大數據及云計算技術從熱詞到落地,從企業到個人都在享受其帶來的福利,數據存儲、計算、整合及利用為許多企業帶來商機,也為個人提供了更為便捷的互聯網服務。但與此同時,用戶存儲在云端的個人信息數據安全也面臨著極大的挑戰。
“泄密門”頻發
2014年12月底,春運售票初期,鐵路客戶服務中心12306網站被曝出大量用戶數據泄露并在網上傳播售賣,這些用戶數據包括13萬條賬號、密碼、手機、身份證號、郵箱地址等個人私密信息。一時間,互聯網上個人隱私安全及其保護的話題再次成為關注焦點。12306“泄密門”并不單一,近兩年,同類事件層出不窮:
2014年3月,烏云漏洞平臺曝出在線旅游服務平臺攜程網支付系統存在技術漏洞,安全支付日志可下載,導致大量用戶銀行卡信息泄露,這些信息包括持卡人姓名、身份證信息、銀行卡號、卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及6位卡Bin(用于支付的6位數字)等。
2014年4月,某黑客對國內兩家大型物流公司內部系統發起網絡攻擊,非法獲取快遞用戶個人信息1400多萬條,并出售給不法分子。這些個人信息包括用戶的姓名、聯系電話以及住址等。
2014年5月,電商網站eBay要求近1.28億活躍用戶全部重新設置個人賬號密碼,eBay透露這是因為黑客能從eBay獲取用戶密碼、電話號碼、地址及其他個人數據。
2014年9月,黑客采取突破密碼嘗試次數的方式破解了眾多好萊塢女星的iCloud賬號,從而引發了全球轟動的“好萊塢艷照門”事件。雖然事后蘋果緊急修復了該黑客利用的漏洞,但該事件足以讓云服務上用戶隱私的保護獲得足夠重視。
以上事件僅是具有代表性的個人信息泄露事件。在互聯網技術高度發達的今天,幾乎所有人都在使用各式各樣的互聯網服務,我們已經與互聯網服務融為一體,從昵稱、姓名到銀行賬號、密碼,幾乎所有信息都存在于互聯網的各類云端、服務器中,個人信息隨時都可能遭遇泄露或被竊取。這些個人信息按照敏感與重要程度可分為四類:個人身份信息、個人行為信息、個人隱私信息和個人賬號信息(見表1),其重要性呈逐層遞增狀,如個人賬號信息一旦泄露,前面三類信息的獲取相對來說輕而易舉。并且,個人隱私具有極大的商業價值,容易成為獵取目標,以“個人行為信息”為例,此類信息的收集及應用最直接的表現是在電子商務網絡廣告中,無論微博還是門戶網站,我們通常會發現廣告位置展現的是我們曾在電子商務網站上瀏覽過的商品或類似商品,更不用說如果“個人賬號信息”被盜取可能帶來的損害。
誰是“泄密者”?
盡管互聯網應用服務商、網站服務商及云服務提供商皆承諾能夠保護用戶數據信息,但互聯網環境下沒有所謂的百分之百的安全。低級手段如內部人員偷盜售賣數據,高級手段如黑客攻破服務商系統盜取數據等,都是用戶數據泄露的罪魁禍首。
1. 服務商內部人員偷盜售賣
內部人員偷盜售賣數據是典型的非技術用戶信息泄露方式,但此類方式難以避免,防不勝防。任何一家服務提供商都無法保證其接觸用戶個人信息數據的員工能夠為道德規范所約束,在利益誘惑下,個別員工鋌而走險通常難以避免。如2013年11月,從事電商工作的張某因“涉嫌非法獲取公民個人信息罪”被杭州市公安局西湖分局刑事拘留。隨后,此案牽出某寶前技術員工李某,李某利用工作之便在2010年分多次在公司后臺下載了超過20G的用戶資料,并與兩名同伙將用戶信息多次出售給電商公司、數據公司。這些用戶資料包括用戶真實姓名、手機、電子郵箱、家庭住址、消費記錄等。
2. 網絡服務安全漏洞被利用
互聯網服務由于其特殊性,總是存在有安全漏洞。可以說沒有不存在安全漏洞的互聯網服務,只是沒有被發現而已。
我們來看網站服務方面的安全漏洞情況分析,360互聯網安全中心最新發布的《2014年中國網站安全報告》顯示,在接受360網站安全監測平臺掃描的164.2萬個網站中,存在安全漏洞的網站為61.7萬個,占掃描網站總數的37.6%。其中,存在高危安全漏洞的網站共有27.9萬個,占掃描網站總數的17.0%(見圖1)。
由于不同漏洞對網站安全性影響有所不同,360互聯網安全中心將網站安全漏洞劃分為高危、中危和低危三個級別。其中高危安全漏洞可以讓黑客取得服務器控制權限,可以對網站進行肆意更改;中危安全漏洞會造成黑客入侵網站,且可以篡改部分數據;而低危安全漏洞允許黑客掃描網站數據信息,也可能給網站帶來危害。
