新華每日電訊 2018-11-03 10:50:33
有業(yè)內(nèi)人士表示,在互聯(lián)網(wǎng)時代,用戶數(shù)據(jù)變得越來越“值錢”,如果有關(guān)機(jī)構(gòu)再不把好數(shù)據(jù)庫的安全關(guān),未來“暗網(wǎng)”上將有越來越多的用戶隱私被“明碼標(biāo)價”地售賣。屢屢發(fā)生的個人信息泄露到底是怎樣發(fā)生的?什么是“暗網(wǎng)”?我們該如何保護(hù)個人信息?
在“黑色產(chǎn)業(yè)圈”,拖庫意指將機(jī)構(gòu)數(shù)據(jù)庫中的重要數(shù)據(jù)竊走。由于拖庫與“脫褲”發(fā)音接近,且重要數(shù)據(jù)中包含了大量用戶隱私信息,因此這個詞還暗喻被竊取隱私信息的用戶被扒得“一絲不掛”。
今年以來,多家機(jī)構(gòu)的用戶數(shù)據(jù)庫發(fā)生拖庫事件,包括網(wǎng)購商品信息、學(xué)籍信息、個人從業(yè)經(jīng)歷甚至開房記錄等高度敏感信息均在“暗網(wǎng)”上掛售。不少人提出質(zhì)疑:我們究竟還有什么隱私?jīng)]有被泄露?把隱私交給互聯(lián)網(wǎng)企業(yè)究竟安全嗎?
“出售華住集團(tuán)旗下所有酒店數(shù)據(jù)(漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友),附件當(dāng)中為測試數(shù)據(jù),各提供10000條數(shù)據(jù)供大佬測試……”8月28日,一張經(jīng)由“暗網(wǎng)”流出的截圖在社交媒體上瘋轉(zhuǎn),有地下黑產(chǎn)從業(yè)者聲稱掌握了華住集團(tuán)旗下酒店近5億條數(shù)據(jù)信息,并以打包價8比特幣或520門羅幣(當(dāng)時折合人民幣約37萬元)公開出售。
一石激起千層浪,不少人開始在朋友圈感嘆“在互聯(lián)網(wǎng)時代毫無隱私可言”,也有人質(zhì)疑在“暗網(wǎng)”出售的數(shù)據(jù)并非真實(shí)信息。然而,第三方網(wǎng)絡(luò)安全團(tuán)隊(duì)對“暗網(wǎng)”公布的3萬條數(shù)據(jù)樣本進(jìn)行技術(shù)鑒定后認(rèn)定“樣本數(shù)據(jù)準(zhǔn)確”。
更讓人惶恐的是,在“暗網(wǎng)”掛售數(shù)據(jù)的地下黑產(chǎn)還表示,“以上數(shù)據(jù)獲取時間為2018年8月14日,如果權(quán)限不丟失,后續(xù)數(shù)據(jù)還可以免費(fèi)發(fā)給已購買上述數(shù)據(jù)的買家”。也就是說,地下黑產(chǎn)對數(shù)據(jù)庫的入侵行為并非“一次性”行為,而是獲取了訪問數(shù)據(jù)庫的權(quán)限,如果有關(guān)方面不采取進(jìn)一步補(bǔ)救措施,發(fā)帖者甚至可以做到在數(shù)據(jù)庫中“來去自如”。
“一些機(jī)構(gòu)認(rèn)為自己的主業(yè)不在線上,也非互聯(lián)網(wǎng)行業(yè)的主要參與者,因此認(rèn)為自己遭黑客入侵的可能性不大,從而降低了對網(wǎng)絡(luò)安全防護(hù)的要求,甚至不配齊相應(yīng)IT部門的人員,從而成為網(wǎng)絡(luò)攻擊的受害者。”資深網(wǎng)絡(luò)安全專家Mystery向新華每日電訊記者表示,酒店、航空、教育培訓(xùn)等傳統(tǒng)行業(yè)的數(shù)據(jù)信息恰恰是地下黑產(chǎn)的最愛,“由于線下強(qiáng)制實(shí)名制的要求,這些領(lǐng)域的數(shù)據(jù)真實(shí)度很高,也可以更精準(zhǔn)地繪制出用戶畫像,從而給不法分子進(jìn)一步侵害用戶提供機(jī)會。”
圖片來源:攝圖網(wǎng)
