八成数据泄漏因为内鬼:优质信息售价惊人
在一家贸易公司负责国内业务的刘昊,最近倍感困扰。
由于工作需要,他在不少网站和APP应用上都有自己的账号,然而不久前,顺丰和华住等企业先后传出上亿条用户数据遭泄露之后,他被同事的“忠告”吓得把十几个平台上的所有登录密码都修改了一遍,而且每个平台的用户名和密码都修改为完全不同。
“IT部门的哥们儿说,只要黑客拿到一个平台上的用户密码,就会用撞库的方法在其它网站上进行登陆尝试。”他对此非常无奈,无论这些事件最终调查的结果如何,都要先改一下所有的登录密码才觉得安心。毕竟有不少账号密码,与自己的支付密码是相关的。
尤其是朋友告诉他,以后自己这些重要的应用不要使用同一个登录密码,最好是一个应用使用一个密码,不要重样。这可让他费劲了脑汁。
实际上,近几年无论是国内还是国外的互联网企业、服务机构,在用户信息方面都屡屡出现重大泄露事件,几乎可以说没有一位用户的信息是绝对安全的。而那些在网上高价兜售的用户数据,更是奇货可居,一旦出现就会被高价收购。到底是谁在盯着我们每个人的数据隐私?
用户信息泄露首先是“人”的问题
“(用户)数据被盗已经不是第一次了,我们也很苦恼。”
吴胜强在一家互联网公司担任运营总监。两年前,他所在的这家企业研发并运营了一款新车评测的视频类应用。之后,他们就一直在与用户隐私数据安全做着不懈“斗争”。
由于这款应用涉及评测和购车话题,注册用户也被视作购车、养车的潜在客户,因此数据库常常成为网络黑客重点“光顾”的对象。应用上线初期,几乎每个月都会发生一、两起数据库被攻击的事件。
黑客通过攻击数据库,导出部分用户数据的行为,被称之为“拖库”。为了杜绝类似的事件发生,公司的技术团队做了不少防护措施,包括修复漏洞,加强防火墙,设置多级加密等。
“但类似的用户信息泄露问题依旧还会出现,有的时候感觉是防不胜防。”他告诉懂懂笔记,尽管数据库安全系数增加了不少,但隐患始终没有排除。
有时候,部分泄露信息还是在用户投诉后,技术团队才得以发现。因此,吴胜强和技术主管开始怀疑,在公司内部出现了盗窃用户数据的内鬼,但是在缺乏证据的情况下,他们一时难以锁定目标。
“如果真的拿到真凭实据,对于内鬼也只能悄悄开除。”吴胜强透露,不少企业都发现了内鬼的存在,但在部分信息泄露之后都不敢公开,甚至不敢报警。究其原因,还是为了维护品牌以及企业的名声。除非是大面积信息泄露被媒体报道,相关企业才会做出回应,或者交由警方处理。
据《财经》杂志报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。对于这样的比例,可能很多企业高管会感到惊讶,自己在技术上的投入防的了黑客却防不住人心。
“企业在不断加强通过技术防御过程中,往往疏忽了‘人’才是安全攻防的本质与核心。”聊到这个话题,在知名信息安全企业任高级分析师的韩昊晟也表示,一些企业在加强了数据安全技术防护措施之后,的确能够减少因漏洞被黑客攻击所产的生数据泄露事件。但是这些举措无法阻止因企业内部培训、监督、管理缺失,导致监守自盗,泄露用户隐私信息的行为。
或许,无论是加强技术防护门槛,还是加强对相关人员的监察,都只能是在一定程度上尽量杜绝数据泄露的发生。毕竟想要获取这些数据的灰产或者黑客,对于海量真实用户数据的贪婪是我们难以想象的。原因很简单,出售这些数据能够带来巨大的财富。
那么,那些泄露出去的用户隐私的数据,是被什么人买走了?
