IT商业科技网

数据泄漏多为内鬼所为:售价惊人 流入电信诈骗市场

来源:木子    时间:2018-09-19 09:49:45    懂懂笔记

数据泄漏多为内鬼所为:售价惊人 流入电信诈骗市场

在一家贸易公司负责国内业务的刘昊,最近倍感困扰。

由于工作需要,他在不少网站和App应用上都有自己的账号,然而不久前,顺丰和华住等企业先后传出上亿条用户数据遭泄露之后,他被同事的“忠告”吓得把十几个平台上的所有登录密码都修改了一遍,而且每个平台的用户名和密码都修改为完全不同。

“IT部门的哥们儿说,只要黑客拿到一个平台上的用户密码,就会用撞库的方法在其它网站上进行登陆尝试。”他对此非常无奈,无论这些事件最终调查的结果如何,都要先改一下所有的登录密码才觉得安心。毕竟有不少账号密码,与自己的支付密码是相关的。

尤其是朋友告诉他,以后自己这些重要的应用不要使用同一个登录密码,最好是一个应用使用一个密码,不要重样。这可让他费劲了脑汁。

实际上,近几年无论是国内还是国外的互联网企业、服务机构,在用户信息方面都屡屡出现重大泄露事件,几乎可以说没有一位用户的信息是绝对安全的。而那些在网上高价兜售的用户数据,更是奇货可居,一旦出现就会被高价收购。到底是谁在盯着我们每个人的数据隐私?

用户信息泄露首先是“人”的问题

“(用户)数据被盗已经不是第一次了,我们也很苦恼。”

吴胜强在一家互联网公司担任运营总监。两年前,他所在的这家企业研发并运营了一款新车评测的视频类应用。之后,他们就一直在与用户隐私数据安全做着不懈“斗争”。

由于这款应用涉及评测和购车话题,注册用户也被视作购车、养车的潜在客户,因此数据库常常成为网络黑客重点“光顾”的对象。应用上线初期,几乎每个月都会发生一、两起数据库被攻击的事件。

黑客通过攻击数据库,导出部分用户数据的行为,被称之为“拖库”。为了杜绝类似的事件发生,公司的技术团队做了不少防护措施,包括修复漏洞,加强防火墙,设置多级加密等。

“但类似的用户信息泄露问题依旧还会出现,有的时候感觉是防不胜防。”他告诉懂懂笔记,尽管数据库安全系数增加了不少,但隐患始终没有排除。

有时候,部分泄露信息还是在用户投诉后,技术团队才得以发现。因此,吴胜强和技术主管开始怀疑,在公司内部出现了盗窃用户数据的内鬼,但是在缺乏证据的情况下,他们一时难以锁定目标。

“如果真的拿到真凭实据,对于内鬼也只能悄悄开除。”吴胜强透露,不少企业都发现了内鬼的存在,但在部分信息泄露之后都不敢公开,甚至不敢报警。究其原因,还是为了维护品牌以及企业的名声。除非是大面积信息泄露被媒体报道,相关企业才会做出回应,或者交由警方处理。

据记者报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。对于这样的比例,可能很多企业高管会感到惊讶,自己在技术上的投入防的了黑客却防不住人心。

“企业在不断加强通过技术防御过程中,往往疏忽了‘人’才是安全攻防的本质与核心。”聊到这个话题,在知名信息安全企业任高级分析师的韩昊晟也表示,一些企业在加强了数据安全技术防护措施之后,的确能够减少因漏洞被黑客攻击所产的生数据泄露事件。但是这些举措无法阻止因企业内部培训、监督、管理缺失,导致监守自盗,泄露用户隐私信息的行为。

或许,无论是加强技术防护门槛,还是加强对相关人员的监察,都只能是在一定程度上尽量杜绝数据泄露的发生。毕竟想要获取这些数据的灰产或者黑客,对于海量真实用户数据的贪婪是我们难以想象的。原因很简单,出售这些数据能够带来巨大的财富。

那么,那些泄露出去的用户隐私的数据,是被什么人买走了?

