编程技术网,编程语言,IT新闻,code,代码审查

数据库“裸奔”,个人信息屡被窃后在“暗网”挂售

2018-11-11 15:33

画皮真爱无悔电视剧,李冠丰,双喜牌香烟价格表,请和我结婚大结局,一周的偶像130515华求伯天津站,弘博

在“黑色产业圈”,拖库意指将机构数据库中的重要数据窃走。由于拖库与“脱裤”发音接近,且重要数据中包含了大量用户隐私信息,因此这个词还暗喻被窃取隐私信息的用户被扒得“一丝不挂”。

今年以来,多家机构的用户数据库发生拖库事件,包括网购商品信息、学籍信息、个人从业经历甚至开房记录等高度敏感信息均在“暗网”上挂售。不少人提出质疑:我们究竟还有什么隐私没有被泄露?把隐私交给互联网企业究竟安全吗?

“大门敞开”的数据库与黑产的狂欢盛宴

“出售华住集团旗下所有酒店数据(汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友),附件当中为测试数据,各提供10000条数据供大佬测试……”8月28日,一张经由“暗网”流出的截图在社交媒体上疯转,有地下黑产从业者声称掌握了华住集团旗下酒店近5亿条数据信息,并以打包价8比特币或520门罗币(当时折合人民币约37万元)公开出售。

一石激起千层浪,不少人开始在朋友圈感叹“在互联网时代毫无隐私可言”,也有人质疑在“暗网”出售的数据并非真实信息。然而,第三方网络安全团队对“暗网”公布的3万条数据样本进行技术鉴定后认定“样本数据准确”。

更让人惶恐的是,在“暗网”挂售数据的地下黑产还表示,“以上数据获取时间为2018年8月14日,如果权限不丢失,后续数据还可以免费发给已购买上述数据的买家”。也就是说,地下黑产对数据库的入侵行为并非“一次性”行为,而是获取了访问数据库的权限,如果有关方面不采取进一步补救措施,发帖者甚至可以做到在数据库中“来去自如”。

“一些机构认为自己的主业不在线上,也非互联网行业的主要参与者,因此认为自己遭黑客入侵的可能性不大,从而降低了对网络安全防护的要求,甚至不配齐相应IT部门的人员,从而成为网络攻击的受害者。”资深网络安全专家Mystery向新华每日电讯记者表示,酒店、航空、教育培训等传统行业的数据信息恰恰是地下黑产的最爱,“由于线下强制实名制的要求,这些领域的数据真实度很高,也可以更精准地绘制出用户画像,从而给不法分子进一步侵害用户提供机会。”

有业内人士认为,仅就目前在“暗网”挂售的数据来看,黑色产业链从业者自己就可以很精准地做出用户画像——你从什么学校毕业、学的什么专业、曾在哪些机构工作过、喜欢去哪里玩、喜欢买什么、爱看什么类型的电影,甚至和谁住过一间房,都能被大数据精准地“画”出来。

获得上述这些数据并非难事,甚至都不用花费太多的时间和金钱成本。南方都市报个人信息保护研究中心发布的《2017个人信息保护年度报告》显示,黑市上可以轻易买到搜索对象的个人信息,其中包含近半年来的通话记录、出行信息、账单消费以及人脉关系等,甚至还有针对搜索对象详细的量化评分。而获取上述详细信息的金钱成本,仅仅需要3.8元。

“与其说是地下黑产猖獗,倒不如说这是黑产们的一场狂欢。”Mystery认为,在互联网时代,用户数据变得越来越“值钱”,如果有关机构再不把好数据库的安全关,未来“暗网”上将有越来越多的用户隐私被“明码标价”地售卖。

并不神秘的“暗网”世界与松松垮垮的保护意识

不少人对前文反复提及的“暗网”并没有特别具象化的概念,只是单纯地认为“暗网”就是一个“地下黑市”。

据360行业安全研究中心主任裴智勇介绍,“暗网”的典型代表就是“洋葱网络”,它由美国军方研发并申请专利。简单地说,“暗网”就是将传输的数据进行加密,并且在数据传输过程中,利用其他“暗网”节点进行多次随机转发,从而实现了信息发布者身份信息的隐藏或保密。因此,最终的信息接收者虽然能收到信息,却很难找到信息的发送源头。

不过,裴智勇说:“基于现代网络技术和大数据技术,‘暗网’的追踪溯源已从‘理论不可行’变为‘实际可行’。一些在‘暗网’上倒卖用户数据的卖家已被警方追踪并抓获,这说明在‘暗网’上犯罪也不是绝对安全的。”

上一篇:未来的消费信贷是什么样的?

下一篇:要为中医药建3D数据库