领英“泄密门”:1亿账户只卖2300美元
导读
对于黑客们而言,穿越防火墙窃取数据来炫技的“黑客主义”,只是各种攻击行为的一个表面原因,而“无利不起早”才是最深层次的因素。
By 苏天翱 卿胜蓝 刘晨阳 江山 整理
据《福布斯》网站报道,在线职场社交网站LinkedIn(领英)对外证实,领英在2012年遭遇黑客攻击时,有超过1亿条用户登录信息(包括电子邮件和散列密码)被盗,而之前的说法为650万条。近年来,社交网站信息泄漏事件屡见报端,问题不仅在于黑客攻击和公司网络安全维护意识不强,如何在信息价值与用户隐私之间找到平衡点,是当下全球都在探讨的话题。
信息泄露如山倒,管你国内国外
据悉,LinkedIn.com网站在2012年遭遇黑客攻击时,有多达1.67亿个账户信息外泄,但只有1.17亿个账户信息同时包含电子邮件和密码。而此次该黑客正以5比特币,约合2300美元的价格,出售这1.17亿条LinkedIn登录信息。
而就在今年4月,英国《卫报》爆出去年脸书网(Facebook)曾在近一年内多次遭到黑客入侵。虽然Facebook积极组织调查、寻找解决方法,但由于此次黑客攻击的软件由第三方公司维护,Facebook无法进行独立调查,这也给处理危机的过程增添了不少的障碍。Facebook安全组成员雷吉纳尔多(Reginaldo)表示:“我们能做的是尽可能地完善其安全性能。”
如果说对境外网站的安全危机,我们或许还能保持隔岸观火的态度的话,那么近年来多次爆出的国内网站密码被泄露事件,则让许多中国互联网用户着实捏了一把汗。
虽然中国接入互联网的时间晚于欧美国家,但信息安全事件发生的频度和重要性上,却丝毫不比国外逊色。
2011年12月,中国最大的IT技术交流社区CSDN(Chinese Software Develop Net)网站安全系统遭到黑客攻击,是一系列令网民惶恐的信息泄露事件的开端。
这一事件中,CSDN 600万用户的登录名、密码及邮箱信息遭到泄漏,大量没有经过加密处理的明文密码被泄露,这意味着黑客可以直接看到用户的密码登陆账户。如果一位用户的大多数账户使用的都是同一密码,那么其他的账户也有被盗号的风险。
(网上流传的被泄露的CSDN数据包)紧接着在12月底,多玩游戏、人人网、178、开心网、天涯社区、世纪佳缘、百合网等网站的“密码集”也先后出现在网络上。
(与CSDN“泄露门”事件同时发生的网站用户信息泄露统计)除了社交网站,更多的商业网站成为了信息泄漏的“重灾区”,他们可能对个人用户的影响更加深刻。
2013年10月如家、汉庭等酒店数据泄露超过2000万条;
2013年10月圆通速递被曝其近百万条快递单个人信息被泄露,且单号、数据信息等还能24小时刷新;
2013年6月搜狗输入法被曝光其大量用户的私人消息遭泄露;
2014年3月携程网被曝大量用户身份证号、银行卡号、CVV码等信息或遭泄露;
2014年5月小米科技官方数据库泄露涉及800万小米论坛注册用户,通过这些数据可进入小米账户、得到手机号及设备信息……
而最近发生的大规模用户信息泄露事件,当属今年4月网上爆料出现的“网易52G密码库查询”工具一事:只要在该网页上输入网易邮箱,就能弹出对应密码。这不仅威胁到163和126邮箱本身,甚至许多用户用网易邮箱绑定的Apple ID也受到影响。
尽管有记者验证,此网页泄露的是几年前的旧密码,但对于那些不习惯频繁更改密码的用户来说,也足够心惊胆战一下了。
数据泄漏三主体:用户、黑客和公司
对于依赖互联网生活的网民来说,在互联网上输入的密码、公布的信息、关联的财务账号意味着社交生活的一切。且不说支付宝或微信账户被盗可能直接造成用户个人财务崩溃,就连刚认识的朋友潜入你的QQ空间,发现了你八年前杀马特的黑历史,恐怕也能让你备感自己受到了隐私侵犯。
信息泄漏后,首先被谴责的就是无情的黑客和脆弱的公司安全防护。而在此之外,安全意识淡薄也是用户们应自我反思的问题——密码安全等级不高往往是个人账号最容易被击破的壁垒。
想想用数字和英文搭配出来的密码信息,你是不是还在用名字缩写加手机/生日的格式?是不是在网站没有硬性要求的情况下绝对不会首字母大写?是不是干脆连字母都懒得用了?