用户信息被循环出售,买家背景复杂

“只要验证信息是真实的,他们就会收。”

曾从事信息灰产的汪海(化名)在交流中透露,无论是专门攻击数据库的黑客,还是盗窃企业数据的内鬼,除了个别的会自己去暗网上匿名兜售,大多情况下,都是整套卖给类似他这样的“二道贩子”,再通过社交网络分销出去。

“二道贩子”根据信息内容中,所涉及的职业、所在地、消费能力等信息进行分类、筛选、梳理成一套套有行业针对性的用户信息资料。而这个分类、筛选、梳理的过程,也被称为“洗库”。之后,这些用户信息,就成了可以销售的“成品”了。

“用户信息的买家,三教九流、形形色色什么人都有。”汪海表示,诸如小区业主、车主、高消场所顾客、网购达人等用户信息,要价最高,每万条信息甚至可以卖出几千上万元的价格。

他透露,高价值用户数据的买家,或来自一些地产企业、投资理财机构,也会有一些商业银行和保险机构。购买这些数据的目的,主要是希望通过这些用户信息,推销拓展与房产、投资、理财等相关的业务。

而那些普通消费类用户信息,诸如酒店预订、电商购物、商场积分等等,“二道贩子”会整理好信息后,在美妆、鞋服、数码、旅游、培训等细分领域出售给相应的企业。

这一类数据的价格比较便宜,每万条售价数百元到千元,而且常常会多次、重复销售。甚至有一些买家在利用完这部分信息进行产品推广后,还会通过更低级别的信息贩子,转手出售给一些小规模的房产中介、网贷公司。

“至于那些缺少标签,无法分类的个人信息,往往会跟着多次回收的二手信息一起,低价卖给诈骗份子。”汪海透露,一些诈骗电话、短信之所以能够知道用户曾经的消费记录、购物信息,有针对性的进行诈骗,都是参考自这些廉价、且自带多重消费行为标注的隐私数据。

如此算来,一套拥有数千万个用户信息的数据,能够给黑客、信息贩子带来的直接收益,就足够惊人。而在这些信息买卖的过程中,不少信息贩子为了掩人耳目,在交易时是使用购买来的身份证件、银行卡去收款,甚至会使用虚拟币进行交易,以规避被有关部门查处的风险。

有不少网友表示,个人信息泄露事件层出不穷,自己已经见怪不怪了。若信息只是卖给商家、骗子,那么遇到销售、诈骗电话和短信,顶多不接不看就是。不接触,对日常的生活影响也就不大,所以自己完全并没有必要过分担忧。

那么,个人隐私信息泄露的危害,真的只是如此吗?

平台账号密码泄露,资金也有风险

“为了方便,我很多账号密码都设置一样的。”

前不久,从事客服工作的贾彤发现邮箱账号被盗,而她只是简单修改替换了邮箱密码。然而接下来的几天,她有不少平台的账号在异地被频繁登录。就连手机中的支付应用,也经常提示账号异常。

贾彤赶紧上网搜索解决方法,发现有不少网友都在咨询类似的情况。

由于跨平台账号密码设置一致,导致用户只要有一个账号被盗,黑客就会利用这一账号信息频繁尝试登录其他平台,以窃取更多的用户资料和价值信息,而这种“撞库”的成功率据说相当高。

“如果密码都会设置不一样,经常会搞混或者忘记,设置一样的话,又怕一个平台发生信息泄露,其他平台都被破解。”同样怀疑自己遭遇“撞库”的大学生黄宇告诉懂懂笔记,不久前,他的游戏账号就发生了被盗、无法登陆的现象。

在花了两天时间将账号申诉回来之后,他却无奈发现,游戏中的大量装备,都被“转让”一空了。这让他不禁想起了事发前,某知名网站被爆大量用户信息泄露的新闻。

“虽然不是很肯定这之间有关系,但还是担心别的账号也被盗号。”小心起见,黄宇不得不将所有的平台密码都改了一遍。甚至还将支付宝、微信支付中的银行卡全部解绑,以确保资金的安全。

那么,黑客通过通过“撞库”是否能盗取、转走用户支付应用中的资金呢?

“是否能转走用户资金,属于撞库攻击后具体的操作,这也涉及到相关支付平台的安全措施和安全等级。”360网络安全响应中心安全分析师韩昊晟告诉懂懂笔记,撞库攻击是一种通用的攻击方法,转走用户资金是一些具备该功能的平台被攻击后,黑客进行的另一种操作,这两者之间并不是同一个概念。

韩昊晟强调,如果用户在使用金融相关应用的过程中,开启了诸如动态密码、短信验证码等多重验证措施,可以大幅提高应用支付时的安全系数,同时减少撞库攻击后自己资金被转走的风险。

他同时强调,不同账户设置不同的密码,是保障用户数据安全的重要方式之一。针对个人密码的设置,建议养成良好的密码习惯,字母大小写+数字+符号的16位密码,“不要使用生日、手机号等作为常用密码,并且养成定期更改的习惯,重要账号密码需单独设置。”

最为重要的是,当出现重大数据泄露事件且涉及到自身安全隐私时,用户应该尽快去修改相关账户密码。同时及时查看自己是否在其它站点、应用、金融或银行业务使用了同一密码,如果有的话也应该立即修改。

