网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

原標題：數據庫“裸奔”,個人信息屢被竊后在“暗網”挂售

在“黑色產業圈”,拖庫意指將機構數據庫中的重要數據竊走。由於拖庫與“脫褲”發音接近,且重要數據中包含了大量用戶隱私信息,因此這個詞還暗喻被竊取隱私信息的用戶被扒得“一絲不挂”。

今年以來,多家機構的用戶數據庫發生拖庫事件,包括網購商品信息、學籍信息、個人從業經歷甚至開房記錄等高度敏感信息均在“暗網”上挂售。不少人提出質疑:我們究竟還有什麼隱私沒有被泄露?把隱私交給互聯網企業究竟安全嗎?

“大門敞開”的數據庫與黑產的狂歡盛宴

“出售華住集團旗下所有酒店數據(漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友),附件當中為測試數據,各提供10000條數據供大佬測試……”8月28日,一張經由“暗網”流出的截圖在社交媒體上瘋轉,有地下黑產從業者聲稱掌握了華住集團旗下酒店近5億條數據信息,並以打包價8比特幣或520門羅幣(當時折合人民幣約37萬元)公開出售。

一石激起千層浪,不少人開始在朋友圈感嘆“在互聯網時代毫無隱私可言”,也有人質疑在“暗網”出售的數據並非真實信息。然而,第三方網絡安全團隊對“暗網”公布的3萬條數據樣本進行技術鑒定后認定“樣本數據准確”。

更讓人惶恐的是,在“暗網”挂售數據的地下黑產還表示,“以上數據獲取時間為2018年8月14日,如果權限不丟失,后續數據還可以免費發給已購買上述數據的買家”。也就是說,地下黑產對數據庫的入侵行為並非“一次性”行為,而是獲取了訪問數據庫的權限,如果有關方面不採取進一步補救措施,發帖者甚至可以做到在數據庫中“來去自如”。

“一些機構認為自己的主業不在線上,也非互聯網行業的主要參與者,因此認為自己遭黑客入侵的可能性不大,從而降低了對網絡安全防護的要求,甚至不配齊相應IT部門的人員,從而成為網絡攻擊的受害者。”資深網絡安全專家Mystery向新華每日電訊記者表示,酒店、航空、教育培訓等傳統行業的數據信息恰恰是地下黑產的最愛,“由於線下強制實名制的要求,這些領域的數據真實度很高,也可以更精准地繪制出用戶畫像,從而給不法分子進一步侵害用戶提供機會。”

有業內人士認為,僅就目前在“暗網”挂售的數據來看,黑色產業鏈從業者自己就可以很精准地做出用戶畫像——你從什麼學校畢業、學的什麼專業、曾在哪些機構工作過、喜歡去哪裡玩、喜歡買什麼、愛看什麼類型的電影,甚至和誰住過一間房,都能被大數據精准地“畫”出來。

獲得上述這些數據並非難事,甚至都不用花費太多的時間和金錢成本。南方都市報個人信息保護研究中心發布的《2017個人信息保護年度報告》顯示,黑市上可以輕易買到搜索對象的個人信息,其中包含近半年來的通話記錄、出行信息、賬單消費以及人脈關系等,甚至還有針對搜索對象詳細的量化評分。而獲取上述詳細信息的金錢成本,僅僅需要3.8元。

“與其說是地下黑產猖獗,倒不如說這是黑產們的一場狂歡。”Mystery認為,在互聯網時代,用戶數據變得越來越“值錢”,如果有關機構再不把好數據庫的安全關,未來“暗網”上將有越來越多的用戶隱私被“明碼標價”地售賣。

並不神秘的“暗網”世界與鬆鬆垮垮的保護意識

不少人對前文反復提及的“暗網”並沒有特別具象化的概念,只是單純地認為“暗網”就是一個“地下黑市”。

據360行業安全研究中心主任裴智勇介紹,“暗網”的典型代表就是“洋蔥網絡”,它由美國軍方研發並申請專利。簡單地說,“暗網”就是將傳輸的數據進行加密,並且在數據傳輸過程中,利用其他“暗網”節點進行多次隨機轉發,從而實現了信息發布者身份信息的隱藏或保密。因此,最終的信息接收者雖然能收到信息,卻很難找到信息的發送源頭。

不過,裴智勇說:“基於現代網絡技術和大數據技術,‘暗網’的追蹤溯源已從‘理論不可行’變為‘實際可行’。一些在‘暗網’上倒賣用戶數據的賣家已被警方追蹤並抓獲,這說明在‘暗網’上犯罪也不是絕對安全的。”

需要說明的是,“暗網”並非獨立存在的網絡,它也是由運行在普通互聯網上的軟件或設備組成。只是這些軟件或設備遵守“暗網”的通信協議,可以各自獨立工作並互聯互通,不需要任何管理者就能組成一個“暗網”網絡。

裴智勇認為:“從單純的技術角度看,很難說‘暗網’是好是壞,但從后來的實踐來看,‘暗網’並沒有像其原始設計者們所想的那樣被用於保護公民言論自由,而是被犯罪分子大量用於個人信息、人體器官、武器軍火和毒品等非法交易。”

但是,裴智勇也指出:“把‘暗網’等同於黑暗的網絡也是片面的,因為實際上,通過普通互聯網進行的各類非法交易,規模遠遠大於‘暗網’交易。”

事實上,在哪裡販賣用戶數據並不重要,地下黑產是如何獲得用戶信息更值得普通用戶深思。