有業(yè)內(nèi)人士認(rèn)為,僅就目前在“暗網(wǎng)”掛售的數(shù)據(jù)來看,黑色產(chǎn)業(yè)鏈從業(yè)者自己就可以很精準(zhǔn)地做出用戶畫像——你從什么學(xué)校畢業(yè)、學(xué)的什么專業(yè)、曾在哪些機(jī)構(gòu)工作過、喜歡去哪里玩、喜歡買什么、愛看什么類型的電影,甚至和誰住過一間房,都能被大數(shù)據(jù)精準(zhǔn)地“畫”出來。
獲得上述這些數(shù)據(jù)并非難事,甚至都不用花費(fèi)太多的時間和金錢成本。南方都市報(bào)個人信息保護(hù)研究中心發(fā)布的《2017個人信息保護(hù)年度報(bào)告》顯示,黑市上可以輕易買到搜索對象的個人信息,其中包含近半年來的通話記錄、出行信息、賬單消費(fèi)以及人脈關(guān)系等,甚至還有針對搜索對象詳細(xì)的量化評分。而獲取上述詳細(xì)信息的金錢成本,僅僅需要3.8元。
“與其說是地下黑產(chǎn)猖獗,倒不如說這是黑產(chǎn)們的一場狂歡。”Mystery認(rèn)為,在互聯(lián)網(wǎng)時代,用戶數(shù)據(jù)變得越來越“值錢”,如果有關(guān)機(jī)構(gòu)再不把好數(shù)據(jù)庫的安全關(guān),未來“暗網(wǎng)”上將有越來越多的用戶隱私被“明碼標(biāo)價”地售賣。
不少人對前文反復(fù)提及的“暗網(wǎng)”并沒有特別具象化的概念,只是單純地認(rèn)為“暗網(wǎng)”就是一個“地下黑市”。
據(jù)360行業(yè)安全研究中心主任裴智勇介紹,“暗網(wǎng)”的典型代表就是“洋蔥網(wǎng)絡(luò)”,它由美國軍方研發(fā)并申請專利。簡單地說,“暗網(wǎng)”就是將傳輸?shù)臄?shù)據(jù)進(jìn)行加密,并且在數(shù)據(jù)傳輸過程中,利用其他“暗網(wǎng)”節(jié)點(diǎn)進(jìn)行多次隨機(jī)轉(zhuǎn)發(fā),從而實(shí)現(xiàn)了信息發(fā)布者身份信息的隱藏或保密。因此,最終的信息接收者雖然能收到信息,卻很難找到信息的發(fā)送源頭。
不過,裴智勇說:“基于現(xiàn)代網(wǎng)絡(luò)技術(shù)和大數(shù)據(jù)技術(shù),‘暗網(wǎng)’的追蹤溯源已從‘理論不可行’變?yōu)?lsquo;實(shí)際可行’。一些在‘暗網(wǎng)’上倒賣用戶數(shù)據(jù)的賣家已被警方追蹤并抓獲,這說明在‘暗網(wǎng)’上犯罪也不是絕對安全的。”
需要說明的是,“暗網(wǎng)”并非獨(dú)立存在的網(wǎng)絡(luò),它也是由運(yùn)行在普通互聯(lián)網(wǎng)上的軟件或設(shè)備組成。只是這些軟件或設(shè)備遵守“暗網(wǎng)”的通信協(xié)議,可以各自獨(dú)立工作并互聯(lián)互通,不需要任何管理者就能組成一個“暗網(wǎng)”網(wǎng)絡(luò)。
裴智勇認(rèn)為:“從單純的技術(shù)角度看,很難說‘暗網(wǎng)’是好是壞,但從后來的實(shí)踐來看,‘暗網(wǎng)’并沒有像其原始設(shè)計(jì)者們所想的那樣被用于保護(hù)公民言論自由,而是被犯罪分子大量用于個人信息、人體器官、武器軍火和毒品等非法交易。”
但是,裴智勇也指出:“把‘暗網(wǎng)’等同于黑暗的網(wǎng)絡(luò)也是片面的,因?yàn)閷?shí)際上,通過普通互聯(lián)網(wǎng)進(jìn)行的各類非法交易,規(guī)模遠(yuǎn)遠(yuǎn)大于‘暗網(wǎng)’交易。”
圖片來源:攝圖網(wǎng)
事實(shí)上,在哪里販賣用戶數(shù)據(jù)并不重要,地下黑產(chǎn)是如何獲得用戶信息更值得普通用戶深思。
