個人信息保護是大數據時代一個非常核心的問題。在倡導數據開放共享的同時,絕不能損害個人信息安全。
有關部門要加強對于數據的保護,數據的共享和保護要齊頭并進。從根本上化解這些問題,需要全社會共同努力。
近日,北京市海淀區警方破獲一起利用撞庫技術非法獲取用戶賬號并從中牟利的案件。
撞庫,是指“黑客”通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嘗試批量登錄其他網站后,得到一系列可以登錄的用戶。近年來,撞庫攻擊越來越常見,已經成為網絡安全重要威脅之一。
撞庫攻擊門檻低
今年年中,有網友稱,其在票務網站大麥網的賬號信息被盜,導致被假冒“大麥網客服”的行騙者忽悠轉賬,騙走現金。
隨后,大麥網發布聲明稱,有些用戶在不同網站使用相同的注冊信息,因此被不法分子利用,使用撞庫的方法在大麥網嘗試登錄并獲取用戶購買商品的信息,進而冒充客服人員實施詐騙,導致部分用戶遭受了經濟損失。
早在2014年年底,就有網友稱,12306網站用戶信息在互聯網上瘋傳。對此,鐵路公安機關迅速介入:經查,嫌疑人蔣某、施某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登錄其他網站進行撞庫,非法獲取用戶的信息,并謀求非法利益。
阿里云安全團隊今年正式對外發布《2015年度云盾態勢感知報告》,其中對撞庫攻擊進行了描述和分析,報告認為,在某郵箱數據庫泄露事件之后,撞庫這種攻擊方式逐漸得到了攻擊者的青睞。從撞庫檢測模型上線之日起,日均檢測攻擊事件數千起,每起攻擊事件平均包括數千次撞庫登錄請求。進一步統計,在每天發起的攻擊事件里,賬號密碼組合去重后仍有幾十萬對。更嚴重的是,這些賬號密碼組合就像“黑客”的彈藥庫一樣,隨著更多的企業被拖庫而不斷更新迭代。無數用戶的個人賬號被“黑客”通過撞庫偷竊,用于發站內廣告和黃色信息,企業的正常業務受到嚴重影響。
阿里云安全團隊對開通了態勢感知的受害網站進行統計,在經常遭遇撞庫攻擊的網站里,排名前三的行業分別為金融(19.68%)、社區論壇(16.03%)、游戲(13.87%),幾乎占據了全部攻擊的一半,接著為影音娛樂、教育、新聞、廣告、旅游等行業。
阿里云首席安全研究員吳瀚清告訴記者,撞庫攻擊通俗地講就是“黑客”拿著互聯網上所謂的“社工庫”(里面包含上億用戶名和登錄密碼)對網站用戶登錄界面不停地嘗試登錄,只要有一次匹配成功,就可以進入用戶系統。雖然表面上看像博彩票。實際上,隨著“社工庫”規模的壯大和精準度的不斷完善,成功率較傳統暴力破解攻擊已有質的提升。
對于撞庫攻擊越來越常見的原因,吳瀚清分析認為,“撞庫攻擊簡單,無需任何技術門檻,僅僅需要從各種地下論壇下載‘社工庫’即可。而且國家法律法規也未明確對這方面的攻擊行為進行定性,犯罪成本較低;其次,隨著互聯網深入到社會的各行各業,個人數據的積累達到了相當可觀的規模,為不法分子進行詐騙、數據偷竊創造了機會”。
撞庫已發展成黑色業務
隨著撞庫攻擊的興起,正在成為網絡黑色產業鏈的重要源頭。
《2015年度云盾態勢感知報告》中稱,阿里云安全團隊幫助一個云上客戶應急響應,查明客戶遭受了撞庫攻擊,網站用戶的代金券被攻擊者一洗而空。經過進一步的調查,發起攻擊的IP有數百個之多,且證據都指向了一個在互聯網上經常遭到投訴,從2014年開始掃描代理的服務器。經過取證和分析,發現服務器上存儲了近300GB的各類數據,僅僅代理服務器的數據就有90多GB,除了掃描到的代理服務器,還有各類弱口令“肉雞”數據。回顧整個黑色產業鏈,從掃描代理、出售代理、收集“社工庫”到最終發起撞庫攻擊,不同的環節由不同的角色來完成,說明撞庫攻擊早已不是一兩個“黑客”興起玩玩的把戲,已經成為一項發達而成熟的“黑色”業務。
