加入收藏 | 设为首页 | 会员中心 | 我要投稿 源码门户网 (https://www.92codes.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

八成数据泄漏因为内鬼,优质信息售价惊人

发布时间:2018-10-21 12:38:45 所属栏目:安全 来源:钛媒体
导读:副标题#e# 在一家贸易公司负责国内业务的刘昊,最近倍感困扰。 由于工作需要,他在不少网站和APP应用上都有自己的账号,然而不久前,顺丰和华住等企业先后传出上亿条用户数据遭泄露之后,他被同事的忠告吓得把十几个平台上的所有登录密码都修改了一遍,而且
副标题[/!--empirenews.page--]

在一家贸易公司负责国内业务的刘昊,最近倍感困扰。

由于工作需要,他在不少网站和APP应用上都有自己的账号,然而不久前,顺丰和华住等企业先后传出上亿条用户数据遭泄露之后,他被同事的“忠告”吓得把十几个平台上的所有登录密码都修改了一遍,而且每个平台的用户名和密码都修改为完全不同。

“IT部门的哥们儿说,只要黑客拿到一个平台上的用户密码,就会用撞库的方法在其它网站上进行登陆尝试。”他对此非常无奈,虽然事件有了进展,例如日前华住集团官网针对5亿条用户数据泄漏事件发布声明,表示根据公安机关的最新消息,案件已告破,在暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果。但他对此仍然感到不放心。

尤其是朋友告诉他,以后自己这些重要的应用不要使用同一个登录密码,最好是一个应用使用一个密码,不要重样。这可让他费劲了脑汁。

实际上,近几年无论是国内还是国外的互联网企业、服务机构,在用户信息方面都屡屡出现重大泄露事件,几乎可以说没有一位用户的信息是绝对安全的。而那些在网上高价兜售的用户数据,更是奇货可居,一旦出现就会被高价收购。到底是谁在盯着我们每个人的数据隐私?

用户信息泄露首先是“人”的问题

“(用户)数据被盗已经不是第一次了,我们也很苦恼。”

吴胜强在一家互联网公司担任运营总监。两年前,他所在的这家企业研发并运营了一款新车评测的视频类应用。之后,他们就一直在与用户隐私数据安全做着不懈“斗争”。

由于这款应用涉及评测和购车话题,注册用户也被视作购车、养车的潜在客户,因此数据库常常成为网络黑客重点“光顾”的对象。应用上线初期,几乎每个月都会发生一、两起数据库被攻击的事件。

黑客通过攻击数据库,导出部分用户数据的行为,被称之为“拖库”。为了杜绝类似的事件发生,公司的技术团队做了不少防护措施,包括修复漏洞,加强防火墙,设置多级加密等。

“但类似的用户信息泄露问题依旧还会出现,有的时候感觉是防不胜防。”他告诉懂懂笔记,尽管数据库安全系数增加了不少,但隐患始终没有排除。

有时候,部分泄露信息还是在用户投诉后,技术团队才得以发现。因此,吴胜强和技术主管开始怀疑,在公司内部出现了盗窃用户数据的内鬼,但是在缺乏证据的情况下,他们一时难以锁定目标。

“如果真的拿到真凭实据,对于内鬼也只能悄悄开除。”吴胜强透露,不少企业都发现了内鬼的存在,但在部分信息泄露之后都不敢公开,甚至不敢报警。究其原因,还是为了维护品牌以及企业的名声。除非是大面积信息泄露被媒体报道,相关企业才会做出回应,或者交由警方处理。

据《财经》杂志报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。对于这样的比例,可能很多企业高管会感到惊讶,自己在技术上的投入防的了黑客却防不住人心。

“企业在不断加强通过技术防御过程中,往往疏忽了‘人’才是安全攻防的本质与核心。”聊到这个话题,在知名信息安全企业任高级分析师的韩昊晟也表示,一些企业在加强了数据安全技术防护措施之后,的确能够减少因漏洞被黑客攻击所产的生数据泄露事件。但是这些举措无法阻止因企业内部培训、监督、管理缺失,导致监守自盗,泄露用户隐私信息的行为。

或许,无论是加强技术防护门槛,还是加强对相关人员的监察,都只能是在一定程度上尽量杜绝数据泄露的发生。毕竟想要获取这些数据的灰产或者黑客,对于海量真实用户数据的贪婪是我们难以想象的。原因很简单,出售这些数据能够带来巨大的财富。

那么,那些泄露出去的用户隐私的数据,是被什么人买走了?

用户信息被循环出售,买家背景复杂

“只要验证信息是真实的,他们就会收。”

曾从事信息灰产的汪海(化名)在交流中透露,无论是专门攻击数据库的黑客,还是盗窃企业数据的内鬼,除了个别的会自己去暗网上匿名兜售,大多情况下,都是整套卖给类似他这样的“二道贩子”,再通过社交网络分销出去。

“二道贩子”根据信息内容中,所涉及的职业、所在地、消费能力等信息进行分类、筛选、梳理成一套套有行业针对性的用户信息资料。而这个分类、筛选、梳理的过程,也被称为“洗库”。之后,这些用户信息,就成了可以销售的“成品”了。

“用户信息的买家,三教九流、形形色色什么人都有。”汪海表示,诸如小区业主、车主、高消场所顾客、网购达人等用户信息,要价最高,每万条信息甚至可以卖出几千上万元的价格。

他透露,高价值用户数据的买家,或来自一些地产企业、投资理财机构,也会有一些商业银行和保险机构。购买这些数据的目的,主要是希望通过这些用户信息,推销拓展与房产、投资、理财等相关的业务。

而那些普通消费类用户信息,诸如酒店预订、电商购物、商场积分等等,“二道贩子”会整理好信息后,在美妆、鞋服、数码、旅游、培训等细分领域出售给相应的企业。

这一类数据的价格比较便宜,每万条售价数百元到千元,而且常常会多次、重复销售。甚至有一些买家在利用完这部分信息进行产品推广后,还会通过更低级别的信息贩子,转手出售给一些小规模的房产中介、网贷公司。

“至于那些缺少标签,无法分类的个人信息,往往会跟着多次回收的二手信息一起,低价卖给诈骗份子。”汪海透露,一些诈骗电话、短信之所以能够知道用户曾经的消费记录、购物信息,有针对性的进行诈骗,都是参考自这些廉价、且自带多重消费行为标注的隐私数据。

如此算来,一套拥有数千万个用户信息的数据,能够给黑客、信息贩子带来的直接收益,就足够惊人。而在这些信息买卖的过程中,不少信息贩子为了掩人耳目,在交易时是使用购买来的身份证件、银行卡去收款,甚至会使用虚拟币进行交易,以规避被有关部门查处的风险。

有不少网友表示,个人信息泄露事件层出不穷,自己已经见怪不怪了。若信息只是卖给商家、骗子,那么遇到销售、诈骗电话和短信,顶多不接不看就是。不接触,对日常的生活影响也就不大,所以自己完全并没有必要过分担忧。

那么,个人隐私信息泄露的危害,真的只是如此吗?

平台账号密码泄露,资金也有风险

“为了方便,我很多账号密码都设置一样的。”

前不久,从事客服工作的贾彤发现邮箱账号被盗,而她只是简单修改替换了邮箱密码。然而接下来的几天,她有不少平台的账号在异地被频繁登录。就连手机中的支付应用,也经常提示账号异常。

贾彤赶紧上网搜索解决方法,发现有不少网友都在咨询类似的情况。

(编辑:源码门户网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读