的只是如此吗?


平台账号密码泄露,资金也有风险



“为了方便,我很多账号密码都设置一样的。”


前不久,从事客服工作的贾彤发现邮箱账号被盗,而她只是简单修改替换了邮箱密码。然而接下来的几天,她有不少平台的账号在异地被频繁登录。就连手机中的支付应用,也经常提示账号异常。


贾彤赶紧上网搜索解决方法,发现有不少网友都在咨询类似的情况。


由于跨平台账号密码设置一致,导致用户只要有一个账号被盗,黑客就会利用这一账号信息频繁尝试登录其他平台,以窃取更多的用户资料和价值信息,而这种“撞库”的成功率据说相当高。


“如果密码都会设置不一样,经常会搞混或者忘记,设置一样的话,又怕一个平台发生信息泄露,其他平台都被破解。”同样怀疑自己遭遇“撞库”的大学生黄宇告诉懂懂笔记,不久前,他的游戏账号就发生了被盗、无法登陆的现象。


在花了两天时间将账号申诉回来之后,他却无奈发现,游戏中的大量装备,都被“转让”一空了。这让他不禁想起了事发前,某知名网站被爆大量用户信息泄露的新闻。


“虽然不是很肯定这之间有关系,但还是担心别的账号也被盗号。”小心起见,黄宇不得不将所有的平台密码都改了一遍。甚至还将支付宝、微信支付中的银行卡全部解绑,以确保资金的安全。


那么,黑客通过通过“撞库”是否能盗取、转走用户支付应用中的资金呢?


“是否能转走用户资金,属于撞库攻击后具体的操作,这也涉及到相关支付平台的安全措施和安全等级。”360网络安全响应中心安全分析师韩昊晟告诉懂懂笔记,撞库攻击是一种通用的攻击方法,转走用户资金是一些具备该功能的平台被攻击后,黑客进行的另一种操作,这两者之间并不是同一个概念。


韩昊晟强调,如果用户在使用金融相关应用的过程中,开启了诸如动态密码、短信验证码等多重验证措施,可以大幅提高应用支付时的安全系数,同时减少撞库攻击后自己资金被转走的风险。


他同时强调,不同账户设置不同的密码,是保障用户数据安全的重要方式之一。针对个人密码的设置,建议养成良好的密码习惯,字母大小写+数字+符号的16位密码,“不要使用生日、手机号等作为常用密码,并且养成定期更改的习惯,重要账号密码需单独设置。”


最为重要的是,当出现重大数据泄露事件且涉及到自身安全隐私时,用户应该尽快去修改相关账户密码。同时及时查看自己是否在其它站点、应用、金融或银行业务使用了同一密码,如果有的话也应该立即修改。


处身于网络时代,我们每个人的数据信息都有可能沦为灰产牟利的工具,实际上这也暴露了当前网络安全防护的脆弱性。我们可以说不在意自己在网上已经是“透明人”,但是这些信息很可能不仅被不法分子用于谋取商业利益,还可能用于危害公共信息安全,操纵社会舆论,这样的后果更是细思极恐。


今年初,国家标准《信息安全技术个人信息安全规范》发布后,就有行业人士呼吁,对于那些拥有海量个人数据信息的企业,如果继续漠视用户利益,甚至违法违规,这部《规范》应该会成为其巨大的负担和追责依据,只有这样才能引发那些野蛮生长的行业进行反思。


作为个人用户,我们希望整个行业都能守土有责,信息安全已经不是个人的事情,也希望那些掌握海量数据的企业,能在技术和人这两方面,负起真正的责任。


往期推荐


苹果秋季发布会:三款新iPhone发布


网秦创始人林宇:被董事长绑架13个月


阿里巴巴宣布马云一年后卸任董事局主席



登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
213+阅读 · 2020年2月21日
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
专知会员服务
20+阅读 · 2019年11月8日
【智能金融】机器学习在反欺诈中应用
产业智能官
35+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
CCCF专栏 | 联邦学习
中国计算机学会
26+阅读 · 2018年11月19日
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
已删除
雪球
6+阅读 · 2018年8月19日
已删除
生物探索
3+阅读 · 2018年2月10日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Deflecting Adversarial Attacks
Arxiv
8+阅读 · 2020年2月18日
Deep Co-Training for Semi-Supervised Image Segmentation
Arxiv
7+阅读 · 2019年10月6日
Generative Adversarial Networks: A Survey and Taxonomy
Hardness-Aware Deep Metric Learning
Arxiv
6+阅读 · 2019年3月13日
Arxiv
6+阅读 · 2018年11月29日
Arxiv
7+阅读 · 2018年11月27日
Arxiv
6+阅读 · 2018年2月26日
VIP会员
相关资讯
【智能金融】机器学习在反欺诈中应用
产业智能官
35+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
CCCF专栏 | 联邦学习
中国计算机学会
26+阅读 · 2018年11月19日
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
已删除
雪球
6+阅读 · 2018年8月19日
已删除
生物探索
3+阅读 · 2018年2月10日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
相关论文
Deflecting Adversarial Attacks
Arxiv
8+阅读 · 2020年2月18日
Deep Co-Training for Semi-Supervised Image Segmentation
Arxiv
7+阅读 · 2019年10月6日
Generative Adversarial Networks: A Survey and Taxonomy
Hardness-Aware Deep Metric Learning
Arxiv
6+阅读 · 2019年3月13日
Arxiv
6+阅读 · 2018年11月29日
Arxiv
7+阅读 · 2018年11月27日
Arxiv
6+阅读 · 2018年2月26日
Top
微信扫码咨询专知VIP会员