信息是一道光�,泄露到你發(fā)慌
2018年10月22日
從Facebook泄露5000萬用戶信息,到華住泄露1.3億人住房信息����,今年這樣的信息泄露事件一直層出不窮,并且規(guī)模越來越大����。
公眾難免質(zhì)疑,“既然公司獲取并使用了我的信息��,那便應(yīng)有保護(hù)這些信息的義務(wù)���。如今因?yàn)檫@些信息的泄露����,讓個(gè)人安全和隱私受到極大威脅����,那之后是否還能放心的將這些信息交給這家企業(yè)呢?”
由信息泄露事件引發(fā)的矛盾一步步將企業(yè)推入信任危機(jī)的漩渦��,被泄露的信息往往會(huì)通過暗網(wǎng)等隱蔽性極強(qiáng)的手段銷售傳播����,而對(duì)于被泄露的信息來說����,這個(gè)故事才剛剛開始。
這次我們采訪了360信息安全部的負(fù)責(zé)人高雪峰和網(wǎng)絡(luò)攻防實(shí)驗(yàn)室負(fù)責(zé)人林偉���,他們講述了信息從被泄露開始到最終被惡意利用的完整過程��。
信息泄露是如何發(fā)生的?
被泄露的數(shù)據(jù)雖然千奇百怪�����,有快遞信息、開房信息���、學(xué)生信息等等����,但如果追溯到信息泄露事件的源頭,不難發(fā)現(xiàn)很多數(shù)據(jù)庫的信息泄露都是因?yàn)槟硞€(gè)終端的一點(diǎn)出現(xiàn)了問題�����。從被泄的信息處溯源��,泄露信息的具體手段雖然千奇百怪����,但總的仍可分為4種。
1. 黑客攻擊
這種黑客通過攻擊數(shù)據(jù)庫����,導(dǎo)出部分用戶數(shù)據(jù)的行為,被稱之為“拖庫”�����。黑客通過漏洞等技術(shù)手段對(duì)后臺(tái)攻擊���,并最終獲得提取后臺(tái)數(shù)據(jù)庫的權(quán)限��。這些被利用的漏洞��,有些是通過黑客自己挖掘的�����,但更多的是黑客利用了已知漏洞但企業(yè)后臺(tái)尚未及時(shí)進(jìn)行修補(bǔ)的缺口�����。
隨著企業(yè)安全意識(shí)的不斷增強(qiáng)��,各種防御手段不斷升級(jí)��,這種攻擊手段往往難度更大并且很難得手�。這種攻擊手法往往針對(duì)性更強(qiáng),并被經(jīng)過精心策劃���。例如早前7月�����,新加波政府的健康數(shù)據(jù)庫遭遇重大網(wǎng)絡(luò)攻擊����,約150萬的個(gè)人信息被竊取����,其中甚至包括了總理李顯龍的數(shù)據(jù)。
2. 撞庫攻擊
這種攻擊手法簡(jiǎn)單來說就是用已有數(shù)據(jù)庫中的賬號(hào)密碼去在不同的平臺(tái)嘗試登陸���,因?yàn)橛行┯脩袅?xí)慣在不同的平臺(tái)使用同一個(gè)密碼�����,這就導(dǎo)致被“撞”出來的密碼越來越多���。而這種“撞庫”的行為本身也類似于滾雪球效應(yīng),隨著數(shù)據(jù)庫的不斷累積���,能夠撞到的數(shù)據(jù)也越來越多����。
這種黑客通過用戶在A網(wǎng)站的賬戶嘗試登錄B網(wǎng)站的行為��,已經(jīng)有很多典型案例��,早先12306網(wǎng)站被泄露的十萬多條用戶數(shù)據(jù)便是被撞庫所得����。而隨著被泄露數(shù)據(jù)庫的增多,撞庫的成功率也會(huì)不斷增加。
3. 內(nèi)鬼
“日防夜防���,家賊難防”�����,與通過技術(shù)手段進(jìn)行攻擊相比�,內(nèi)部人員為了私利而泄露信息是最常見的也是很難進(jìn)行防范的�����。對(duì)于公司安全團(tuán)隊(duì)來說����,做了不少防護(hù)措施,包括修復(fù)漏洞����,加強(qiáng)防火墻,設(shè)置多級(jí)加密等�����,但出現(xiàn)內(nèi)部泄露事件往往會(huì)讓這些努力全部付之東流����。
不少企業(yè)都有發(fā)現(xiàn)內(nèi)鬼的存在,但事發(fā)后并不敢公開��,就算手握真憑實(shí)據(jù)也只能默默開除����。究其原因,還是為了維護(hù)品牌以及企業(yè)的名聲�����。只有當(dāng)被大量媒體報(bào)道披露后�,一些企業(yè)才會(huì)做出相關(guān)回應(yīng)。
據(jù)之前《財(cái)經(jīng)》雜志報(bào)道顯示����,有80%的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為,黑客和其他方式僅占20%��。面對(duì)巨大的利益誘惑�,不過兩草猶一心,人心不如草�。
4. 安全意識(shí)差
一些員工為了工作方便,將后臺(tái)的賬號(hào)密碼上傳到網(wǎng)上�,導(dǎo)致后臺(tái)數(shù)據(jù)庫泄露;更有甚者����,通過不加密的EXCEL導(dǎo)入傳輸數(shù)據(jù)����。例如早先一些知名網(wǎng)站因?yàn)椴捎妹魑拇鎯?chǔ)用戶名密碼,在遭受黑客攻擊后大量用戶數(shù)據(jù)庫被掛在互聯(lián)網(wǎng)上��。設(shè)想��,如果這些網(wǎng)站采用加密的形式存儲(chǔ)了關(guān)鍵數(shù)據(jù)�,即使遭到攻擊數(shù)據(jù)被竊取,也未必能夠破解進(jìn)而造成數(shù)據(jù)泄漏�����。
對(duì)于安全意識(shí)差的的問題�,簡(jiǎn)單可以分為兩類:
被泄露的信息落入誰手?
