50億條公民信息泄露 個人信息安全如何談保障?冷冽的現實是:內鬼的威脅要遠大于黑客

-回復 -瀏覽
樓主 2020-12-08 08:50:46
舉報 只看此人 收藏本貼 樓主

干貨

觀點

案例

資訊

我們



每隔一段時間,個人信息安全這一話題總會重回公眾視線,這一次上了安全圈頭條的事件是“50億條公民信息泄露 京東前員工牽涉其中”。筆者讀到這條新聞的時候只覺得汗毛豎起,不僅是感嘆于50億這一龐大的數量,更是對新聞所披露的細節細思極恐。


這50億條數據涵蓋交通、物流、醫療、社交、金融等各類信息,與以往黑客通過技術手段入侵服務器獲取用戶的信息不同,部分敏感數據是相關行業內部人員出于黑市交易等目的主動泄露的。


另外值得注意的是,這一次個人幾乎不能通過改密碼等方式防止自己信息被再次利用。密碼可以修改、手機號可以更換、銀行卡可以注銷,但住房、社保、金融信息基本上會伴隨一生,一次泄露就等于終生泄露。幾乎所有有價值的網絡賬戶都有黑市交易情況,更不用說這些價值周期長達幾十年的身份數據。




常見賬號數據獲取手段及數據利用價值



拖庫、洗庫和撞庫:



拖庫

拖庫指黑客入侵網站,把賬號、密碼等用戶信息相關的數據庫全部盜走的行為。常見的拖庫手段有SQL注入、后臺掃描、xss攻擊等。



從 Warden 分析系統中看到攻擊者通過拼接常見的后臺管理URL來尋找后臺入口?



洗庫

洗庫

是指對拖來的數據庫進行數據清洗,層層剝離出有價值的部分并分別進行黑市交易的過程。


以一套手機號、密碼、身份證、銀行卡、郵箱數據庫為例,若密碼是明文存儲,大致交易流程如下——


  • 第一步:直接登錄賬戶轉走一切虛擬貨幣、余額等有最容易變現的部分;

  • 第二步:可能是整理身份證和銀行卡這類重要個人信息,賣給黑市中的買方;

  • 第三步:可能是繼續清洗手機號和郵箱,賣給博彩等垃圾短信重災區的買方。


根據安全公司Keeper每年的密碼分析報告,用戶傾向于在不同平臺使用相同密碼,且最常用的密碼排行榜連續幾年沒有太大變化,例如123456、111111、qwerty等常年蟬聯排行榜前幾位,說明很多用戶都沒有改密碼和設置復雜強密碼的習慣,也可能不會在支付、購物等涉及金錢的敏感網站設置單獨密碼。這對黑客來說是個不折不扣的好消息,拖庫洗庫的價值半衰期會比想象的長,2011年泄露的賬號密碼可能到2017年依然能被登錄成功。


從2011年開始,拖庫事件頻頻發生,絕大部分網站憚于用戶信息泄露帶來的惡劣影響都至少會對密碼進行MD5加密或MD5加鹽值加密,但對黑客來說,解密無非是一個平臺選擇、攻擊成本高低和撞庫成功比例問題,因為大部分用戶在多平臺都是一個密碼,只要找到最易入侵和解密的平臺,撞庫的成功率即使很小,隨著平臺數量的堆積也能帶來很可觀的洗庫撞庫收入。



撞庫

撞庫

是指黑客用拖庫、洗庫獲得的賬號和密碼在其他網站進行批量登錄操作的過程。


撞庫的成功率取決于有多少人在不同平臺使用同一套賬號密碼,也取決于網站對撞庫威脅的重視程度。很多網站在安全防御設計的時候僅在主站的登錄接口有防撞庫方案,而忽略了客戶服務、供應商等用戶訪問量較小的入口。


筆者曾經在研究某大型第三方支付平臺撞庫案例時發現,其網站的在線客服登錄入口連最基本的圖形驗證碼都沒有,更不用說IP訪問次數限制等基礎防撞庫手段,最簡單的curl命令就能瞬間完成高頻次的撞庫請求。


從warden分析系統中看到攻擊者高頻請求登錄類頁面,且每次請求登錄不同賬號




金融類關鍵個人信息的采集和利用


黑市中不僅有黑客間的數據買賣,也有大量的受害人主動提供個人信息的情況。


如今主流互聯網產業也在不斷加強用戶信息認證,特別是在金融行業,僅有手機號和身份證號是無法完成注冊的,必須提供身份證正反面照片或本人手持身份證照才能完成注冊,若用戶要進行消費貸款,信息審核的流程會更加嚴格。



