文章摘要:2016年7月臭名昭著的暗网市场“真实交易”(TheRealDeal)里一位名叫 “和平”的卖家挂出了约2亿个雅虎账户和密码进行出售,雅虎数据泄露事件就此开始发酵。一年后,雅虎官方承认共有约30亿个账户受到2013年黑客攻击影响,而那次攻击导致泄露的数据,之后几年里一直在暗网里流传。关于雅虎数据泄露的相关报道截止目前,这仍是有史以来涉及用户数量最多的数据泄露事件。数据泄露,应该是为数不多普通大众都
2016年7月臭名昭著的暗网市场“真实交易”(TheRealDeal)里一位名叫 “和平”的卖家挂出了约2亿个雅虎账户和密码进行出售,雅虎数据泄露事件就此开始发酵。一年后,雅虎官方承认共有约30亿个账户受到2013年黑客攻击影响,而那次攻击导致泄露的数据,之后几年里一直在暗网里流传。
关于雅虎数据泄露的相关报道
截止目前,这仍是有史以来涉及用户数量最多的数据泄露事件。
数据泄露,应该是为数不多普通大众都有所耳闻的网络安全概念。它被熟知的主要原因是发生频率太高,并且数据泄露事件一旦爆出,往往影响深远。5年前的一次数据泄露,可能会在今天突然爆发,导致用户的个人信息被公之于众。
一、数据泄露历史
据我查找到的信息来看,最早有记录的数据泄露事件发生在2004年。2004年互联网服务公司“美国在线(AOL)”的一名软件工程师,利用自己职务便利黑入公司内部系统,窃取了9200万个****卖给了垃圾邮件服务商。当年全球互联网用户人数也仅有8亿而已,这一次人为的数据泄露覆盖量就占到了11%。
名为“美国在线员工因垃圾邮件被捕”的相关报道
在此之后,数据泄露事件开始爆发式的增长。
目光回到国内,早期曝光的数据泄露事件主要从2011年底开始。2011年,有两起数据泄露事件影响了当时绝大部分的中国网民。
第一,天涯社区4000万用户资料泄露,泄露的数据里面包括天涯的用户名、密码、邮箱三个数据。其中大部分都可以可直接登录到天涯社区;
第二,CSDN用户数据库泄露事件,高达600多万个明文的注册邮箱账号和密码遭到曝光,成为中国互联网历史上一次具有深远意义的网络安全事故。
2011年数据泄露事件表-图源澎湃新闻
据统计2011年里的数据泄露事件,共累计影响了1亿用户。我们再来看一个对比数据,根据中国互联网信息中心的报道,2011年中国网民共计5.13亿。
中国互联网信息中心报告截图
而当年的数据泄露影响了全国1/5的网民。
回到现在,2020年过去3个月,发生的数据泄露事件也不少。让我记忆最深刻的是前些日子安全公司 Keepnet Labs 泄露了一个包括50亿条已泄露记录的数据库。(是不是有许多问号?安全公司也会数据泄露…)
事件经过是有专家发现一个属于安全公司 Keepnet Labs 的未受保护的数据库,其中包含超过50亿条以前泄露的数据记录网络安全事件。泄露数据包括哈希类型、泄漏年份、密码、电子邮件、电子邮件域和泄漏源。
随着互联网的快速发展,数据泄露也从互联网公司蔓延到一些传统行业。其中包括酒店、航空、快递等涉及大量用户私密信息的行业,而且涉及数据量都非常之大。2018年仅是一个华住酒店集团数据泄露事件,就涉及了5亿条客户隐私信息…
以目前的情况来看,数据泄露比你想象的更“贴近”你的生活。
二、数据泄露的方式
数据泄露可能是有针对性的攻击,也可能只是人为错误、安全漏洞或缺乏安全措施导致。具体有以下几种方式:
1.黑客入侵
据统计,黑客入侵是数据泄露的主要方式。
让我们来设想一个场景:黑客入侵A网站后对网站拖库,拿到的数据可以存到自己的社工库里,可以直接洗库变现,还可以再去B网站撞库。
纯手工绘图
是不是被里面的各种库绕晕了?别慌我们接着看。
拖库:本来是数据库领域的专用语,指从数据库中导出数据。而现在它被用来指网站遭到入侵后,黑客窃取数据库的行为。
洗库:黑客入侵网站在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。
社工库:黑客将获取的各种数据库关联起来,对用户进行全方位画像。
撞库:很多人喜欢将不同网站的密码设置为同一个,一旦你在某个网络安全能力较弱的网站密码被黑客获取,黑客就可以用该密码循环测试其他网站,这种手段就叫“撞库”。
2.内部外泄
就如出售“美国在线”数据的那位软件工程师一样,为了赚钱从内部泄露数据。也有可能是由于员工安全意识不足,失误将数据外泄。
3.主动出售
一些小公司为了自身利益会主动出售自己已有的用户数据,或者与同行交换。
4.爬虫获取
API接口代码不严谨或风控不足,数据被恶意爬取或越权爬取,导致数据泄露。
三、后数据泄露时代的思考
数据不仅是企业的核心财产,更是用户重要的隐私。现如今我们通过个人的努力去减少数据泄露带来的安全风险可谓是难上加难。太多的个人隐私被存储在了互联网中,谁知道它们会不会是下一个被泄露的。
企业有义务也更有能力去保护用户隐私不被侵犯。毕竟,能力越大,责任越大。
电影《蜘蛛侠》截图
例如企业的数据收集必须要符合法律法规的要求,保证数据收集是在一定的框架和允许的范围内进行,同时对于所收集的数据以及数据的真实用途要明确告知用户。
其次企业应对数据安全风险,要从技术层面和管理层面多方着手。
一方面在技术层面做好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储,通道加密、传输行为审计,数据脱敏,数据锁等多方面工作,了解隐私数据的红线在哪里,统计网络行为模型,实时监测是否有黑客入侵偷取数据。
另一方面,在管理层面则应该设立首席数据安全官来负责数据安全,要设立多个数据安全保护官,或者是多支团队保障数据安全。同时还要建立好攻防对抗的机制,通过攻防对抗真正的检验系统安全性,了解黑客的攻击方法和技术手段才能更好的保护企业安全。【来自FreeBuf.COM】