買家構(gòu)成背景其實(shí)十分復(fù)雜,無論是通過網(wǎng)絡(luò)攻擊獲取數(shù)據(jù)庫的黑客��,還是盜竊企業(yè)數(shù)據(jù)的內(nèi)鬼�����,除了會(huì)在暗網(wǎng)上進(jìn)行匿名兜售�,還會(huì)通過特殊渠道賣給相應(yīng)的“二道販子”,這些二道販子有自己的對(duì)口客戶�����,類似于和這些信息相關(guān)的企業(yè)和灰黑產(chǎn)業(yè)鏈條��。
“二道販子”會(huì)根據(jù)泄露數(shù)據(jù)中的地域��、職業(yè)����、年齡��、消費(fèi)水平等具體條件進(jìn)行篩選歸類�,這整個(gè)過程也被稱為“洗庫”�,經(jīng)過精細(xì)的篩選細(xì)分后,“二道販子”會(huì)根據(jù)“客戶”需要通過社交網(wǎng)絡(luò)完成最后的精準(zhǔn)分銷���。
大部分的二道販子售賣數(shù)據(jù)都是5-10萬條起售�,價(jià)格大多在1毛/條左右���,有些甚至1分錢都不到��。雖然價(jià)格如此低廉��,但這些信息的詳細(xì)準(zhǔn)確程度卻讓人咋舌��,從姓名����、電話�����、住址到身份證號(hào)�����、家人聯(lián)系方式、消費(fèi)水平等一應(yīng)俱全��。
每次的信息數(shù)據(jù)庫泄露的也許只是這些信息的一部分�����,但多次信息泄露讓這些數(shù)據(jù)不斷累加���,變得愈發(fā)詳細(xì),通過這些信息并不難描繪出一幅精準(zhǔn)的“畫像”���。通過被精準(zhǔn)描繪出的“畫像”����,企業(yè)有很多渠道來變現(xiàn)實(shí)現(xiàn)商業(yè)價(jià)值�����,而對(duì)于灰黑產(chǎn)來說�,便是進(jìn)行犯罪活動(dòng)的最佳“利器”。
按照泄露信息進(jìn)行劃分���,可以大致分為一下幾類:
1. 個(gè)人身份信息
個(gè)人身份信息(Personally identifiable information����,簡(jiǎn)稱PII)是指可用于識(shí)別、定位或關(guān)聯(lián)特定個(gè)體的數(shù)據(jù)���,包括姓名�、出生日期����、住址、電話號(hào)碼等等����。網(wǎng)絡(luò)犯罪份子在利用PII方面具有高度的靈活性。
攻擊者經(jīng)??梢灾苯訉?duì)受害者進(jìn)行惡意攻擊,通過使用受害人名下的貸款或信用卡信息提供欺詐性所得稅申報(bào)���,并以受害人的名義申請(qǐng)貸款等����。另一方面,當(dāng)這些PII被銷售給市場(chǎng)營銷公司或?qū)iT從事垃圾郵件活動(dòng)的公司后�����,受害者也會(huì)由此受到間接影響���,飽受垃圾/廣告郵件和騷擾電話的困擾�����。
2. 財(cái)務(wù)信息
財(cái)務(wù)信息是個(gè)人財(cái)務(wù)活動(dòng)中使用的相關(guān)數(shù)據(jù)���,包括銀行信息、賬單賬戶�、保險(xiǎn)信息以及其他可用于訪問賬戶或處理金融交易的數(shù)據(jù)��。
當(dāng)這些信息被竊時(shí)����,可能會(huì)極大地威脅用戶的財(cái)產(chǎn)安全。網(wǎng)絡(luò)犯罪分子可以利用盜取的財(cái)務(wù)信息進(jìn)行簡(jiǎn)單的惡意攻擊活動(dòng)����,例如支付賬單、進(jìn)行欺詐性線上交易,以及轉(zhuǎn)移受害人的銀行資產(chǎn)等�����。更多的專業(yè)網(wǎng)絡(luò)犯罪份子和組織甚至可能會(huì)制造假信用卡供自己使用��。
3. 醫(yī)療信息
醫(yī)療信息包括醫(yī)療記錄���、醫(yī)療保險(xiǎn)以及其他相關(guān)的信息���。除了可以像PII一樣揭示用戶的身份外,醫(yī)療信息在一些國家還可以被用來購買在柜臺(tái)買不到的處方藥���。如此一來��,可能會(huì)導(dǎo)致藥物濫用行為�,尤其是涉及到與藥物有關(guān)的處方藥政策時(shí)���。
4. 教育信息
教育信息是指與個(gè)人教育記錄相關(guān)的數(shù)據(jù)�,其中包括成績單和學(xué)校記錄等�。雖然教育信息不能像財(cái)務(wù)信息一樣,產(chǎn)生一些立竿見影的后果�,但是它也同樣會(huì)將用戶置于潛在的勒索或欺詐威脅中��,徐玉玉慘案便是由于考生信息泄露遭詐騙分子利用造成的�。
