數(shù)據(jù)庫“裸奔”�,個人信息屢被竊后在“暗網(wǎng)”掛售
新華每日電訊
2018-11-03 10:50:33
有業(yè)內人士表示����,在互聯(lián)網(wǎng)時代,用戶數(shù)據(jù)變得越來越“值錢”����,如果有關機構再不把好數(shù)據(jù)庫的安全關,未來“暗網(wǎng)”上將有越來越多的用戶隱私被“明碼標價”地售賣��。屢屢發(fā)生的個人信息泄露到底是怎樣發(fā)生的��?什么是“暗網(wǎng)”��?我們該如何保護個人信息?
在“黑色產(chǎn)業(yè)圈”��,拖庫意指將機構數(shù)據(jù)庫中的重要數(shù)據(jù)竊走��。由于拖庫與“脫褲”發(fā)音接近,且重要數(shù)據(jù)中包含了大量用戶隱私信息�,因此這個詞還暗喻被竊取隱私信息的用戶被扒得“一絲不掛”。
今年以來�,多家機構的用戶數(shù)據(jù)庫發(fā)生拖庫事件,包括網(wǎng)購商品信息���、學籍信息��、個人從業(yè)經(jīng)歷甚至開房記錄等高度敏感信息均在“暗網(wǎng)”上掛售��。不少人提出質疑:我們究竟還有什么隱私?jīng)]有被泄露?把隱私交給互聯(lián)網(wǎng)企業(yè)究竟安全嗎?
“大門敞開”的數(shù)據(jù)庫與黑產(chǎn)的狂歡盛宴
“出售華住集團旗下所有酒店數(shù)據(jù)(漢庭���、美爵、禧玥���、漫心�、諾富特、美居����、CitiGo、桔子��、全季�、星程、宜必思尚品�、宜必思、怡萊��、海友)���,附件當中為測試數(shù)據(jù)��,各提供10000條數(shù)據(jù)供大佬測試……”8月28日���,一張經(jīng)由“暗網(wǎng)”流出的截圖在社交媒體上瘋轉,有地下黑產(chǎn)從業(yè)者聲稱掌握了華住集團旗下酒店近5億條數(shù)據(jù)信息��,并以打包價8比特幣或520門羅幣(當時折合人民幣約37萬元)公開出售����。
一石激起千層浪���,不少人開始在朋友圈感嘆“在互聯(lián)網(wǎng)時代毫無隱私可言”,也有人質疑在“暗網(wǎng)”出售的數(shù)據(jù)并非真實信息�。然而,第三方網(wǎng)絡安全團隊對“暗網(wǎng)”公布的3萬條數(shù)據(jù)樣本進行技術鑒定后認定“樣本數(shù)據(jù)準確”���。
更讓人惶恐的是����,在“暗網(wǎng)”掛售數(shù)據(jù)的地下黑產(chǎn)還表示����,“以上數(shù)據(jù)獲取時間為2018年8月14日���,如果權限不丟失���,后續(xù)數(shù)據(jù)還可以免費發(fā)給已購買上述數(shù)據(jù)的買家”。也就是說��,地下黑產(chǎn)對數(shù)據(jù)庫的入侵行為并非“一次性”行為��,而是獲取了訪問數(shù)據(jù)庫的權限,如果有關方面不采取進一步補救措施����,發(fā)帖者甚至可以做到在數(shù)據(jù)庫中“來去自如”。
“一些機構認為自己的主業(yè)不在線上���,也非互聯(lián)網(wǎng)行業(yè)的主要參與者����,因此認為自己遭黑客入侵的可能性不大����,從而降低了對網(wǎng)絡安全防護的要求,甚至不配齊相應IT部門的人員���,從而成為網(wǎng)絡攻擊的受害者�。”資深網(wǎng)絡安全專家Mystery向新華每日電訊記者表示���,酒店��、航空��、教育培訓等傳統(tǒng)行業(yè)的數(shù)據(jù)信息恰恰是地下黑產(chǎn)的最愛��,“由于線下強制實名制的要求��,這些領域的數(shù)據(jù)真實度很高��,也可以更精準地繪制出用戶畫像���,從而給不法分子進一步侵害用戶提供機會��。”
