信息是一道光�,泄露到你發(fā)慌
2018年10月22日
從Facebook泄露5000萬用戶信息,到華住泄露1.3億人住房信息���,今年這樣的信息泄露事件一直層出不窮����,并且規(guī)模越來越大����。
公眾難免質(zhì)疑,“既然公司獲取并使用了我的信息�,那便應(yīng)有保護(hù)這些信息的義務(wù)。如今因為這些信息的泄露����,讓個人安全和隱私受到極大威脅,那之后是否還能放心的將這些信息交給這家企業(yè)呢?”
由信息泄露事件引發(fā)的矛盾一步步將企業(yè)推入信任危機的漩渦,被泄露的信息往往會通過暗網(wǎng)等隱蔽性極強的手段銷售傳播�����,而對于被泄露的信息來說���,這個故事才剛剛開始�。
這次我們采訪了360信息安全部的負(fù)責(zé)人高雪峰和網(wǎng)絡(luò)攻防實驗室負(fù)責(zé)人林偉�,他們講述了信息從被泄露開始到最終被惡意利用的完整過程。
信息泄露是如何發(fā)生的?
被泄露的數(shù)據(jù)雖然千奇百怪����,有快遞信息、開房信息�����、學(xué)生信息等等���,但如果追溯到信息泄露事件的源頭�����,不難發(fā)現(xiàn)很多數(shù)據(jù)庫的信息泄露都是因為某個終端的一點出現(xiàn)了問題�����。從被泄的信息處溯源�����,泄露信息的具體手段雖然千奇百怪��,但總的仍可分為4種����。
1. 黑客攻擊
這種黑客通過攻擊數(shù)據(jù)庫����,導(dǎo)出部分用戶數(shù)據(jù)的行為,被稱之為“拖庫”���。黑客通過漏洞等技術(shù)手段對后臺攻擊�����,并最終獲得提取后臺數(shù)據(jù)庫的權(quán)限����。這些被利用的漏洞,有些是通過黑客自己挖掘的�����,但更多的是黑客利用了已知漏洞但企業(yè)后臺尚未及時進(jìn)行修補的缺口���。
隨著企業(yè)安全意識的不斷增強�,各種防御手段不斷升級�����,這種攻擊手段往往難度更大并且很難得手���。這種攻擊手法往往針對性更強�,并被經(jīng)過精心策劃����。例如早前7月,新加波政府的健康數(shù)據(jù)庫遭遇重大網(wǎng)絡(luò)攻擊��,約150萬的個人信息被竊取�����,其中甚至包括了總理李顯龍的數(shù)據(jù)。
2. 撞庫攻擊
這種攻擊手法簡單來說就是用已有數(shù)據(jù)庫中的賬號密碼去在不同的平臺嘗試登陸�,因為有些用戶習(xí)慣在不同的平臺使用同一個密碼,這就導(dǎo)致被“撞”出來的密碼越來越多���。而這種“撞庫”的行為本身也類似于滾雪球效應(yīng),隨著數(shù)據(jù)庫的不斷累積��,能夠撞到的數(shù)據(jù)也越來越多��。
這種黑客通過用戶在A網(wǎng)站的賬戶嘗試登錄B網(wǎng)站的行為��,已經(jīng)有很多典型案例�����,早先12306網(wǎng)站被泄露的十萬多條用戶數(shù)據(jù)便是被撞庫所得���。而隨著被泄露數(shù)據(jù)庫的增多�,撞庫的成功率也會不斷增加���。
3. 內(nèi)鬼
“日防夜防����,家賊難防”,與通過技術(shù)手段進(jìn)行攻擊相比�,內(nèi)部人員為了私利而泄露信息是最常見的也是很難進(jìn)行防范的。對于公司安全團(tuán)隊來說����,做了不少防護(hù)措施,包括修復(fù)漏洞�,加強防火墻,設(shè)置多級加密等����,但出現(xiàn)內(nèi)部泄露事件往往會讓這些努力全部付之東流。
不少企業(yè)都有發(fā)現(xiàn)內(nèi)鬼的存在��,但事發(fā)后并不敢公開����,就算手握真憑實據(jù)也只能默默開除。究其原因�,還是為了維護(hù)品牌以及企業(yè)的名聲。只有當(dāng)被大量媒體報道披露后��,一些企業(yè)才會做出相關(guān)回應(yīng)��。
據(jù)之前《財經(jīng)》雜志報道顯示�,有80%的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為��,黑客和其他方式僅占20%����。面對巨大的利益誘惑��,不過兩草猶一心����,人心不如草����。
4. 安全意識差
一些員工為了工作方便,將后臺的賬號密碼上傳到網(wǎng)上����,導(dǎo)致后臺數(shù)據(jù)庫泄露;更有甚者,通過不加密的EXCEL導(dǎo)入傳輸數(shù)據(jù)��。例如早先一些知名網(wǎng)站因為采用明文存儲用戶名密碼���,在遭受黑客攻擊后大量用戶數(shù)據(jù)庫被掛在互聯(lián)網(wǎng)上��。設(shè)想����,如果這些網(wǎng)站采用加密的形式存儲了關(guān)鍵數(shù)據(jù),即使遭到攻擊數(shù)據(jù)被竊取�����,也未必能夠破解進(jìn)而造成數(shù)據(jù)泄漏����。
對于安全意識差的的問題,簡單可以分為兩類:
被泄露的信息落入誰手?
