暗网内的每条数据价格平均在21.35美元,最高可至450美元,每张银行卡信息100美元。
每个完整的身份包(暗网内叫做“fullz”,通常包含姓名、出生日期、住址、社会安全号码、财务详情和其他相关个人信息 )在暗网的出售价格在 5到25美元之间。
2016年8月,雅虎泄露的10亿数据在暗网出售,售价30万美金。
大数据、深度学习算法、计算能力,三者被共称为现今人工智能领域的三块基石。三块基石中的大数据更是引发了无数充满哲理思辨的思考与讨论(例如最近讨论火热的“大数据杀熟”一词)。而在大数据行业快速发展并向其他行业渗透反哺的同时,用户数据泄露成为了我们不得不面临的困境,一次又一次地刺激着我们的神经。
在这数据时代,数据泄漏事件可谓层出不穷,最近备受热议的无疑是Facebook5000万用户信息被窃取事件。Facebook已处于风口浪尖之上,但这次不知是否又会重演历史,迅速成为过眼云烟。
史上令人震惊的数据泄露事件
(ITRC2017报告中,分行业数据泄露统计截图)
根据Identity Theft Resource Center和CyberScout的报告,近年来每年的数据泄露事件都有上千起,且仍呈现逐年递增趋势,而在历史上更是发生过多起可以用“灾难”来形容、却本不该如此快便被遗忘的数据泄露事件:
2013年8月,雅虎曾发生过一起严重的数据泄露事件,有超过10亿用户的信息遭到外泄;2017年10月3日,雅虎公司证实其所有30亿个用户账号应该都受到了黑客攻击的影响。
2016年,借贷宝被拖库,导致10G裸条泄露。
2016年,京东12G数据泄露,警方查明犯罪嫌疑人郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,长期与盗卖个人信息的犯罪团队合作。
2016年5月,LinkedIn宣布,一个名为“peace”的黑客组织在黑市上以5比特币(当时约合2200美元)的售价公开销售1.67亿个LinkedIn用户登录信息。
2016年10月,Uber在被黑客窃取了来自5700万名乘客和司机的信息后,向黑客支付了10万美元用于删除数据并对泄露事件保密。
2016年10月19日,乌云漏洞报告平台发布的新漏洞显示,网易用户数据库过亿数据疑似泄露(网易回应称是撞库导致)。
2017年3月,邓白氏大约3370万个独有电子邮件地址和联系信息被泄露。泄漏的数据库包含关于AT&T、波音、戴尔、FedEx、IBM和施乐公司数以万计的员工信息,以及国防部10万多员工的广泛记录。
2017年11月,美国五角大楼意外暴露了美国国防部的分类数据库,其中包含美国当局在全球社交媒体平台中收集到的18 亿用户的个人信息。
(Have I Been Pwned网站截图)
这些被泄露的信息,现在依然静静地躺在互联网上,用户丝毫没有被遗忘的权利。在上图Have I Been Pwned网站上,汇集了众多被泄露的数据,用户可以输入自己的邮箱来查询该邮箱所注册的账户是否曾被泄露。(笔者尝试了一个常用邮箱,提示有八项被泄露记录
)
前车之鉴,后人之师
这些灾难级的数据泄漏事件,既有天灾,更有人祸。所谓天灾,软件漏洞在所难免;别有用心内外勾结,是为人祸。笔者无法核实以上数据泄露事件的真实与否,但显而易见的是,随着被泄漏数据库的增多,用户在互联网上的个人画像将变得越来越清晰。
以邮箱地址为引,通过比对购物网站、社交网站的注册信息,获取常用地址、联系电话、真实姓名,再采用拖库、撞库、社工等黑客手段,侵入其它网站,滚雪球式的增加数据库内容(网易邮箱数据泄露后曾出现一波利用网易邮箱数据盗取iCloud账号的事件)。更让人感到惊恐的是,这一切,都可以由程序自动进行。
根据金雅拓(Gemalto)在2017年发布的一份报告“2017 Poor International Security Practices Take a Toll”显示,尽管很多数据泄露来自于外部黑客攻击所致,但所造成的记录被盗或遗失,仅占13%;相比之下,内部恶意泄露、员工疏忽无意泄露等造成的却占19亿被盗数据中的86%。
因此,网络安全与数据合规,不仅是指从技术层面使用密码加密存储、数据传输加密、防火墙隔离等手段减少外患,更是需要从管理角度建立内部网安合规体制,通过优化内部权限分配隔离、访问记录留痕、定期清查账号等手段排除内忧。
对于科技企业,网络安全与数据合规尤为重要,分毫忽视都将可能招致灭顶之灾,而《网络安全法》的出台,更显现了国家对网络安全、数据合规、信息保护的重视。
后续,我们将陆续推出“网络安全与数据合规”系列文稿,继续与诸君深入探讨,敬请关注。
- END -
术语小百科
撞库
一种数据库攻击手段。惯常手法为通过已经掌握的数据库A中的数据,尝试登陆目标数据库B。例如,使用雅虎泄露的用户名、密码,尝试登陆网易邮箱,如果用户在这两个网站所使用的用户名、密码是相同的,则撞库成功。
扫码关注,更多精彩!