圖片來源:攝圖網(wǎng)
有業(yè)內人士認為��,僅就目前在“暗網(wǎng)”掛售的數(shù)據(jù)來看��,黑色產(chǎn)業(yè)鏈從業(yè)者自己就可以很精準地做出用戶畫像——你從什么學校畢業(yè)����、學的什么專業(yè)���、曾在哪些機構工作過、喜歡去哪里玩���、喜歡買什么�、愛看什么類型的電影���,甚至和誰住過一間房����,都能被大數(shù)據(jù)精準地“畫”出來。
獲得上述這些數(shù)據(jù)并非難事��,甚至都不用花費太多的時間和金錢成本��。南方都市報個人信息保護研究中心發(fā)布的《2017個人信息保護年度報告》顯示��,黑市上可以輕易買到搜索對象的個人信息��,其中包含近半年來的通話記錄���、出行信息�、賬單消費以及人脈關系等�,甚至還有針對搜索對象詳細的量化評分。而獲取上述詳細信息的金錢成本����,僅僅需要3.8元。
“與其說是地下黑產(chǎn)猖獗��,倒不如說這是黑產(chǎn)們的一場狂歡���。”Mystery認為����,在互聯(lián)網(wǎng)時代,用戶數(shù)據(jù)變得越來越“值錢”���,如果有關機構再不把好數(shù)據(jù)庫的安全關�,未來“暗網(wǎng)”上將有越來越多的用戶隱私被“明碼標價”地售賣�。
并不神秘的“暗網(wǎng)”世界與松松垮垮的保護意識
不少人對前文反復提及的“暗網(wǎng)”并沒有特別具象化的概念,只是單純地認為“暗網(wǎng)”就是一個“地下黑市”���。
據(jù)360行業(yè)安全研究中心主任裴智勇介紹���,“暗網(wǎng)”的典型代表就是“洋蔥網(wǎng)絡”,它由美國軍方研發(fā)并申請專利����。簡單地說,“暗網(wǎng)”就是將傳輸?shù)臄?shù)據(jù)進行加密���,并且在數(shù)據(jù)傳輸過程中,利用其他“暗網(wǎng)”節(jié)點進行多次隨機轉發(fā)��,從而實現(xiàn)了信息發(fā)布者身份信息的隱藏或保密。因此�,最終的信息接收者雖然能收到信息,卻很難找到信息的發(fā)送源頭�。
不過,裴智勇說:“基于現(xiàn)代網(wǎng)絡技術和大數(shù)據(jù)技術,‘暗網(wǎng)’的追蹤溯源已從‘理論不可行’變?yōu)?lsquo;實際可行’�。一些在‘暗網(wǎng)’上倒賣用戶數(shù)據(jù)的賣家已被警方追蹤并抓獲,這說明在‘暗網(wǎng)’上犯罪也不是絕對安全的�����。”
需要說明的是,“暗網(wǎng)”并非獨立存在的網(wǎng)絡��,它也是由運行在普通互聯(lián)網(wǎng)上的軟件或設備組成。只是這些軟件或設備遵守“暗網(wǎng)”的通信協(xié)議,可以各自獨立工作并互聯(lián)互通��,不需要任何管理者就能組成一個“暗網(wǎng)”網(wǎng)絡。
裴智勇認為:“從單純的技術角度看,很難說‘暗網(wǎng)’是好是壞�,但從后來的實踐來看���,‘暗網(wǎng)’并沒有像其原始設計者們所想的那樣被用于保護公民言論自由���,而是被犯罪分子大量用于個人信息��、人體器官���、武器軍火和毒品等非法交易��。”
