信息是一道光，泄露到你发慌

从Facebook泄露5000万用户信息，到华住泄露1.3亿人住房信息，今年这样的信息泄露事件一直层出不穷，并且规模越来越大。

公众难免质疑，“既然公司获取并使用了我的信息，那便应有保护这些信息的义务。如今因为这些信息的泄露，让个人安全和隐私受到极大威胁，那之后是否还能放心的将这些信息交给这家企业呢?”

由信息泄露事件引发的矛盾一步步将企业推入信任危机的漩涡，被泄露的信息往往会通过暗网等隐蔽性极强的手段销售传播，而对于被泄露的信息来说，这个故事才刚刚开始。

这次我们采访了360信息安全部的负责人高雪峰和网络攻防实验室负责人林伟，他们讲述了信息从被泄露开始到最终被恶意利用的完整过程。

信息泄露是如何发生的?

被泄露的数据虽然千奇百怪，有快递信息、开房信息、学生信息等等，但如果追溯到信息泄露事件的源头，不难发现很多数据库的信息泄露都是因为某个终端的一点出现了问题。从被泄的信息处溯源，泄露信息的具体手段虽然千奇百怪，但总的仍可分为4种。

1. 黑客攻击

这种黑客通过攻击数据库，导出部分用户数据的行为，被称之为“拖库”。黑客通过漏洞等技术手段对后台攻击，并最终获得提取后台数据库的权限。这些被利用的漏洞，有些是通过黑客自己挖掘的，但更多的是黑客利用了已知漏洞但企业后台尚未及时进行修补的缺口。

随着企业安全意识的不断增强，各种防御手段不断升级，这种攻击手段往往难度更大并且很难得手。这种攻击手法往往针对性更强，并被经过精心策划。例如早前7月，新加波政府的健康数据库遭遇重大网络攻击，约150万的个人信息被窃取，其中甚至包括了总理李显龙的数据。

2. 撞库攻击

这种攻击手法简单来说就是用已有数据库中的账号密码去在不同的平台尝试登陆，因为有些用户习惯在不同的平台使用同一个密码，这就导致被“撞”出来的密码越来越多。而这种“撞库”的行为本身也类似于滚雪球效应，随着数据库的不断累积，能够撞到的数据也越来越多。

这种黑客通过用户在A网站的账户尝试登录B网站的行为，已经有很多典型案例，早先12306网站被泄露的十万多条用户数据便是被撞库所得。而随着被泄露数据库的增多，撞库的成功率也会不断增加。

3. 内鬼

“日防夜防，家贼难防”，与通过技术手段进行攻击相比，内部人员为了私利而泄露信息是最常见的也是很难进行防范的。对于公司安全团队来说，做了不少防护措施，包括修复漏洞，加强防火墙，设置多级加密等，但出现内部泄露事件往往会让这些努力全部付之东流。

不少企业都有发现内鬼的存在，但事发后并不敢公开，就算手握真凭实据也只能默默开除。究其原因，还是为了维护品牌以及企业的名声。只有当被大量媒体报道披露后，一些企业才会做出相关回应。

据之前《财经》杂志报道显示，有80%的数据泄露是企业内鬼所为，黑客和其他方式仅占20%。面对巨大的利益诱惑，不过两草犹一心，人心不如草。

4. 安全意识差

一些员工为了工作方便，将后台的账号密码上传到网上，导致后台数据库泄露;更有甚者，通过不加密的EXCEL导入传输数据。例如早先一些知名网站因为采用明文存储用户名密码，在遭受黑客攻击后大量用户数据库被挂在互联网上。设想，如果这些网站采用加密的形式存储了关键数据，即使遭到攻击数据被窃取，也未必能够破解进而造成数据泄漏。

对于安全意识差的的问题，简单可以分为两类：

• 第一类——“无知者无畏”，有些人确实没有良好的安全意识，会在不经意间泄露敏感信息;
• 第二类——“明知山有虎”，有安全意识但存在侥幸心理，认为事情不会发生在自己头上(结果往往如墨菲定律，会出错的事终会出错)

被泄露的信息落入谁手?

买家构成背景其实十分复杂，无论是通过网络攻击获取数据库的黑客，还是盗窃企业数据的内鬼，除了会在暗网上进行匿名兜售，还会通过特殊渠道卖给相应的“二道贩子”，这些二道贩子有自己的对口客户，类似于和这些信息相关的企业和灰黑产业链条。

“二道贩子”会根据泄露数据中的地域、职业、年龄、消费水平等具体条件进行筛选归类，这整个过程也被称为“洗库”，经过精细的筛选细分后，“二道贩子”会根据“客户”需要通过社交网络完成最后的精准分销。

大部分的二道贩子售卖数据都是5-10万条起售，价格大多在1毛/条左右，有些甚至1分钱都不到。虽然价格如此低廉，但这些信息的详细准确程度却让人咋舌，从姓名、电话、住址到身份证号、家人联系方式、消费水平等一应俱全。

每次的信息数据库泄露的也许只是这些信息的一部分，但多次信息泄露让这些数据不断累加，变得愈发详细，通过这些信息并不难描绘出一幅精准的“画像”。通过被精准描绘出的“画像”，企业有很多渠道来变现实现商业价值，而对于灰黑产来说，便是进行犯罪活动的最佳“利器”。

按照泄露信息进行划分，可以大致分为一下几类：

1. 个人身份信息

个人身份信息(Personally identifiable information，简称PII)是指可用于识别、定位或关联特定个体的数据，包括姓名、出生日期、住址、电话号码等等。网络犯罪份子在利用PII方面具有高度的灵活性。

攻击者经常可以直接对受害者进行恶意攻击，通过使用受害人名下的贷款或信用卡信息提供欺诈性所得税申报，并以受害人的名义申请贷款等。另一方面，当这些PII被销售给市场营销公司或专门从事垃圾邮件活动的公司后，受害者也会由此受到间接影响，饱受垃圾/广告邮件和骚扰电话的困扰。

2. 财务信息

财务信息是个人财务活动中使用的相关数据，包括银行信息、账单账户、保险信息以及其他可用于访问账户或处理金融交易的数据。

（编辑：好传媒网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!