數(shù)據(jù)泄漏多是內(nèi)鬼所為：高凈值信息售價(jià)驚人

　　在一家貿(mào)易公司負(fù)責(zé)國內(nèi)業(yè)務(wù)的劉昊，最近倍感困擾。

　　由于工作需要，他在不少網(wǎng)站和 APP 應(yīng)用上都有自己的賬號，然而不久前，順豐和華住等企業(yè)先后傳出上億條用戶數(shù)據(jù)遭泄露之后，他被同事的“忠告”嚇得把十幾個(gè)平臺上的所有登錄密碼都修改了一遍，而且每個(gè)平臺的用戶名和密碼都修改為完全不同。

　　“IT 部門的哥們兒說，只要黑客拿到一個(gè)平臺上的用戶密碼，就會用撞庫的方法在其它網(wǎng)站上進(jìn)行登陸嘗試。”他對此非常無奈，無論這些事件最終調(diào)查的結(jié)果如何，都要先改一下所有的登錄密碼才覺得安心。畢竟有不少賬號密碼，與自己的支付密碼是相關(guān)的。

　　尤其是朋友告訴他，以后自己這些重要的應(yīng)用不要使用同一個(gè)登錄密碼，最好是一個(gè)應(yīng)用使用一個(gè)密碼，不要重樣。這可讓他費(fèi)勁了腦汁。

　　實(shí)際上，近幾年無論是國內(nèi)還是國外的互聯(lián)網(wǎng)企業(yè)、服務(wù)機(jī)構(gòu)，在用戶信息方面都屢屢出現(xiàn)重大泄露事件，幾乎可以說沒有一位用戶的信息是絕對安全的。而那些在網(wǎng)上高價(jià)兜售的用戶數(shù)據(jù)，更是奇貨可居，一旦出現(xiàn)就會被高價(jià)收購。到底是誰在盯著我們每個(gè)人的數(shù)據(jù)隱私?

　　用戶信息泄露首先是“人”的問題

　　“(用戶)數(shù)據(jù)被盜已經(jīng)不是第一次了，我們也很苦惱。”

　　吳勝強(qiáng)在一家互聯(lián)網(wǎng)公司擔(dān)任運(yùn)營總監(jiān)。兩年前，他所在的這家企業(yè)研發(fā)并運(yùn)營了一款新車評測的視頻類應(yīng)用。之后，他們就一直在與用戶隱私數(shù)據(jù)安全做著不懈“斗爭”。

　　由于這款應(yīng)用涉及評測和購車話題，注冊用戶也被視作購車、養(yǎng)車的潛在客戶，因此數(shù)據(jù)庫常常成為網(wǎng)絡(luò)黑客重點(diǎn)“光顧”的對象。應(yīng)用上線初期，幾乎每個(gè)月都會發(fā)生一、兩起數(shù)據(jù)庫被攻擊的事件。

　　黑客通過攻擊數(shù)據(jù)庫，導(dǎo)出部分用戶數(shù)據(jù)的行為，被稱之為“拖庫”。為了杜絕類似的事件發(fā)生，公司的技術(shù)團(tuán)隊(duì)做了不少防護(hù)措施，包括修復(fù)漏洞，加強(qiáng)防火墻，設(shè)置多級加密等。

　　“但類似的用戶信息泄露問題依舊還會出現(xiàn)，有的時(shí)候感覺是防不勝防。”他告訴懂懂筆記，盡管數(shù)據(jù)庫安全系數(shù)增加了不少，但隱患始終沒有排除。

　　有時(shí)候，部分泄露信息還是在用戶投訴后，技術(shù)團(tuán)隊(duì)才得以發(fā)現(xiàn)。因此，吳勝強(qiáng)和技術(shù)主管開始懷疑，在公司內(nèi)部出現(xiàn)了盜竊用戶數(shù)據(jù)的內(nèi)鬼，但是在缺乏證據(jù)的情況下，他們一時(shí)難以鎖定目標(biāo)。

　　“如果真的拿到真憑實(shí)據(jù)，對于內(nèi)鬼也只能悄悄開除。”吳勝強(qiáng)透露，不少企業(yè)都發(fā)現(xiàn)了內(nèi)鬼的存在，但在部分信息泄露之后都不敢公開，甚至不敢報(bào)警。究其原因，還是為了維護(hù)品牌以及企業(yè)的名聲。除非是大面積信息泄露被媒體報(bào)道，相關(guān)企業(yè)才會做出回應(yīng)，或者交由警方處理。

　　據(jù)《財(cái)經(jīng)》雜志報(bào)道顯示，有 80% 的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為，黑客和其他方式僅占 20%。對于這樣的比例，可能很多企業(yè)高管會感到驚訝，自己在技術(shù)上的投入防的了黑客卻防不住人心。

　　“企業(yè)在不斷加強(qiáng)通過技術(shù)防御過程中，往往疏忽了‘人’才是安全攻防的本質(zhì)與核心。”聊到這個(gè)話題，在知名信息安全企業(yè)任高級分析師的韓昊晟也表示，一些企業(yè)在加強(qiáng)了數(shù)據(jù)安全技術(shù)防護(hù)措施之后，的確能夠減少因漏洞被黑客攻擊所產(chǎn)的生數(shù)據(jù)泄露事件。但是這些舉措無法阻止因企業(yè)內(nèi)部培訓(xùn)、監(jiān)督、管理缺失，導(dǎo)致監(jiān)守自盜，泄露用戶隱私信息的行為。