由此,催生了一群信息采集者,他們能用較低的現金和禮品獎勵(100元以下)獲得大量真實的主動提供的手持身份證照。他們的目標大多是貪小便宜、信息安全意識薄弱的中老年人,也有部分是抱著兼職賺小錢目的提供自己和同學信息的大學生。還有種更為極端的情況,信息采集者們冒充社區工作人員或公安人員去偏遠山區采集人口信息,信息獲取幾乎沒有任何成本。


這類數據處在黑市數據價值金字塔的頂端,代辦信用卡是其常見的變現途徑。一張信用卡即使只能套現五千,數量堆積上去后黑產的收益極其客觀,隨之而來的給被泄露者帶來的傷害也尤其大,個人的信用記錄都會受到影響。


互金行業這兩年蓬勃發展的個人貸、消費貸等業務也是地下產業數據變現的主要目標。一套手持身份證照片,配合黑市中的郵箱、密碼、社交、購物、物流等各類信息,黑產中的“高級玩家”甚至可以根據互金公司的信貸審核規則,有針對性的偽造出一個信用良好的貸款申請人,騙取5萬-30萬不等的高額貸款。



內鬼和不安全的應用


在信息安全領域,內鬼的威脅其實要遠大于黑客,內鬼的觸角也不僅僅在互聯網領域。注冊了房地產網站后隔天就接到了商鋪的推銷電話、在網上購物后被短信告知訂單取消需要重新下單、辦信用卡后收到信貸公司的推銷短信,這些生活中常見的個人信息泄露案例大部分都是內鬼所為。



很多app在安裝的時候會獲取大量和功能不匹配的權限,比如媒體類APP有讀取手機通訊錄的權限、視頻類APP有獲取地理位置的權限等,個人信息數據無形中被大批量收集,而每一條用戶數據都是能以真實貨幣單位來估算價值的。


這些不正當權限獲取的最真實的第一手數據能被專業的分析師制作用戶畫像用于精準營銷,即使企業在主觀上沒有惡意利用數據,個體也不能保證這些隱私數據不被內鬼或黑客利用。多泄露一次隱私,隱私被利用的機會就可能呈幾何倍增長。



個人與企業可以做的幾件事


個人可以做的幾件事


首先就是老生常談的定期更改、設置強密碼和不要點來歷不明的鏈接,其次可以使用各類專業密碼管理軟件。但歸根到底,一己之力終究無法對抗專業的黑客、處心積慮的詐騙和有意泄露的內鬼,信息安全的實質改善需要靠政府監管、企業重視和自律以及個體提高信息安全意識這三方面共同努力。


企業可以做的幾件事


保障用戶賬號安全的主要責任當然在企業。除了必要的服務器安全保障和關鍵信息加密外,易被很多企業忽略的是控制內部工作人員的信息獲取權限。


此次京東50億數據泄露的新聞中透露該內鬼是“入職時刻不長且權限不高”的普通員工,并且“曾在國內多家聞名互聯網公司工作”,如果企業內部嚴格控制各崗位的數據讀取權限和導出權限,按照最低權限標準僅賦予角色所需的最低權限,那在很大程度上能把內鬼的威脅降到最低。


另一方面,業務安全也是防御的重點。針對服務器的漏洞攻擊往往只是整個攻擊鏈中的第一步,后續往往還會伴隨著爬蟲、撞庫、羊毛黨、盜卡盜刷等一系列業務上的攻擊,其中防撞庫就是在業務安全層面防止賬號泄露。


撞庫防御的傳統思路主要是根據頻率和帳號歷史行為基線進行判斷,除此之外還可以從用戶在頁面訪問的行為角度出發,增加考慮用戶是否在查看了登錄頁面內容,以及是否從合理的路徑訪問到登錄頁面進行登錄,頁面停留時間考慮用戶是否具有異常行為特征應當進行驗證。


很多企業會通過復雜驗證碼或強制強密碼等手段把風險轉嫁給用戶,這些手段極大降低了網站登錄的友好性,低頻網站的用戶可能每次登錄前都要輸錯幾次驗證碼或重置密碼。企業若能主動承擔防撞庫的責任,則能在登錄友好性和賬戶安全性之間找到最佳平衡。



作者大星 豈安科技數據分析師


3年互聯網數據分析及運營經驗,豐富的多行業業務風險反欺詐經驗,負責豈安科技產品運營及不同行業不同客戶的業務風險分析。




你會感興趣的內容:


【大星】


【觀點】


【招聘】


我要推薦
轉發到
2019av手机天堂网免费_欧洲成在人线a免费视频_午夜私人成年影院 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>