5. 支付卡信息
支付卡信息包括信用卡和借記卡數(shù)據(jù)以及其他相關(guān)的信息����。這些數(shù)據(jù)與財(cái)務(wù)信息相似,因?yàn)樗矔?huì)直接影響到用戶的財(cái)務(wù)安全�。然而,支付卡信息可能會(huì)比財(cái)務(wù)信息更危險(xiǎn)��,因?yàn)檫@些信息可以用來進(jìn)行在線交易和付款/轉(zhuǎn)賬�。
6. 用戶憑據(jù)
用戶憑據(jù)是指用戶數(shù)字或在線賬戶憑據(jù)、證書等數(shù)據(jù)����,包括電子郵件賬戶的用戶名和密碼以及其他在線購物登錄憑證等信息。用戶憑據(jù)被盜可能會(huì)比PII被盜更危險(xiǎn)�����,因?yàn)樗鼤?huì)暴露受害者的在線賬戶�,并將其置于被攻擊者惡意使用的危險(xiǎn)之中��。
而上面提到的這些信息類型相互之間又有極大的關(guān)聯(lián)關(guān)系���,當(dāng)其中某一類信息遭到泄露�,相關(guān)信息也會(huì)遭受到極大的威脅。
如何破解信息泄露的困局?
目前的很多中小企業(yè)對(duì)于信息泄露的事件仍持有“見兔而顧犬��,亡羊而補(bǔ)牢”的態(tài)度�����,一旦信息被泄露�,之后的措施往往只能修補(bǔ)原先的泄漏出口,而想要追到被泄露出去的信息基本已是不可能的事���。信息泄露者會(huì)通過暗網(wǎng)等防可逆的渠道兜售信息��,而對(duì)于這些泄露信息的售賣者來說真的就無計(jì)可施嗎?至少從結(jié)果來看并不是這樣的���,無論是暗網(wǎng)還是信息售賣者,警方都有自己的保密方式去做到有效打擊���。
亡羊而補(bǔ)牢的處理態(tài)度最終導(dǎo)致的是覆水難收�,所以從企業(yè)的角度來看����,還是應(yīng)防患于未然����,建立起完整的安全防護(hù)體系�。
1. 從企業(yè)來說
建立從風(fēng)險(xiǎn)防控到預(yù)警響應(yīng)的完整防護(hù)體系
數(shù)據(jù)庫采用多重驗(yàn)證等防護(hù)手段,并進(jìn)行相應(yīng)的加密防護(hù)
提高工作人員的安全意識(shí)和重視程度
有明確的邊界設(shè)置意識(shí)�,分等級(jí)的進(jìn)行安全防護(hù),將重要資源傾向于最關(guān)鍵的信息
一旦信息泄露事件發(fā)生�����,應(yīng)立刻向有關(guān)部門求助�,敢于接受現(xiàn)實(shí),通過有關(guān)部門的幫助�����,將信息泄露對(duì)企業(yè)和個(gè)人的危害降到最低
2. 從個(gè)人來說
不同賬戶設(shè)置不同的密碼��,按重要程度對(duì)密碼進(jìn)行分級(jí)�,涉及到財(cái)產(chǎn)安全等重要信息的密碼采用字母大小寫+數(shù)字+符號(hào)的16位密碼,并且不要使用生日���、手機(jī)號(hào)等常用信息作為常用密碼�����,并進(jìn)行定期更改(這能很大程度的防止密碼被黑客撞庫得知或被暴力破解)
對(duì)于重要信息可以采用多因子認(rèn)證的手段�����,而不只是簡(jiǎn)單的單重驗(yàn)證(驗(yàn)證碼+密碼+指紋等多重驗(yàn)證)
對(duì)于陌生的電話�����、郵件��、短信等有風(fēng)險(xiǎn)防范意識(shí)���,不要輕信和點(diǎn)擊不明鏈接
選擇正規(guī)網(wǎng)站登錄和注冊(cè)信息,不要因?yàn)橐恍┬±婢蛯⒆约恒y行卡號(hào)等關(guān)鍵信息透露出去(類似于很多非正規(guī)網(wǎng)站的注冊(cè)領(lǐng)紅包活動(dòng))
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)�、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”����、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案����,業(yè)務(wù)涵蓋咨詢、評(píng)估���、規(guī)劃���、管控、建設(shè)��、培訓(xùn)等����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