用户信息被循环出售,买家背景复杂
“只要验证信息是真实的,他们就会收。”
曾从事信息灰产的汪海(化名)在交流中透露,无论是专门攻击数据库的黑客,还是盗窃企业数据的内鬼,除了个别的会自己去暗网上匿名兜售,大多情况下,都是整套卖给类似他这样的“二道贩子”,再通过社交网络分销出去。
“二道贩子”根据信息内容中,所涉及的职业、所在地、消费能力等信息进行分类、筛选、梳理成一套套有行业针对性的用户信息资料。而这个分类、筛选、梳理的过程,也被称为“洗库”。之后,这些用户信息,就成了可以销售的“成品”了。
“用户信息的买家,三教九流、形形色色什么人都有。”汪海表示,诸如小区业主、车主、高消场所顾客、网购达人等用户信息,要价最高,每万条信息甚至可以卖出几千上万元的价格。
他透露,高价值用户数据的买家,或来自一些地产企业、投资理财机构,也会有一些商业银行和保险机构。购买这些数据的目的,主要是希望通过这些用户信息,推销拓展与房产、投资、理财等相关的业务。
而那些普通消费类用户信息,诸如酒店预订、电商购物、商场积分等等,“二道贩子”会整理好信息后,在美妆、鞋服、数码、旅游、培训等细分领域出售给相应的企业。
这一类数据的价格比较便宜,每万条售价数百元到千元,而且常常会多次、重复销售。甚至有一些买家在利用完这部分信息进行产品推广后,还会通过更低级别的信息贩子,转手出售给一些小规模的房产中介、网贷公司。
“至于那些缺少标签,无法分类的个人信息,往往会跟着多次回收的二手信息一起,低价卖给诈骗份子。”汪海透露,一些诈骗电话、短信之所以能够知道用户曾经的消费记录、购物信息,有针对性的进行诈骗,都是参考自这些廉价、且自带多重消费行为标注的隐私数据。
如此算来,一套拥有数千万个用户信息的数据,能够给黑客、信息贩子带来的直接收益,就足够惊人。而在这些信息买卖的过程中,不少信息贩子为了掩人耳目,在交易时是使用购买来的身份证件、银行卡去收款,甚至会使用虚拟币进行交易,以规避被有关部门查处的风险。
有不少网友表示,个人信息泄露事件层出不穷,自己已经见怪不怪了。若信息只是卖给商家、骗子,那么遇到销售、诈骗电话和短信,顶多不接不看就是。不接触,对日常的生活影响也就不大,所以自己完全并没有必要过分担忧。
那么,个人隐私信息泄露的危害,真的只是如此吗?
平台账号密码泄露,资金也有风险
“为了方便,我很多账号密码都设置一样的。”
前不久,从事客服工作的贾彤发现邮箱账号被盗,而她只是简单修改替换了邮箱密码。然而接下来的几天,她有不少平台的账号在异地被频繁登录。就连手机中的支付应用,也经常提示账号异常。
贾彤赶紧上网搜索解决方法,发现有不少网友都在咨询类似的情况。
由于跨平台账号密码设置一致,导致用户只要有一个账号被盗,黑客就会利用这一账号信息频繁尝试登录其他平台,以窃取更多的用户资料和价值信息,而这种“撞库”的成功率据说相当高。
“如果密码都会设置不一样,经常会搞混或者忘记,设置一样的话,又怕一个平台发生信息泄露,其他平台都被破解。”同样怀疑自己遭遇“撞库”的大学生黄宇告诉懂懂笔记,不久前,他的游戏账号就发生了被盗、无法登陆的现象。
在花了两天时间将账号申诉回来之后,他却无奈发现,游戏中的大量装备,都被“转让”一空了。这让他不禁想起了事发前,某知名网站被爆大量用户信息泄露的新闻。
“虽然不是很肯定这之间有关系,但还是担心别的账号也被盗号。”小心起见,黄宇不得不将所有的平台密码都改了一遍。甚至还将支付宝、微信支付中的银行卡全部解绑,以确保资金的安全。
那么,黑客通过通过“撞库”是否能盗取、转走用户支付应用中的资金呢?
“是否能转走用户资金,属于撞库攻击后具体的操作,这也涉及到相关支付平台的安全措施和安全等级。”360网络安全响应中心安全分析师韩昊晟告诉懂懂笔记,撞库攻击是一种通用的攻击方法,转走用户资金是一些具备该功能的平台被攻击后,黑客进行的另一种操作,这两者之间并不是同一个概念。
韩昊晟强调,如果用户在使用金融相关应用的过程中,开启了诸如动态密码、短信验证码等多重验证措施,可以大幅提高应用支付时的安全系数,同时减少撞库攻击后自己资金被转走的风险。
他同时强调,不同账户设置不同的密码,是保障用户数据安全的重要方式之一。针对个人密码的设置,建议养成良好的密码习惯,字母大小写+数字+符号的16位密码,“不要使用生日、手机号等作为常用密码,并且养成定期更改的习惯,重要账号密码需单独设置。”
最为重要的是,当出现重大数据泄露事件且涉及到自身安全隐私时,用户应该尽快去修改相关账户密码。同时及时查看自己是否在其它站点、应用、金融或银行业务使用了同一密码,如果有的话也应该立即修改。
处身于网络时代,我们每个人的数据信息都有可能沦为灰产牟利的工具,实际上这也暴露了当前网络安全防护的脆弱性。我们可以说不在意自己在网上已经是“透明人”,但是这些信息很可能不仅被不法分子用于谋取商业利益,还可能用于危害公共信息安全,操纵社会舆论,这样的后果更是细思极恐。
今年初,国家标准《信息安全技术个人信息安全规范》发布后,就有行业人士呼吁,对于那些拥有海量个人数据信息的企业,如果继续漠视用户利益,甚至违法违规,这部《规范》应该会成为其巨大的负担和追责依据,只有这样才能引发那些野蛮生长的行业进行反思。
作为个人用户,我们希望整个行业都能守土有责,信息安全已经不是个人的事情,也希望那些掌握海量数据的企业,能在技术和人这两方面,负起真正的责任。
声明:本文内容和图片仅代表作者观点,不代表蓝鲸TMT网立场,转载需注明本文出处及原创作者姓名!