但是�,裴智勇也指出:“把‘暗網(wǎng)’等同于黑暗的網(wǎng)絡也是片面的,因為實際上�,通過普通互聯(lián)網(wǎng)進行的各類非法交易,規(guī)模遠遠大于‘暗網(wǎng)’交易��。”
圖片來源:攝圖網(wǎng)
事實上�,在哪里販賣用戶數(shù)據(jù)并不重要���,地下黑產(chǎn)是如何獲得用戶信息更值得普通用戶深思。
“我們過去在辦案中發(fā)現(xiàn)�����,一些群眾尤其老年人防范意識薄弱,看到大街上在擺攤的有小禮品送就會去填寫手機號、身份證號等個人信息��,還會在對方的指導下掃描二維碼,這都很容易造成個人信息泄露�。”廈門市反詐騙中心民警洪恒亮告訴新華每日電訊記者,在一些電信網(wǎng)絡詐騙案件中,不法分子冒充領導��、親友或冒充“公檢法”查案�,很容易就報出了當事人的身份信息���,實際上這些信息都是大家在日常生活中無意泄露出去的�����。
還有一種套取用戶信息的方式��,則更符合年輕人的生活習慣,那就是在朋友圈中參與“釣魚活動”���。洪恒亮表示,一些營銷號會發(fā)布諸如“免費酒店試睡”“轉發(fā)抽錦鯉”等“釣魚活動”��,不少年輕用戶缺乏判斷力���,容易跟風轉發(fā)從而參與進去,除了填寫身份信息外��,還“歡天喜地”地轉發(fā)給朋友圈的其他好友���,進一步擴大受害范圍���。
“參與這類釣魚活動�,輕則成為營銷號的‘僵尸粉’���,重則接到精準的電信網(wǎng)絡詐騙‘全家桶’���。一些不法分子通過對用戶提供的身份信息的解讀重構���,甚至還可以盜取其社交賬號�。”洪恒亮說��,這些被搜集走的個人信息還可能為犯罪分子利用短信嗅探設備進一步盜取金融賬戶余額提供便利。
隱身“暗網(wǎng)”的幕后黑手與“上下失守”的防范措施
相較于開房記錄這類私密性極高的個人信息對當事人的“殺傷力”�����,被泄露出去的學生學籍信息則對家長的“錢袋子”更有威脅�����。
7月30日��,一條題為《浙江省1000萬學籍數(shù)據(jù)出售》的帖子在“暗網(wǎng)”某中文論壇中引發(fā)關注���。發(fā)帖者稱���,其所出售的數(shù)據(jù)包含學生姓名、身份證號���、學籍號�����、學校名稱��、學校序號��、班級號��、戶籍信息、監(jiān)護人姓名�����、監(jiān)護人手機號、居住地址和學生照片信息,作價0.02比特幣(當時折合人民幣約1000元)。
為了取信買家,發(fā)帖者還放出一張20多條由上述信息構成的“樣本截圖”,生源地分別為浙江的杭州�、嘉興、溫州等地�����。新華每日電訊記者隨機抽選了3條信息進行電話核實��,證實信息準確無誤�����。
或許是信息過于準確翔實�,其中一位家長在通話中“執(zhí)著”地認定記者就是其孩子的班主任,將要對其進行家訪。在反復說明后對方仍存疑的情況下�����,記者不得已要求對方以信息泄露為由報警��。
幸運的是�,公安機關9月發(fā)布通報稱,金華市公安局江南分局已于8月10日成功抓獲了非法侵入浙江省學籍管理系統(tǒng)的王某禾等犯罪嫌疑人3名,查獲公民個人信息1100余萬條���。
今年6月以來���,“暗網(wǎng)”上針對我國各政企機構的數(shù)據(jù)倒賣事件呈多發(fā)態(tài)勢�����,且多發(fā)于敏感事件節(jié)點���,有專家認為��,此類事件背后的問題值得關注���。