吳瀚清認為,目前的網絡黑色產業鏈的一大特點就是,隨著地下產業鏈日漸成熟,用戶數據可以被迅速轉變成現金:用戶賬號中的虛擬貨幣、游戲賬號、裝備,都可以通過交易的方式變現,也就是俗稱的盜號;金融類賬號,比如支付寶、網銀、信用卡、股票的賬號和密碼,則可以用來進行金融犯罪和詐騙;最后一些可歸類的用戶信息,如學生、打工者、老板等,多用于發送廣告、垃圾短信、電商營銷。也有專門的廣告投放公司,花錢購買這些分門別類的信息。
吳瀚清建議,網絡用戶要注意保護個人信息,尤其是真實姓名、身份證號、手機號等敏感信息不要隨便在網站上填寫,對不同的網站應用設置不同的密碼,并對個人征信類服務設置不同于社交網絡的密碼,避免“黑客”利用社交網絡密碼進行賬號登錄盜用。
共享保護齊頭并進
撞庫攻擊只是大數據時代個人信息保護的一個問題。
亞太網絡法律研究中心主任、北京師范大學教授劉德良認為,個人隱私最大的風險在于數據被濫用。“在進入大數據時代之前,某些商家搜集信息主要用于商業目的,商家并不想知道消費者叫張三還是李四,商家感興趣的是用戶的偏好,以更好地用于營銷。商家所希望獲取的所有數據都是用于商業目的,除此之外,多余的數據對于商家來說可能還增加了成本。但是在大數據時代,商家與商家可以實現數據的匹配,進而獲得消費者更多個人信息。總體來看,不是所有的個人信息都需要保護,關鍵是個人信息不能被濫用,比如用于打騷擾電話、發垃圾短信之類的”。
“在個人信息保護方面,法律禁止的是濫用行為。比如身份證號碼屬于個人信息,但實際上生活中很多人也看過我們的身份證。如果假冒他人身份證,并用于某些商業交易,就需要運用法律嚴格禁止。”劉德良說。
從當前互聯網企業的發展態勢來看,數據分析變得越來越重要,甚至提出了“格數致知”的理念。
中關村大數據產業聯盟秘書長趙國棟說,個人信息保護確實是大數據時代一個非常核心的問題。在倡導數據開放共享的同時,絕不能損害個人信息安全。從目前的情況來看,應該通過技術的發展去解決盜取個人信息等問題。比如區塊鏈技術的應用,對于破解數據被盜取問題就很有幫助。
區塊鏈是一個比較新的概念,目前在金融領域應用較多。
近日,全國人大財經委委員、中國銀行前行長李禮輝在第三屆大數據金融論壇暨互聯網金融誠信洽談會上說,當前備受關注的區塊鏈技術應用,在理論上具備較強的信息數據保護功能,區塊鏈的非對稱加密功能,有利于保護信息數據的私密性。區塊鏈的分布功能,有利于保護信息數據的完整性。
“個人隱私被侵犯是社會發展中一個不可避免的問題,解鈴還須系鈴人,這一問題的解決有賴于大數據技術的進步和融合。”趙國棟說,“從具體的防范措施來看,一些大數據時代的犯罪現象以及地下產業鏈,都離不開銀行轉賬這個環節,這一環節可以通過技術手段進一步加強防范。比如在使用信用卡消費時,商家能夠通過升級技術手段發現支付方有問題,再進一步打電話確認是不是本人在刷卡,如果不是,就立刻凍結賬戶。不法分子的資金流向與普通消費者有很大不同,通過技術手段在支付環節加以限定,對于遏制此類犯罪現象會有很大作用。不過這需要銀行方面做一些轉變,隨之帶來的成本也會比較高。除此之外,還可以通過新的技術建立一些更廣泛的防范機制,比如黑名單。”
“網絡犯罪形態也在發生變化,比如說模擬一些場景、通過不同分工去實施詐騙。一方面,對于用戶來說,不要迷信天上掉餡餅的事情;另一方面,對于有關部門來說,要加強對于數據的保護,數據的共享和保護要齊頭并進。從根本上化解這些問題,需要全社會共同努力。”趙國棟說。
京公網安備 11010502049343號