　　或許，無論是加強(qiáng)技術(shù)防護(hù)門檻，還是加強(qiáng)對相關(guān)人員的監(jiān)察，都只能是在一定程度上盡量杜絕數(shù)據(jù)泄露的發(fā)生。畢竟想要獲取這些數(shù)據(jù)的灰產(chǎn)或者黑客，對于海量真實(shí)用戶數(shù)據(jù)的貪婪是我們難以想象的。原因很簡單，出售這些數(shù)據(jù)能夠帶來巨大的財(cái)富。

　　那么，那些泄露出去的用戶隱私的數(shù)據(jù)，是被什么人買走了?

　　用戶信息被循環(huán)出售，買家背景復(fù)雜

　　“只要驗(yàn)證信息是真實(shí)的，他們就會收。”

　　曾從事信息灰產(chǎn)的汪海(化名)在交流中透露，無論是專門攻擊數(shù)據(jù)庫的黑客，還是盜竊企業(yè)數(shù)據(jù)的內(nèi)鬼，除了個(gè)別的會自己去暗網(wǎng)上匿名兜售，大多情況下，都是整套賣給類似他這樣的“二道販子”，再通過社交網(wǎng)絡(luò)分銷出去。

　　“二道販子”根據(jù)信息內(nèi)容中，所涉及的職業(yè)、所在地、消費(fèi)能力等信息進(jìn)行分類、篩選、梳理成一套套有行業(yè)針對性的用戶信息資料。而這個(gè)分類、篩選、梳理的過程，也被稱為“洗庫”。之后，這些用戶信息，就成了可以銷售的“成品”了。

　　“用戶信息的買家，三教九流、形形色色什么人都有。”汪海表示，諸如小區(qū)業(yè)主、車主、高消場所顧客、網(wǎng)購達(dá)人等用戶信息，要價(jià)最高，每萬條信息甚至可以賣出幾千上萬元的價(jià)格。

　　他透露，高價(jià)值用戶數(shù)據(jù)的買家，或來自一些地產(chǎn)企業(yè)、投資理財(cái)機(jī)構(gòu)，也會有一些商業(yè)銀行和保險(xiǎn)機(jī)構(gòu)。購買這些數(shù)據(jù)的目的，主要是希望通過這些用戶信息，推銷拓展與房產(chǎn)、投資、理財(cái)?shù)认嚓P(guān)的業(yè)務(wù)。

　　而那些普通消費(fèi)類用戶信息，諸如酒店預(yù)訂、電商購物、商場積分等等，“二道販子”會整理好信息后，在美妝、鞋服、數(shù)碼、旅游、培訓(xùn)等細(xì)分領(lǐng)域出售給相應(yīng)的企業(yè)。

　　這一類數(shù)據(jù)的價(jià)格比較便宜，每萬條售價(jià)數(shù)百元到千元，而且常常會多次、重復(fù)銷售。甚至有一些買家在利用完這部分信息進(jìn)行產(chǎn)品推廣后，還會通過更低級別的信息販子，轉(zhuǎn)手出售給一些小規(guī)模的房產(chǎn)中介、網(wǎng)貸公司。

　　“至于那些缺少標(biāo)簽，無法分類的個(gè)人信息，往往會跟著多次回收的二手信息一起，低價(jià)賣給詐騙份子。”汪海透露，一些詐騙電話、短信之所以能夠知道用戶曾經(jīng)的消費(fèi)記錄、購物信息，有針對性的進(jìn)行詐騙，都是參考自這些廉價(jià)、且自帶多重消費(fèi)行為標(biāo)注的隱私數(shù)據(jù)。

　　如此算來，一套擁有數(shù)千萬個(gè)用戶信息的數(shù)據(jù)，能夠給黑客、信息販子帶來的直接收益，就足夠驚人。而在這些信息買賣的過程中，不少信息販子為了掩人耳目，在交易時(shí)是使用購買來的身份證件、銀行卡去收款，甚至?xí)褂锰摂M幣進(jìn)行交易，以規(guī)避被有關(guān)部門查處的風(fēng)險(xiǎn)。

　　有不少網(wǎng)友表示，個(gè)人信息泄露事件層出不窮，自己已經(jīng)見怪不怪了。若信息只是賣給商家、騙子，那么遇到銷售、詐騙電話和短信，頂多不接不看就是。不接觸，對日常的生活影響也就不大，所以自己完全并沒有必要過分擔(dān)憂。

　　那么，個(gè)人隱私信息泄露的危害，真的只是如此嗎?