“我們過去在辦案中發(fā)現(xiàn),一些群眾尤其老年人防范意識薄弱,看到大街上在擺攤的有小禮品送就會去填寫手機(jī)號、身份證號等個人信息,還會在對方的指導(dǎo)下掃描二維碼,這都很容易造成個人信息泄露。”廈門市反詐騙中心民警洪恒亮告訴新華每日電訊記者,在一些電信網(wǎng)絡(luò)詐騙案件中,不法分子冒充領(lǐng)導(dǎo)、親友或冒充“公檢法”查案,很容易就報(bào)出了當(dāng)事人的身份信息,實(shí)際上這些信息都是大家在日常生活中無意泄露出去的。
還有一種套取用戶信息的方式,則更符合年輕人的生活習(xí)慣,那就是在朋友圈中參與“釣魚活動”。洪恒亮表示,一些營銷號會發(fā)布諸如“免費(fèi)酒店試睡”“轉(zhuǎn)發(fā)抽錦鯉”等“釣魚活動”,不少年輕用戶缺乏判斷力,容易跟風(fēng)轉(zhuǎn)發(fā)從而參與進(jìn)去,除了填寫身份信息外,還“歡天喜地”地轉(zhuǎn)發(fā)給朋友圈的其他好友,進(jìn)一步擴(kuò)大受害范圍。
“參與這類釣魚活動,輕則成為營銷號的‘僵尸粉’,重則接到精準(zhǔn)的電信網(wǎng)絡(luò)詐騙‘全家桶’。一些不法分子通過對用戶提供的身份信息的解讀重構(gòu),甚至還可以盜取其社交賬號。”洪恒亮說,這些被搜集走的個人信息還可能為犯罪分子利用短信嗅探設(shè)備進(jìn)一步盜取金融賬戶余額提供便利。
相較于開房記錄這類私密性極高的個人信息對當(dāng)事人的“殺傷力”,被泄露出去的學(xué)生學(xué)籍信息則對家長的“錢袋子”更有威脅。
7月30日,一條題為《浙江省1000萬學(xué)籍?dāng)?shù)據(jù)出售》的帖子在“暗網(wǎng)”某中文論壇中引發(fā)關(guān)注。發(fā)帖者稱,其所出售的數(shù)據(jù)包含學(xué)生姓名、身份證號、學(xué)籍號、學(xué)校名稱、學(xué)校序號、班級號、戶籍信息、監(jiān)護(hù)人姓名、監(jiān)護(hù)人手機(jī)號、居住地址和學(xué)生照片信息,作價0.02比特幣(當(dāng)時折合人民幣約1000元)。
為了取信買家,發(fā)帖者還放出一張20多條由上述信息構(gòu)成的“樣本截圖”,生源地分別為浙江的杭州、嘉興、溫州等地。新華每日電訊記者隨機(jī)抽選了3條信息進(jìn)行電話核實(shí),證實(shí)信息準(zhǔn)確無誤。
或許是信息過于準(zhǔn)確翔實(shí),其中一位家長在通話中“執(zhí)著”地認(rèn)定記者就是其孩子的班主任,將要對其進(jìn)行家訪。在反復(fù)說明后對方仍存疑的情況下,記者不得已要求對方以信息泄露為由報(bào)警。
幸運(yùn)的是,公安機(jī)關(guān)9月發(fā)布通報(bào)稱,金華市公安局江南分局已于8月10日成功抓獲了非法侵入浙江省學(xué)籍管理系統(tǒng)的王某禾等犯罪嫌疑人3名,查獲公民個人信息1100余萬條。
今年6月以來,“暗網(wǎng)”上針對我國各政企機(jī)構(gòu)的數(shù)據(jù)倒賣事件呈多發(fā)態(tài)勢,且多發(fā)于敏感事件節(jié)點(diǎn),有專家認(rèn)為,此類事件背后的問題值得關(guān)注。
在諸多機(jī)構(gòu)被拖庫事件中,泄露數(shù)據(jù)準(zhǔn)確率較高,所涉數(shù)據(jù)庫種類繁多,其中所展現(xiàn)的黑客挖掘能力較強(qiáng)。北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授蘆效峰認(rèn)為,“暗網(wǎng)”集中出現(xiàn)針對我國政企機(jī)構(gòu)的用戶數(shù)據(jù)倒賣事件或有外部勢力支持。蘆效峰表示,一些西方國家過去曾在國際場合中多次對我國網(wǎng)絡(luò)安全環(huán)境“指指點(diǎn)點(diǎn)”,在當(dāng)前復(fù)雜多變的國際局勢下,有必要提防一些外部勢力有組織有計(jì)劃地實(shí)施網(wǎng)絡(luò)攻擊行為。