处身于网络时代,我们每个人的数据信息都有可能沦为灰产牟利的工具,实际上这也暴露了当前网络安全防护的脆弱性。我们可以说不在意自己在网上已经是“透明人”,但是这些信息很可能不仅被不法分子用于谋取商业利益,还可能用于危害公共信息安全,操纵社会舆论,这样的后果更是细思极恐。

今年初,国家标准《信息安全技术个人信息安全规范》发布后,就有行业人士呼吁,对于那些拥有海量个人数据信息的企业,如果继续漠视用户利益,甚至违法违规,这部《规范》应该会成为其巨大的负担和追责依据,只有这样才能引发那些野蛮生长的行业进行反思。

作为个人用户,我们希望整个行业都能守土有责,信息安全已经不是个人的事情,也希望那些掌握海量数据的企业,能在技术和人这两方面,负起真正的责任。

【责任编辑:杨雪】

声明:来源非IT商业科技网的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

频道精选
ARMGPU漏洞暴露安卓升级困局,谷歌Project Zero团队谴责厂商偷懒行

ARMGPU漏洞暴露安卓升级困局,谷歌Project Zero团队谴责厂商偷懒行

谷歌的ProjectZero团队的终极目标是消除世界上所有的零日漏洞,而鉴于近期爆发的ARMGPU漏洞
ARM 手机 GPU 漏洞 谷歌
决战辅助驾驶下半场 极狐、长城、小鹏等车企角逐城市NOA

决战辅助驾驶下半场 极狐、长城、小鹏等车企角逐城市NOA

今年下半年以来,小鹏、极狐、吉利、长城等车企纷纷推出搭载城市 NOA功能产品。
极狐 长城 小鹏 汽车
三星Galaxy S23 Ultra或搭载超声波指纹解锁:识别精度更高更安全

三星Galaxy S23 Ultra或搭载超声波指纹解锁:识别精度更高更安全

随着第二代骁龙8旗舰芯片的正式亮相,一大波搭载该芯片的顶级旗舰很快就将迎来第一波大混战
三星 通信 超声波
分手在即 网易给玩家发问卷调查:你还会玩暴雪游戏吗?

分手在即 网易给玩家发问卷调查:你还会玩暴雪游戏吗?

据官方介绍,2023年1月24日0时起,正式停止暴雪游戏产品的运营,关闭战网登录以及所有游戏服务器,同时关闭客户端下载。
网易 游戏 暴雪游戏
软银研发出以无人机探测灾害被埋者手机信号的技术

软银研发出以无人机探测灾害被埋者手机信号的技术

日本软银现公布了一项新技术,可通过小型无人机探测灾害中被沙土瓦砾掩埋者的智能手机信号并锁定位置。
软银 互联网 手机信号
马斯克:若推特被谷歌苹果下架 将生产属于自己的智能手机

马斯克:若推特被谷歌苹果下架 将生产属于自己的智能手机

据国外媒体报道,马斯克在推特回复网友称,如果谷歌和苹果将推特从应用商店中移除,他将生产一款自己的智能手机作为替代品。
马斯克 手机 谷歌 智能手机
消息称美国FTC可能提起诉讼,阻止微软以690亿美元收购动视暴雪

消息称美国FTC可能提起诉讼,阻止微软以690亿美元收购动视暴雪

据Politico周三援引三位知情人士的话报道,美国联邦贸易委员会(FTC)可能会提起反垄断诉讼,以阻止微软公司对视频游戏发行商动视暴雪公司以690亿美元进行收购。
微软 互联网 动视暴雪
挖台积电墙角 三星3nm喜迎4大客户:百度也有参与

挖台积电墙角 三星3nm喜迎4大客户:百度也有参与

三星也在想办法提升良率,不过更关键的还是如何拉到大客户,韩国媒体表示三星在这方面也不是没有进展,除了三星自己的芯片部门,还锁定了四大客户。
台积电 通信 百度 三星
两大服饰“抄袭惯犯”对簿公堂:江南布衣诉森马开庭,同病相

两大服饰“抄袭惯犯”对簿公堂:江南布衣诉森马开庭,同病相

昨日,江南布衣服饰与浙江森马服饰的案件开庭了。双方就著作权权属、侵权及不正当竞争纠纷,对簿公堂。
江南布衣 互联网 森马
氢燃料电池汽车在韩国已注册2.7万辆 在新能源汽车中占近2%

氢燃料电池汽车在韩国已注册2.7万辆 在新能源汽车中占近2%

据国外媒体报道,在发展新能源汽车的浪潮中,除了混合动力汽车和纯电动汽车,通过氢与氧的化学反应而产生电能进而驱动车辆的氢燃料电池汽车。
氢燃料 汽车 新能源汽车

2017-2019 Copyright © IT商业科技网 备案许可证号豫ICP备18040629号 豫公网安备110102003388号

技术支持:沿亮云科技