5天6亿3000万数据泄露,怎么做才能跑赢骗子?
昨天,一则“陌陌 3000 万数据暗网仅售 200 元”的消息在网上不胫而走。
1.陌陌回应暗网售卖数据:匹配度低
据微博用户 @lxghost 透露,陌陌有约 3000 万条数据在暗网出售——这批数据是 2015 年 7 月 17 日被写入的,总条数 3161 万条,包含手机号和密码两个字段。根据暗网的卖家介绍,“数据中密码有空白项,但这部分所占比例不到 1%,就算去掉 100 万条,还有 3000 万条”,并申明,“本数据不保障现时有效性,只适合撞库等用”。
卖家还特别警告称,“本人未有大批测试能力,故无法确保数据能登录陌陌或者可搜索到陌陌账号的概率,这一点敬请谅解。”
经过网络的大肆传播和报道之后,一时之间,热议声甚嚣尘上。对此,陌陌官方在消息披露的当晚紧急调查表示,消息不可信!
陌陌方面称,网上流传的报道中所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低,测试结果都是错误信息。此外,陌陌采用高强度单向散列算法对用户密码加密,任何人都无法直接从陌陌数据库中获取用户明文密码。最后还提到,陌陌采用包括密码验证、设备验证等多重校验机制,他人根本无法仅凭手机号和密码就登录用户陌陌账号。
对于陌陌的紧急公关声明,网友们的态度仍显得十分存疑,很多人质疑“匹配度极低难道就等同于安全吗?”、“所谓的测试是指什么?”、“仍有泄露风险吗?”......但是截至目前,已经没有更大的水花了。不过可喜的是,据北京时间今日凌晨消息,经历数据泄露传闻的陌陌周一股价大涨,截至收盘涨幅达 5.52%——事实证明,所谓的数据泄露疑云似乎没有给陌陌带来任何的不良影响。
2.无独有偶,Quora 1 亿用户数据也惨遭泄露
巧的是,前有“沉冤得雪”的陌陌,后有“负荆请罪”的 Quora。
据外媒路透社当地时间 3 日报道,美国的知识问答类网站 Quora 系统遭“恶意第三方入侵”,波及了 1 亿名用户。Quora 在其官方网站表示,这些用户的姓名、电子邮件地址、密码及相关链接数据等账户信息安全都受到了威胁,黑客还获取了诸如提问、回答、赞、踩等操作的信息。
目前,为防止进一步损失,Quora 已将所有用户账号强制登出。“我们正在通知信息安全受到威胁的用户”,Quora 公司联合创始人兼首席执行官亚当·德安格洛说,暂未影响匿名提问与回答的用户,此外“调查仍在进行中,我们将进一步改善安全保障措施。”值得一提的是,成立于 2009 年的 Quora 网站,其创始人德安格洛和查理·切沃均为前 Facebook 员工——而后者仍处于今年初爆发的“剑桥分析公司数据泄露丑闻”阴影下。
3.为什么近年来泄露案件密集爆发?
事实上今年以来,数据泄露的事件就频繁发生,且涉及规模都十分庞大。
除去今年 3 月的 Facebook 事件,还有很多大规模的泄漏事件历历在目:6 月,圆通 10 亿条快递数据在暗网上打包出售,数据信息包括寄(收)件人姓名、电话、地址等;8 月,因华住公司程序员将数据库连接方式上传至 GitHub 导致其泄露,华住旗下多个连锁酒店开房信息数据泄漏,总数接近 5 亿;乃至上周的 11 月 30 日,万豪酒店数据库遭到入侵,5 亿名顾客的数据也遭到泄露,包括顾客的姓名、出生日期、电话号码、护照号码、通信地址、电子邮箱和其他一些个人信息......
从万豪酒店数据库被入侵 5 亿信息泄漏、陌陌被撞库数据暗网出售到 Quora 遭黑客入侵 1亿用户数据被盗,从国际酒店、知名社交 App 到全球著名的在线问答社区 Quora——网络技术发展到现在,数据安全应该是所有企业和用户的核心焦点,那为什么近年来泄露案件仍然密集爆发?技术上就没有彻底防范的方法吗?难道受害者就只能束手就擒?