部分機(jī)構(gòu)數(shù)據(jù)庫維護(hù)權(quán)責(zé)不清,責(zé)任主體思想懈怠情況突出。裴智勇表示,對攻擊預(yù)警不在乎,對管理規(guī)定不遵守,對應(yīng)急方案不執(zhí)行,對風(fēng)險(xiǎn)提示不滿意,部分機(jī)構(gòu)安全團(tuán)隊(duì)在思想上麻痹懈怠,甚至在數(shù)據(jù)庫泄露后仍不執(zhí)行應(yīng)急預(yù)案,在筑牢防范網(wǎng)絡(luò)攻擊意識關(guān)上“上下失守”。
行政處罰措施落實(shí)不及時,在行業(yè)中易形成消極氛圍。新華每日電訊記者在查閱公開資料后發(fā)現(xiàn),自今年6月A站(AcFun)用戶數(shù)據(jù)庫被拖庫以來,尚未發(fā)現(xiàn)有行政主管部門對有關(guān)機(jī)構(gòu)進(jìn)行行政處罰的通報(bào)。專家認(rèn)為,如行政處罰措施不及時跟進(jìn),類似事件或?qū)⒎磸?fù)發(fā)生。
專家建議,針對暗網(wǎng)上日益頻繁、規(guī)模愈發(fā)龐大的用戶數(shù)據(jù)倒賣情況,有關(guān)部門應(yīng)建立響應(yīng)機(jī)制,同時厘清權(quán)責(zé)關(guān)系,讓廣大群眾在享受互聯(lián)網(wǎng)技術(shù)的同時更多收獲安全感。
“無論是擁有法律強(qiáng)制力的網(wǎng)絡(luò)安全法,還是對行業(yè)起約束作用的《信息安全技術(shù)個人信息安全規(guī)范》,我們針對用戶數(shù)據(jù)保護(hù)的法律法規(guī)是有的,但是這卻沒有阻擋住猖獗的倒賣數(shù)據(jù)的行為,這背后的原因值得有關(guān)方面深思。”中國信息安全研究院副院長左曉棟認(rèn)為,我國在公民個人信息保護(hù)上的立法已相對完善,現(xiàn)在需要看到相應(yīng)部門來落實(shí)法律執(zhí)行。
左曉棟表示,在當(dāng)前環(huán)境下,有多個部門對個人信息保護(hù)負(fù)有責(zé)任,“九龍治水”情況較為突出。他建議,可設(shè)立專門機(jī)構(gòu)來應(yīng)對個人信息泄露問題,對此類專門機(jī)構(gòu)賦予相應(yīng)的司法和行政權(quán)力,對數(shù)據(jù)保護(hù)不力者形成震懾,促使行業(yè)內(nèi)形成“用戶數(shù)據(jù)就是機(jī)構(gòu)生命”的良性氛圍。
一些第三方網(wǎng)絡(luò)安全機(jī)構(gòu)在問卷調(diào)查中發(fā)現(xiàn),不少機(jī)構(gòu)并沒有建立相應(yīng)的網(wǎng)絡(luò)安全應(yīng)急機(jī)制,在極端環(huán)境下缺乏應(yīng)對措施。裴智勇建議,有關(guān)部門應(yīng)督促相關(guān)涉事機(jī)構(gòu)加快建立針對數(shù)據(jù)庫泄露的網(wǎng)絡(luò)安全應(yīng)急機(jī)制,加大對一些網(wǎng)絡(luò)安全防護(hù)能力不足的機(jī)構(gòu)的指導(dǎo),倒逼其“防有所指、防有所用”。
此外,部分網(wǎng)絡(luò)安全專家向記者表示,國內(nèi)一些機(jī)構(gòu)為壓縮成本,未按要求配齊網(wǎng)絡(luò)安全團(tuán)隊(duì),導(dǎo)致數(shù)據(jù)庫長期處在“放養(yǎng)”甚至“裸奔”狀態(tài),危險(xiǎn)系數(shù)較高。專家建議,有關(guān)部門要有針對性地對傳統(tǒng)行業(yè)的數(shù)據(jù)庫進(jìn)行排查摸底,對不符合信息安全等級保護(hù)規(guī)范的機(jī)構(gòu)開出負(fù)面清單,并責(zé)令其限期整改,切實(shí)保護(hù)用戶數(shù)據(jù)安全。
新華每日電訊記者 顏之宏 關(guān)桂峰
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟(jì)新聞APP