由此可見,我們日常訪問的網站中,超過三分之一的網站都存在安全漏洞,而這些漏洞,隨時都可能成為個人信息數據泄露的發力點。網絡服務的安全漏洞,一方面是由安全技術人員發掘找出,如上述360互聯網安全中心通過掃描發現的安全漏洞,這些漏洞會被廠商知曉并修復;另一方面是被黑客發現,如果是白帽子黑客,如在360補天漏洞響應平臺上的白帽子黑客,則會提交給廠商進行修復,但如果是抱有惡意的黑客,則可能借機竊取用戶數據信息。
網絡服務安全漏洞中破壞性最強的莫過于通用性網絡軟件/服務/協議的漏洞,如在2014年4月曝出的“心臟滴血(HeartBleed)”重大安全漏洞。OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議。多數SSL加密網站是用名為OpenSSL的開源軟件包,而在OpenSSL源代碼中發現的“心臟滴血”安全漏洞,可以讓黑客每次從服務器或客戶端內存中獲取最大64K的數據內容。由于OpenSSL是互聯網應用最廣泛的安全傳輸協議,被網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站廣泛使用。因此,該漏洞會造成黑客可以從使用OpenSSL協議的網路服務上盜取大量用戶數據信息。
3. 木馬、釣魚網站惡意盜取
木馬在PC互聯網時代最為常見,黑客通過網絡入侵、軟件安裝包偽裝等方式將木馬放置到用戶個人電腦中,然后通過木馬盜取用戶電腦上的個人信息、賬號等。得益于免費殺毒軟件的出現,殺毒軟件普及率大大提升,現在木馬病毒已經越來越少。但在移動互聯網時代,偶爾還會出現偽裝成手機應用的木馬病毒出現,多數存在于Android操作系統環境中。
釣魚網站無論在PC互聯網時代還是如今的移動互聯網時代都屢禁不止,它們通常是向用戶發送與大型正規網站、服務網站類似的釣魚網站地址,用戶一旦打開登陸并輸入賬號密碼,賬號密碼便會被不法分子收集利用。
打造“殺手锏”
個人隱私保護在大數據時代變得愈發艱難,從個人角度來講,想要規避隱私泄漏風險,首先要提高個人賬號密碼復雜度,尤其是涉及支付類網絡服務的賬號密碼要使用非常用密碼,對能夠進行多重密碼保護的賬號盡可能的完成多重保護操作;其次是下載軟件或手機應用時要選擇正規下載站點或應用商店,尤其是Android用戶,不要隨便安裝不明應用;最后是要養成良好的上網習慣,謹慎提交個人信息,對于安裝的手機應用服務,可查看設置權限,禁止獲取不必要的個人數據信息。
而從廠商方面來講,此處引用360公司董事長兼CEO周鴻祎在2014年互聯網安全大會上提出的用戶信息安全三原則作為指導。他表示,在大數據來臨的時代,在憧憬大數據產生商業效應的同時,也應考慮如何保護用戶信息,并提出了三原則:
第一,用戶信息是用戶個人資產。用戶在使用廠商設備、軟件及服務所產生的數據與信息,應該是用戶個人資產,雖然存儲在廠商的服務器或云端,但從所有權方面講應該明確地屬于用戶,是用戶財產。
第二,廠商獲取用戶數據信息,用戶要有選擇權、知情權和拒絕權。大數據時代,廠商為用戶提供服務同時,會從用戶身上獲取大量數據信息。對此用戶要有知情權,并且,廠商要得到用戶授權才能使用用戶信息,用戶要有選擇權、有拒絕權。
第三,安全責任原則。有人認為網絡信息安全只是互聯網安全公司的事,是殺毒軟件的事。但在大數據時代,任何一家互聯網公司,包括做可穿戴硬件的公司,都會變成一個互聯網服務公司,用戶使用這些硬件、服務都會產生大量的數據。所以,任何一家互聯網公司都有責任保護用戶信息安全,要在云端對用戶數據進行足夠強度加密,包括安全存儲和安全傳輸。
結語
互聯網剛興起時,有人說,你不知道互聯網另一端坐的是一個人還是一條狗。在大數據及云計算落地應用的現在,我們不但可以知道另一端是不是一條狗,還可以知道是雪納瑞還是薩摩耶。
云端信息數據量還在不斷膨脹,文字、圖片以及視頻的數量在不斷增加,這些數字化事物看似凌亂不堪,但如果某一天被泄露或竊取,稍加梳理,也許我們最不為人知最隱私的一面就會曝光于世。那時,你就是一只藏獒,也只是一只被扒光了皮的狗。
京公網安備 11010502049343號