買家構(gòu)成背景其實十分復(fù)雜,無論是通過網(wǎng)絡(luò)攻擊獲取數(shù)據(jù)庫的黑客���,還是盜竊企業(yè)數(shù)據(jù)的內(nèi)鬼����,除了會在暗網(wǎng)上進(jìn)行匿名兜售,還會通過特殊渠道賣給相應(yīng)的“二道販子”����,這些二道販子有自己的對口客戶,類似于和這些信息相關(guān)的企業(yè)和灰黑產(chǎn)業(yè)鏈條��。
“二道販子”會根據(jù)泄露數(shù)據(jù)中的地域�、職業(yè)、年齡��、消費水平等具體條件進(jìn)行篩選歸類����,這整個過程也被稱為“洗庫”,經(jīng)過精細(xì)的篩選細(xì)分后����,“二道販子”會根據(jù)“客戶”需要通過社交網(wǎng)絡(luò)完成最后的精準(zhǔn)分銷���。
大部分的二道販子售賣數(shù)據(jù)都是5-10萬條起售�����,價格大多在1毛/條左右�����,有些甚至1分錢都不到�����。雖然價格如此低廉�,但這些信息的詳細(xì)準(zhǔn)確程度卻讓人咋舌,從姓名�、電話、住址到身份證號���、家人聯(lián)系方式��、消費水平等一應(yīng)俱全��。
每次的信息數(shù)據(jù)庫泄露的也許只是這些信息的一部分�,但多次信息泄露讓這些數(shù)據(jù)不斷累加�����,變得愈發(fā)詳細(xì)���,通過這些信息并不難描繪出一幅精準(zhǔn)的“畫像”��。通過被精準(zhǔn)描繪出的“畫像”����,企業(yè)有很多渠道來變現(xiàn)實現(xiàn)商業(yè)價值,而對于灰黑產(chǎn)來說���,便是進(jìn)行犯罪活動的最佳“利器”�。
按照泄露信息進(jìn)行劃分�����,可以大致分為一下幾類:
1. 個人身份信息
個人身份信息(Personally identifiable information����,簡稱PII)是指可用于識別、定位或關(guān)聯(lián)特定個體的數(shù)據(jù)�����,包括姓名����、出生日期��、住址、電話號碼等等����。網(wǎng)絡(luò)犯罪份子在利用PII方面具有高度的靈活性。
攻擊者經(jīng)?���?梢灾苯訉κ芎φ哌M(jìn)行惡意攻擊,通過使用受害人名下的貸款或信用卡信息提供欺詐性所得稅申報�,并以受害人的名義申請貸款等。另一方面����,當(dāng)這些PII被銷售給市場營銷公司或?qū)iT從事垃圾郵件活動的公司后,受害者也會由此受到間接影響����,飽受垃圾/廣告郵件和騷擾電話的困擾。
2. 財務(wù)信息
財務(wù)信息是個人財務(wù)活動中使用的相關(guān)數(shù)據(jù)��,包括銀行信息�����、賬單賬戶�����、保險信息以及其他可用于訪問賬戶或處理金融交易的數(shù)據(jù)。
當(dāng)這些信息被竊時��,可能會極大地威脅用戶的財產(chǎn)安全����。網(wǎng)絡(luò)犯罪分子可以利用盜取的財務(wù)信息進(jìn)行簡單的惡意攻擊活動,例如支付賬單���、進(jìn)行欺詐性線上交易��,以及轉(zhuǎn)移受害人的銀行資產(chǎn)等�����。更多的專業(yè)網(wǎng)絡(luò)犯罪份子和組織甚至可能會制造假信用卡供自己使用�。
3. 醫(yī)療信息
醫(yī)療信息包括醫(yī)療記錄��、醫(yī)療保險以及其他相關(guān)的信息���。除了可以像PII一樣揭示用戶的身份外,醫(yī)療信息在一些國家還可以被用來購買在柜臺買不到的處方藥�。如此一來����,可能會導(dǎo)致藥物濫用行為�����,尤其是涉及到與藥物有關(guān)的處方藥政策時�����。
4. 教育信息
教育信息是指與個人教育記錄相關(guān)的數(shù)據(jù)���,其中包括成績單和學(xué)校記錄等���。雖然教育信息不能像財務(wù)信息一樣,產(chǎn)生一些立竿見影的后果�����,但是它也同樣會將用戶置于潛在的勒索或欺詐威脅中����,徐玉玉慘案便是由于考生信息泄露遭詐騙分子利用造成的。
