千氪财经

5亿条隐私标价8个比特币 里面或许就有你的信息

说说区块链

说说区块链

个人专栏
+   关注
2018-9-1 转载
又一次疑似大规模的隐私数据泄露,一旦成真,很可能会是史上最严重的,没有之一。

 又一次疑似大规模的隐私数据泄露,一旦成真,很可能会是史上最严重的,没有之一。你可能不知道华住,但是汉庭、桔子、美爵、宜必思,这些酒店名字应该听说过,甚至很可能曾经入住。

问题来了,五亿条的个人隐私数据里,有没有你我的名字呢?

数亿人变“透明人”

疑似被泄露的五亿条数据,究竟包括哪些内容?从网上的截图和一些媒体的报道看,大概是这些:

1535686449167985.png

看清楚了吗?从姓名、身份证号、家庭住址到手机号、邮箱、开房记录,一应俱全,如果不幸曾经住过这些酒店,对不起,在黑客那里,你已经是个透明人,近乎“裸奔”。

而所有这些,在暗网上有一个打包价——8个比特币,或者说37万人民币。

隐私如何泄露 密码竟是“123456”

面对质疑,华住集团发表澄清声明,展开内部调查,并第一时间报警。上海长宁警方也发布消息,正对此事展开调查。

然而,这样的情景似曾相识。每次出现大规模信息泄露事件,涉事单位发个公告,然后报警,被“卖”了的个人只能眼睁睁看着这一切发生,无计可施。

信息泄露已成互联网时代的一大顽疾。补天漏洞响应平台数据显示:2015年以来,每年因为网站安全漏洞可能导致的个人信息泄露规模都在50亿-60亿条的规模。海量的个人信息数据在地下黑市进行交易,并由此引发网络诈骗、敲诈勒索等大量犯罪行为。

1535686456861807.png

  那么,这次数据泄露的原因是什么?内鬼作乱还是外部黑客入侵?

几位网络专家分析说,如果数据泄露属实,从目前的信息来看,此次泄露事件可能并非黑客技术高超,蓄意攻击,而是内部保护措施不到位。疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。

而代码本身,也暴露出了很多问题:首先,公司的代码被大规模地上传到 Github,本身就应该有报警措施;其次,为了安全起见,数据库一般来说应该只限内部IP访问,但华住的数据库IP是允许外网访问的;而最夸张的是,数据库的用户名是“root”、密码是“123456”……

安全从0开始

尽管这一说法目前还没有得到警方证实,但如果事情果真如此,其暴露出来的问题比较严重。

首先是对外部资源的过分信任。

免费的Github虽然是一个方便公共资源,其安全可信性是非常有限的。大型互联网企业一般都不允许员工将代码以任何形式上传Github。

第二是对员工的过分信任。

如果一个程序员就能独立掌握或访问如此海量的敏感信息,那么即便没有外部威胁,这种情况本身对企业也是一个巨大的威胁——怎么能够把企业的信息安全建立在一个员工个人的忠诚之上呢?

2018年以来,安全圈特别火的一个概念叫做“0信任”,意思是说:在网络安全建设中,首先就应当假设一切都是不可信的,之后再通过各种认证技术、权限管理、大数据监控等方法,有效地控制风险,安全从0开始。

“信息泄漏的时代,谁不是裸奔?”

移动互联时代,所有和智能手机连接的公司,某种程度上都是大数据公司。展望未来,随着物联网的发展,万物互联时代的到来,隐私数据泄露的后果更是不堪设想。个人的信息犹如宝藏,但很多时候,守卫这个宝藏的,只是一个不上锁的木门。

“急什么,你的信息早上不被卖,晚上也会被卖。”,“信息泄漏的时代,谁不是裸奔?”网友无奈的调侃,也折射出大数据洪流下,个人隐私被严重泄漏、盗用的现实。

对不法商贩来说,这些个人隐私信息流入黑色产业链,会不断被开发、重组,到最后受到伤害的房客,可能根本就不知道自己何时被卖,也不知道被谁出卖。

信息泄露问题日益严重,原因有以下两个方面:

一是网络诈骗、网络黑产的泛滥,使得个人信息的变现越来越容易,相关犯罪活动也就越来越频繁。

二是很多大型政企机构、互联网企业的网络安全基础建设还比较薄弱,有些网站对于黑客来说就是一扇敞开的大门。

对于如何保护网络大数据的安全,360行业安全研究中心主任裴智勇认为:

首先,应当做好基本的安全防护措施,如防病毒、防渗透、数据权限管控、数据存储加密等等。

第二,应当重视安全漏洞的检测与管理,一旦接到监管机构或第三方的漏洞通报,要在第一时间进行修复,以免漏洞被恶意利用。

第三,应当学会和掌握用大数据来保护大数据安全的技术方法。这样当意外风险发生之时,才能做到及时发现,及时响应,减少损失。

第四,一旦数据泄露事件已经发生,应积极响应,并告知可能的受害用户,以免用户个人信息被用于诈骗、勒索等犯罪活动。

专家分析说,很多大型企业,在自己的业务领域都很专业,但如何管理用户信息,对他们是个新课题。移动互联网时代,收集用户信息很方便,但如何妥善使用和确保安全,对企业来说,是理所当然的义务,更是一份沉甸甸的责任。培养员工互联网安全意识,加大安全领域硬件和软件的方面的投入,已经刻不容缓。

也有学者建议,目前,国内对涉嫌泄露用户信息的惩罚力度还不够大,有待加强。一旦有企业涉嫌泄露用户信息,应对其重罚。这样,也能促使企业提高安全防范意识,加大必要的投入。


展开全文>
打开APP,获取阅读奖励
声明:本文经授权发布,如若转载请联系原作者;违规转载者法律必究。
本文来源: 比特币之家 阅读原文
区块链
比特币
数字货币
0

为您推荐

中国斥资千亿元建大桥 寻求打造大湾区与硅谷竞争

锐驰财经 2018-9-1
中国斥资千亿元建大桥 寻求打造大湾区与硅谷竞争

那些搞出大事情的小团队,都长什么样?

花儿街参考 2018-9-1
那些搞出大事情的小团队,都长什么样?

主流货币的走势一样吗?9月1日币情谍报

预测之家 2018-9-1
主流货币的走势一样吗?9月1日币情谍报

最新评论 1条评论

树皮
树皮
已实名
2018-9-1
价钱很便宜
打开千氪,查看全部评论