　　平臺賬號密碼泄露，資金也有風(fēng)險(xiǎn)

　　“為了方便，我很多賬號密碼都設(shè)置一樣的。”

　　前不久，從事客服工作的賈彤發(fā)現(xiàn)郵箱賬號被盜，而她只是簡單修改替換了郵箱密碼。然而接下來的幾天，她有不少平臺的賬號在異地被頻繁登錄。就連手機(jī)中的支付應(yīng)用，也經(jīng)常提示賬號異常。

　　賈彤趕緊上網(wǎng)搜索解決方法，發(fā)現(xiàn)有不少網(wǎng)友都在咨詢類似的情況。

　　由于跨平臺賬號密碼設(shè)置一致，導(dǎo)致用戶只要有一個(gè)賬號被盜，黑客就會利用這一賬號信息頻繁嘗試登錄其他平臺，以竊取更多的用戶資料和價(jià)值信息，而這種“撞庫”的成功率據(jù)說相當(dāng)高。

　　“如果密碼都會設(shè)置不一樣，經(jīng)常會搞混或者忘記，設(shè)置一樣的話，又怕一個(gè)平臺發(fā)生信息泄露，其他平臺都被破解。”同樣懷疑自己遭遇“撞庫”的大學(xué)生黃宇告訴懂懂筆記，不久前，他的游戲賬號就發(fā)生了被盜、無法登陸的現(xiàn)象。

　　在花了兩天時(shí)間將賬號申訴回來之后，他卻無奈發(fā)現(xiàn)，游戲中的大量裝備，都被“轉(zhuǎn)讓”一空了。這讓他不禁想起了事發(fā)前，某知名網(wǎng)站被爆大量用戶信息泄露的新聞。

　　“雖然不是很肯定這之間有關(guān)系，但還是擔(dān)心別的賬號也被盜號。”小心起見，黃宇不得不將所有的平臺密碼都改了一遍。甚至還將支付寶、微信支付中的銀行卡全部解綁，以確保資金的安全。

　　那么，黑客通過通過“撞庫”是否能盜取、轉(zhuǎn)走用戶支付應(yīng)用中的資金呢?

　　“是否能轉(zhuǎn)走用戶資金，屬于撞庫攻擊后具體的操作，這也涉及到相關(guān)支付平臺的安全措施和安全等級。”360 網(wǎng)絡(luò)安全響應(yīng)中心安全分析師韓昊晟告訴懂懂筆記，撞庫攻擊是一種通用的攻擊方法，轉(zhuǎn)走用戶資金是一些具備該功能的平臺被攻擊后，黑客進(jìn)行的另一種操作，這兩者之間并不是同一個(gè)概念。

　　韓昊晟強(qiáng)調(diào)，如果用戶在使用金融相關(guān)應(yīng)用的過程中，開啟了諸如動態(tài)密碼、短信驗(yàn)證碼等多重驗(yàn)證措施，可以大幅提高應(yīng)用支付時(shí)的安全系數(shù)，同時(shí)減少撞庫攻擊后自己資金被轉(zhuǎn)走的風(fēng)險(xiǎn)。

　　他同時(shí)強(qiáng)調(diào)，不同賬戶設(shè)置不同的密碼，是保障用戶數(shù)據(jù)安全的重要方式之一。針對個(gè)人密碼的設(shè)置，建議養(yǎng)成良好的密碼習(xí)慣，字母大小寫+數(shù)字+符號的 16 位密碼，“不要使用生日、手機(jī)號等作為常用密碼，并且養(yǎng)成定期更改的習(xí)慣，重要賬號密碼需單獨(dú)設(shè)置。”

　　最為重要的是，當(dāng)出現(xiàn)重大數(shù)據(jù)泄露事件且涉及到自身安全隱私時(shí)，用戶應(yīng)該盡快去修改相關(guān)賬戶密碼。同時(shí)及時(shí)查看自己是否在其它站點(diǎn)、應(yīng)用、金融或銀行業(yè)務(wù)使用了同一密碼，如果有的話也應(yīng)該立即修改。

　　處身于網(wǎng)絡(luò)時(shí)代，我們每個(gè)人的數(shù)據(jù)信息都有可能淪為灰產(chǎn)牟利的工具，實(shí)際上這也暴露了當(dāng)前網(wǎng)絡(luò)安全防護(hù)的脆弱性。我們可以說不在意自己在網(wǎng)上已經(jīng)是“透明人”，但是這些信息很可能不僅被不法分子用于謀取商業(yè)利益，還可能用于危害公共信息安全，操縱社會輿論，這樣的后果更是細(xì)思極恐。

　　今年初，國家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》發(fā)布后，就有行業(yè)人士呼吁，對于那些擁有海量個(gè)人數(shù)據(jù)信息的企業(yè)，如果繼續(xù)漠視用戶利益，甚至違法違規(guī)，這部《規(guī)范》應(yīng)該會成為其巨大的負(fù)擔(dān)和追責(zé)依據(jù)，只有這樣才能引發(fā)那些野蠻生長的行業(yè)進(jìn)行反思。

　　作為個(gè)人用戶，我們希望整個(gè)行業(yè)都能守土有責(zé)，信息安全已經(jīng)不是個(gè)人的事情，也希望那些掌握海量數(shù)據(jù)的企業(yè)，能在技術(shù)和人這兩方面，負(fù)起真正的責(zé)任。
　　（邯鄲網(wǎng)站制作）