5. 支付卡信息
支付卡信息包括信用卡和借記卡數(shù)據(jù)以及其他相關(guān)的信息��。這些數(shù)據(jù)與財務(wù)信息相似,因為它也會直接影響到用戶的財務(wù)安全���。然而�����,支付卡信息可能會比財務(wù)信息更危險�,因為這些信息可以用來進(jìn)行在線交易和付款/轉(zhuǎn)賬�����。
6. 用戶憑據(jù)
用戶憑據(jù)是指用戶數(shù)字或在線賬戶憑據(jù)�����、證書等數(shù)據(jù)�,包括電子郵件賬戶的用戶名和密碼以及其他在線購物登錄憑證等信息。用戶憑據(jù)被盜可能會比PII被盜更危險���,因為它會暴露受害者的在線賬戶�����,并將其置于被攻擊者惡意使用的危險之中����。
而上面提到的這些信息類型相互之間又有極大的關(guān)聯(lián)關(guān)系����,當(dāng)其中某一類信息遭到泄露,相關(guān)信息也會遭受到極大的威脅�。
如何破解信息泄露的困局?
目前的很多中小企業(yè)對于信息泄露的事件仍持有“見兔而顧犬,亡羊而補牢”的態(tài)度���,一旦信息被泄露�����,之后的措施往往只能修補原先的泄漏出口��,而想要追到被泄露出去的信息基本已是不可能的事����。信息泄露者會通過暗網(wǎng)等防可逆的渠道兜售信息�����,而對于這些泄露信息的售賣者來說真的就無計可施嗎?至少從結(jié)果來看并不是這樣的�����,無論是暗網(wǎng)還是信息售賣者,警方都有自己的保密方式去做到有效打擊���。
亡羊而補牢的處理態(tài)度最終導(dǎo)致的是覆水難收�,所以從企業(yè)的角度來看��,還是應(yīng)防患于未然����,建立起完整的安全防護(hù)體系。
1. 從企業(yè)來說
建立從風(fēng)險防控到預(yù)警響應(yīng)的完整防護(hù)體系
數(shù)據(jù)庫采用多重驗證等防護(hù)手段�,并進(jìn)行相應(yīng)的加密防護(hù)
提高工作人員的安全意識和重視程度
有明確的邊界設(shè)置意識,分等級的進(jìn)行安全防護(hù)����,將重要資源傾向于最關(guān)鍵的信息
一旦信息泄露事件發(fā)生,應(yīng)立刻向有關(guān)部門求助���,敢于接受現(xiàn)實�,通過有關(guān)部門的幫助����,將信息泄露對企業(yè)和個人的危害降到最低
2. 從個人來說
不同賬戶設(shè)置不同的密碼�����,按重要程度對密碼進(jìn)行分級�,涉及到財產(chǎn)安全等重要信息的密碼采用字母大小寫+數(shù)字+符號的16位密碼��,并且不要使用生日����、手機號等常用信息作為常用密碼��,并進(jìn)行定期更改(這能很大程度的防止密碼被黑客撞庫得知或被暴力破解)
對于重要信息可以采用多因子認(rèn)證的手段�����,而不只是簡單的單重驗證(驗證碼+密碼+指紋等多重驗證)
對于陌生的電話�����、郵件���、短信等有風(fēng)險防范意識�����,不要輕信和點擊不明鏈接
選擇正規(guī)網(wǎng)站登錄和注冊信息����,不要因為一些小利益就將自己銀行卡號等關(guān)鍵信息透露出去(類似于很多非正規(guī)網(wǎng)站的注冊領(lǐng)紅包活動)
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)�、動漫設(shè)計、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”、“制度流程”����、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案���,業(yè)務(wù)涵蓋咨詢����、評估、規(guī)劃�����、管控��、建設(shè)���、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
