数据库“裸奔”!个人信息屡遭暗网贩卖!

2018-11-29 18:03

从互联互通时代到如今的人工智能时代,包括个人信息在内的各种数据变成了最宝贵的财富。然而,大数据、云计算、人工智能等新技术的运用,在充分发挥数据价值的同时,也给个人隐私保护带来严峻挑战,数据产业的发展和个人信息安全之间出现了失衡。

今年以来,多家机构的用户数据库发生拖库事件,包括学籍信息、个人从业经历甚至开房记录等高度敏感信息均在“暗网”上挂售。不少人提出质疑:我们究竟还有什么隐私没有被泄露?把隐私交给互联网企业究竟安全吗?现在,小编也针对近期国内所发生的数据泄露事件进行了梳理,并从行业细分上选出了3起数据泄露事件与大家分享。

事件回顾一:浙江省1000 万学籍数据在暗网被卖

 7月30日,一条题为《浙江省1000万学籍数据出售》的帖子在“暗网”某中文论坛中引发关注。发帖者称,其所出售的数据包含学生姓名、身份证号、学籍号、学校名称、学校序号、班级号、户籍信息、监护人姓名、监护人手机号、居住地址和学生照片信息,作价0.02比特币(当时折合人民币约1000元)。

1.jpg

据截图显示,售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。除了文字信息,售卖的学籍数据里还提供有照片链接,数据在 100G 左右。从卖家放出的测试数据截图来看,学籍信息里出生年龄分布在 95 年 ~06 年(23 岁到 12 岁之间),还包含了家人联系方式及照片,数据的真实性较高。

被泄露的学籍数据里只含有中小学生,不包含大学生,由此推测浙江省中小学生学籍信息管理类系统可能被 “拖库” 。

事件回顾二: “脱裤”的华住,近5亿条“裸奔”的隐私

“出售华住集团旗下所有酒店数据(汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友),附件当中为测试数据,各提供10000条数据供大佬测试……”8月28日,一张经由“暗网”流出的截图在社交媒体上疯转,有地下黑产从业者声称掌握了华住集团旗下酒店近5亿条数据信息,并以打包价8比特币或520门罗币(当时折合人民币约37万元)公开出售。 

2.png


一石激起千层浪,不少人开始在朋友圈感叹“在互联网时代毫无隐私可言”,也有人质疑在“暗网”出售的数据并非真实信息。然而,第三方网络安全团队对“暗网”公布的3万条数据样本进行技术鉴定后认定“样本数据准确”。

更让人惶恐的是,在“暗网”挂售数据的地下黑产还表示,“以上数据获取时间为2018年8月14日,如果权限不丢失,后续数据还可以免费发给已购买上述数据的买家”。也就是说,地下黑产对数据库的入侵行为并非“一次性”行为,而是获取了访问数据库的权限,如果有关方面不采取进一步补救措施,发帖者甚至可以做到在数据库中“来去自如”。

事件回顾三: 30万玖融网用户数据被挂暗网 仅售1个比特币

11月4日,黑客孤狼(化名)在暗网发布一个帖子,称拿下了汽车金融平台玖融网的所有权限,可以入侵所有的服务器。玖融网是一家总部位于武汉的汽车金融平台,给用户提供汽车抵押贷款与理财服务。据黑客孤狼称,他已获得该平台上30万的用户数据,并以一个比特币(现价值人民币3万元)的价格出售。

3.png


该数据包的详细程度到了可怕的地步。里面共有65个数据维度:除了身份证、银行卡、住址和电话等基本信息外,还有工作单位、月薪、车型号和担保人手机号码,甚至还有车贷用户的车辆信息,包括车型、车牌号、颜色、排量等信息,以及两位贷款担保人的姓名、手机号等也被收录在内。更可怕的是,该黑客不仅攻克了数据库,还拿到了包括服务器在内的全部权限,这也就意味着竞争对手篡改数据、平台用户删除贷款记录,一切皆有可能。

不难看出,今年6月以来,“暗网”上针对我国各政企机构的数据倒卖事件呈多发态势,且多发于敏感事件节点,没有安全防护能力的第三方企业、机构,往往都是黑客攻击的主要对象,这些企业通常拥有大量数据,但往往缺乏足够的数据安全意识,使得加强互联网行业的整体数据安全防护能力变得迫在眉睫。

如何防止用户信息“裸奔”?

首先,在国家层面上,有关部门应该建立响应机制,同时厘清权责关系,让广大群众在享受当下互联网技术带来的便利同时更多收获安全感。其次,企业层面上,数据安全建设工作,要制度体系与技术手段相结合,尤其要加强数据库安全的防范,当然也不能狭隘的谈数据库安全,安全的防护重心应该从被动安全防御转变为主动安全防御,从内容安全向内部威胁整体防护上提升,从而有效地发现内部高风险的人或设备,从而建立起多重防护、全域感知的数据安全深层防御体系,做到精准可视联动联防。

鉴于此,作为国内专业的数据安全解决方案提供商,8797威尼斯老品牌信息始终专注于数据安全相关技术和产品的研发,为行业用户提供业界领先的数据安全防护系列产品及解决方案,并已广泛应用于政府、电力、公安、运营商、金融和互联网等领域,帮助用户实现数据安全严密防护和合规管理,有效提升用户网络安全监测、预警及防御能力。

最后,个人层面上,个人要加强信息安全意识,个人的重要信息(如身份证号码、银行卡号、电话号码、密码等)要时刻保管好,并且定期修改密码。