起底大數據黑產:屢防不止的數據泄露
工信部談個人數據泄露整治情況:對拒不接受整治的APP要堅決下架
原標題:起底大數據黑產
5月7日,新加坡大華銀行對一起涉及1166名中國客戶的信息泄露事件在官網公開致歉。
又一起用戶個人信息數據泄露案件被曝光,這一次整出幺蛾子的是一家銀行。
5月7日,新加坡大華銀行對一起涉及1166名中國客戶的信息泄露事件在官網公開致歉。
據該銀行表示,事件起因是由於一名銀行員工誤信了假冒中國公安的騙局,並向騙子提供了客戶姓名、身份證號、手機號碼、賬戶餘額等1166名客戶的信息。大華銀行表示,中國客戶的銀行賬號並未公開,銀行的IT系統仍然安全,目前已致函所有客戶,涉事員工已被停職,銀行正與新加坡警方密切合作進行調查。
屢防不止的數據泄露
近年來,信息泄露或數據泄露可以說是屢見不鮮。
不過,對於多數的大型金融機構及企業來說,維護數據安全最害怕的還不是“空手套數據”的騙子,而是“防火牆”都攔不住的黑客。
據公開信息,4月7日,擁有超7億註冊用戶的職場社交平臺LinkedIn遭遇了大規模的數據泄露事件。一名用戶在黑客論壇上出售其獲取的5億LinkedIn用戶的數據包,並“貼心”地無償公開了200萬條數據作爲證據。4月10日,另一名用戶也在同一黑客論壇中出售新的LinkedIn用戶數據,並聲稱價值7000美元的比特幣。Cybernews報道稱,泄露的數據中包括用戶的名字、電子郵件地址、電話號碼、工作場所信息等。瀏覽LinkedIn網站可以發現,雖然用戶的名字及工作經歷爲公開信息,但電話號碼及郵件地址仍屬於非公開信息。同時,根據黑客提供的數據示例來看,數據來源就是爬蟲。
綜合同期陷入爭議的facebook信息泄露事件,可以看到,這些讓無數用戶及機構爲之頭疼的事件層出不窮。而無論是“騙”來信息,還是黑客爬蟲刮出數據,數據泄露背後已然形成了一條黑色產業鏈,滋生着巨大的非法獲利空間。
黑灰產團伙是如何竊取你的數據的?
中國互聯網絡信息中心發佈的第46次《中國互聯網絡發展狀況統計報告》顯示,截至2020年6月,有20.4%的網民表示遭遇過個人信息泄露。而中國互聯網協會對外公佈的《中國網民權益保護調查報告(2020)》則顯示,近一年網民由於詐騙信息、垃圾信息和個人信息泄露等現象,導致遭受的經濟損失人均124元,總體損失約805億元。這一切都和非法獲取數據黑灰產息息相關。
不同於其他黑灰產業,非法獲取個人信息及數據的黑灰產具有自身的特殊性,這是因爲非法獲取數據的黑灰產不僅有一條自己的完整產業鏈,它還常常作爲其他黑灰產的上游。此外,越來越多的非法獲取數據黑灰產寄生於“暗網”這個平臺,這就註定使得這一黑灰產業有着不可估量的巨大規模。
非法獲取、買賣數據的黑灰產業鏈成熟完整、分工明確。在這條產業鏈的上游,通過惡意爬蟲、病毒軟件、撞庫入侵、APP違規收集、惡意SDK(software development kit,軟件開發包)等方式獲取到大量數據。而類似於酒店、銀行、通信公司等“數據窪地”常常成爲黑灰產上游的獵物。更讓這些公司防不勝防的,是同爲黑灰產上游的公司“內鬼”,“內鬼”常常通過直接提供數據或出租公司賬號給不法分子這兩個途徑參與其中。
在產業鏈的中游,數據被處理並再加工,對數據明碼標價進行買賣,形成規模化市場。而在這條產業鏈的下游,不法分子通過購買數據,利用數據進行精準詐騙、敲詐勒索、盜竊賬戶、惡意營銷、惡意刷量甚至從事洗錢等違法活動。也就是說,如果泄露了客戶信息的大華銀行不採取有效措施,1166名客戶的數據就很有可能被用在這些地方。
爲什麼數據黑灰產屢禁不止,就像“打不死的小強”?這是因爲越來越多的下游交易環節被轉移至“暗網”。
“暗網”是相對於明網的概念,指的是那些存儲在分佈於全球各個角落的服務器中、但不能通過超鏈接訪問而需要通過特殊訪問技術訪問的資源。換句話說,就是不能通過百度等搜索引擎訪問到的網絡,遊走於你我的視野之外。
“暗網”的數據交易相對隱蔽,這是由於交易雙方要進行私聊首先必須充值比特幣而非其他貨幣,交易雙方不會轉移至微信等社交工具溝通,也就是隻能通過“暗網”溝通。在百度發佈的《2020網絡黑灰產犯罪研究報告》的其中一張圖中,可以看到“暗網”中數據販賣可謂“應有盡有”,甚至包括銀行卡號、登記地址在內等信息都被明碼標價。
值得一提的是,數據早已不只侷限於個人的身份信息,隨着AI技術的快速發展與應用,生物數據及地理數據泄露也需引起關注。
三管齊下防治數據黑灰產
根據Cybernews近幾日的一篇研究報告,目前全球數以萬計的數據庫服務器仍然向任何人開放,仍有超過29000個未受保護的數據庫,近19pb的數據暴露在盜竊、篡改、刪除甚至更糟的情況下。其中,中國仍有12943個未受保護的數據庫,遠遠大於位居第二的美國(4512)和位居第三的德國(1479)。
這意味着我國強化數據信息保護、打擊數據黑灰產迫在眉睫。
國家和地方層面已經在行動,今年3月,中央網信辦副主任楊小偉在新聞發佈會上表示,目前正在加緊制定出臺《數據安全法》《個人信息保護法》,加緊建立數據資源的確權、開放、流通以及交易的相關制度,爲保護個人信息安全提供法律保障。
作爲“數據窪地”的企業則需要不斷自檢,完善系統安全性,同時積極探索與監管機構、公安等合作。
雖然不少數據黑灰產團伙以B端爲切口爬蟲或撞庫獲取數據,但這並不意味着作爲C端的普通用戶們“手無縛雞之力”。
數據黑灰產是伴隨着數字化、信息化、網絡化的興起而應運而生,這也意味着它的消亡絕不會是轉瞬之間。而只有確保用戶、企業、政府多方使力、三管齊下,數據黑灰產的消亡才能按下加速鍵。
(作者:侯瀟怡,王文妍 編輯:曾芳)