在諸多機構被拖庫事件中��,泄露數(shù)據(jù)準確率較高��,所涉數(shù)據(jù)庫種類繁多,其中所展現(xiàn)的黑客挖掘能力較強��。北京郵電大學網(wǎng)絡空間安全學院副教授蘆效峰認為,“暗網(wǎng)”集中出現(xiàn)針對我國政企機構的用戶數(shù)據(jù)倒賣事件或有外部勢力支持。蘆效峰表示,一些西方國家過去曾在國際場合中多次對我國網(wǎng)絡安全環(huán)境“指指點點”,在當前復雜多變的國際局勢下���,有必要提防一些外部勢力有組織有計劃地實施網(wǎng)絡攻擊行為�����。
部分機構數(shù)據(jù)庫維護權責不清,責任主體思想懈怠情況突出��。裴智勇表示�����,對攻擊預警不在乎,對管理規(guī)定不遵守�����,對應急方案不執(zhí)行�,對風險提示不滿意,部分機構安全團隊在思想上麻痹懈怠�,甚至在數(shù)據(jù)庫泄露后仍不執(zhí)行應急預案,在筑牢防范網(wǎng)絡攻擊意識關上“上下失守”���。
行政處罰措施落實不及時�,在行業(yè)中易形成消極氛圍��。新華每日電訊記者在查閱公開資料后發(fā)現(xiàn)�����,自今年6月A站(AcFun)用戶數(shù)據(jù)庫被拖庫以來�����,尚未發(fā)現(xiàn)有行政主管部門對有關機構進行行政處罰的通報��。專家認為,如行政處罰措施不及時跟進���,類似事件或將反復發(fā)生��。
急需明確的責任主體與亟待建立的應急機制
專家建議�,針對暗網(wǎng)上日益頻繁��、規(guī)模愈發(fā)龐大的用戶數(shù)據(jù)倒賣情況�,有關部門應建立響應機制�,同時厘清權責關系,讓廣大群眾在享受互聯(lián)網(wǎng)技術的同時更多收獲安全感�。
“無論是擁有法律強制力的網(wǎng)絡安全法,還是對行業(yè)起約束作用的《信息安全技術個人信息安全規(guī)范》���,我們針對用戶數(shù)據(jù)保護的法律法規(guī)是有的��,但是這卻沒有阻擋住猖獗的倒賣數(shù)據(jù)的行為�,這背后的原因值得有關方面深思���。”中國信息安全研究院副院長左曉棟認為�,我國在公民個人信息保護上的立法已相對完善���,現(xiàn)在需要看到相應部門來落實法律執(zhí)行�����。
左曉棟表示�,在當前環(huán)境下��,有多個部門對個人信息保護負有責任,“九龍治水”情況較為突出���。他建議�����,可設立專門機構來應對個人信息泄露問題���,對此類專門機構賦予相應的司法和行政權力,對數(shù)據(jù)保護不力者形成震懾���,促使行業(yè)內形成“用戶數(shù)據(jù)就是機構生命”的良性氛圍�����。
一些第三方網(wǎng)絡安全機構在問卷調查中發(fā)現(xiàn),不少機構并沒有建立相應的網(wǎng)絡安全應急機制���,在極端環(huán)境下缺乏應對措施�。裴智勇建議�����,有關部門應督促相關涉事機構加快建立針對數(shù)據(jù)庫泄露的網(wǎng)絡安全應急機制,加大對一些網(wǎng)絡安全防護能力不足的機構的指導�����,倒逼其“防有所指��、防有所用”��。
此外�����,部分網(wǎng)絡安全專家向記者表示���,國內一些機構為壓縮成本�,未按要求配齊網(wǎng)絡安全團隊��,導致數(shù)據(jù)庫長期處在“放養(yǎng)”甚至“裸奔”狀態(tài)���,危險系數(shù)較高�����。專家建議���,有關部門要有針對性地對傳統(tǒng)行業(yè)的數(shù)據(jù)庫進行排查摸底�����,對不符合信息安全等級保護規(guī)范的機構開出負面清單���,并責令其限期整改,切實保護用戶數(shù)據(jù)安全�。
新華每日電訊記者 顏之宏 關桂峰