带着种种问题,CSDN(ID:CSDNnews)特别咨询了 360 网络安全响应中心负责人蔡玉光,他表示,目前安全行业其实普遍有一个共识,没有攻不破的网络。企业出现安全事件是在所难免的现实,除却暗网这样还有一定开放空间的平台,其实还有更多的安全事件没有被曝光出来。
“近期频频曝光的数据泄密事件,除了围绕着简单的经济或情报利益,这些数据在后面环节的被利用是更应该考虑的问题——买家在购买这些隐私数据后是否会有进一步的利用场景,如电信诈骗、金融账号攻击、间谍数据等利用场景?这些危害会比直接的数据买卖更具破坏性。”
数据泄露事件大多都是在过了很长一段时间后才曝光出来,攻击者可能在数分钟的时间里就攻破了网络,在数分钟到小时级就窃取完了企业里留存的用户隐私数据;但是安全人员可能是在数月或者上年的时间才能发现已经发生了的数据泄露事件。而这些,就需要从数据泄密的流程和主要手段来分析。
4.数据泄露中攻防失衡的现实
根据 360 网络安全响应中心发布的《2017 年度安全报告——数据泄密》显示,全年数据泄露事件的平均规模上升了 2%,财产损失高达上亿。一般而言,数据泄露的流程整个流程可以分为:拖库、洗库、撞库。数据资源一旦被泄露,那么就会产生一系列的危害。很多用户由于缺乏安全意识,不能及时的发现自己的数据泄露,只有当自己的财产受到损失才能被感知,所以用户感知越来越慢,这也是为什么数据泄露的发现极具延时性。
报告还表示,导致数据泄露的主要手段分为黑客入侵、软件漏洞、恶意木马等技术手段,以及内部人员泄密、非有意识泄密等非技术手段。其中,最大来源是意外丢失和因疏忽而使信息暴露的数据。
“攻防失衡问题的改善,除了需要安全行业在技术层面更加的努力,更需要社会在宏观和个人层面重视信息安全、企业把信息安全管理放在一个战略高度。”针对日益严重的数据安全隐患,蔡玉光说到,企业在品牌建设和自身发展过程中,在拥抱信息化之后,信息安全事件绝对是一个大概率的“灰犀牛”事件。“比如,目前通过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道,相应的,厂商应正视网络安全,定期进行渗透测试,及时对有漏洞的服务打补丁,做好完整可靠的数据安全措施,对密码加密存储,杜绝明文密码存储,这样即便被黑也能降低带来的损失。”
5.开发者和个人用户该如何应对?
对于开发者,蔡玉光认为要具备一定的安全意识(可以通过企业内部组织培训或自身学习)。在架构和研发过程中要配合安全团队或综合考虑信息安全管理要素;在实际开发过程中要避开常见安全问题,如上传 Github、SQL 注入、任意命令执行、缓冲区溢出、水平越权、日志敏感信息记录、敏感文件任意存放等问题。
在数据泄露事件发生时,开发者应发挥自身的技术和业务优势,积极配合安全团队、法务团队对事件溯源中所涉及到的业务场景和数据证据,提取固化提供支撑,在很多数据泄露事件溯源中开发者都是最有利的技术支撑,比如数据流程梳理、关键日志提取等。此外,“开发者在配合过程中需要严格注意,避免破坏数据完整性。”
而对于个人用户,不仅需要定期更换并使用较长(10 位以上)的复杂(大小写字母、数字、特殊字符)密码,还应该分级管理自身的密码,如一级金融账号密码、二级重要账号密码、三级普通网站密码。遇到数据泄露事件, 应及时修改密码并同时修改和泄露相关的其他账号密码。
当然,“个人用户也可以使用网站、应用中提供的双因子验证机制,如登录短信验证或手机应用再确认等方式,双因素机制可以有效提高账号的安全性。另一方面也可以在拥有指纹或口令保护的智能手机中使用一些公开密码管理软件来对自身密码进行管理,如1Password等。”
数据安全不是个一蹴而就的命题,它需要企业、开发者和个人共同维系。
“征稿啦”
CSDN 公众号秉持着「与千万技术人共成长」理念,不仅以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件,更有「技术头条」专栏,深度解读行业内的热门技术与场景应用,让所有的开发者紧跟技术潮流,保持警醒的技术嗅觉,对行业趋势、技术有更为全面的认知。
如果你有优质的文章,或是行业热点事件、技术趋势的真知灼见,或是深度的应用实践、场景方案等的新见解,欢迎联系 CSDN 投稿,联系方式:微信(guorui_1118,请备注投稿+姓名+公司职位),邮箱([email protected])。