更有甚者,把自己的账户密码一套搭配“吃遍天”,各个站点密码信息都相同,被黑客撞库(即用A网站的密码账户去试B网站的密码账户)一撞一个准,遇到这种情况,也是“只怪自己过分懒惰”了。
当然,用户安全意识再高,也架不住贼惦记,黑客们的攻击,是数据泄漏的重要原因。但对黑客们而言,穿越防火墙窃取数据来炫技的“黑客主义”,只是各种攻击行为的表面原因,“无利不起早”才是最深层次的因素。
在数字世界中,信息即价值来源,是可以直接用于交换流通的商品。在黑市上,信息甚至可以直接通过比特币进行交易流通。
例如,此次的“领英事件”中,科技媒体Vice Motherboard曝光出,一个网名叫“Peace”的俄罗斯黑客正在网络黑市上叫卖1.17亿个电子邮箱地址及密码的组合,售价仅为5比特币,也就是2300美元左右。Motherboard还表示,经过联系其中的一名受害者详细比对后可以确认,那名俄罗斯黑客手上的登录信息中,至少有一条可以确认是真实的。
但事实上,一个大型互联网攻击被黑客入侵不止表面上看起来那么简单,在技术上,黑客攻击往往具有高度隐蔽性。
此前,Master和Visa的信用卡系统曾被入侵,根据官方透露的信息,黑客在进入数据库之后,甚至还对自己的数据进行加密,致使攻击行为极具隐蔽性。网络安全厂商Websense在《2012年威胁报告中》就曾经有过这样的表述:“面对现代威胁环境,传统的(数据)安全防线已经失去了作用。”
同时,美国麦迪安网络安全公司副主席查尔斯·贾曼卡尔对此次领英用户数据泄露问题表示:“对于领英这样的公司,回应数据破坏事件是一个艰难的权衡过程。因为黑客入侵其实是一场黑暗的交易,调查组无法将事件中完整的利益链公之于众。”
原本,在专业黑客的攻击面前,企业自身的防火墙质量本应是用户可依赖的最后一道关卡,但如今作为中间环节的企业,在技术安全问题上却并没有承担起应有的责任。
根据《21世纪经济报道》报道,在CSDN事件曝光时,国内不少互联网企业在数据安全的投入甚至不足1%,彼时国外IT企业在这方面的数字是8%--10%。“互联网公司中有3人来专职负责网站安全的规模都是一种奢侈,5人以上算是豪华配制,10人的安全团队只有3家。”
与此同时,内部企业员工因操作失当的疏漏或主观意图的泄漏,也是数据泄露的重要原因。
根据美国波耐蒙研究所2015年的一项调查显示,调查中有超过78%的受访者表示,在过去两年中,所在的企业发生过至少一起数据泄露事件,原因可归咎于员工的故意或意外行为。无意识的数据泄漏,操作失误,甚至邮件列表的疏忽都会导致数据泄漏。
互联网时代,“隐身”可能吗?
从宏观的角度来说,用户在互联网上的一切信息意味着商机,在某种程度上也关联着社会安全。就在几个月前,美国FBI与苹果公司曾在解锁一名极端分子的iPhone问题上闹得不可开交。如何在用户信息带来的价值与用户隐私中找到平衡点,是当下全球都在探讨的话题。
对于企业和数据安全问题,争议最大的一点来自于企业数据权限:除去账号密码及部分用户自行填写的个人资料,不少企业产品都存在违规获取数据的程序设置,包括此前发生大规模数据泄漏的LinkedIn,就曾被曝出有后台程序在用户不知情的情况下搜集用户个人日程记录等信息。
另一点则是企业从用户的使用行为中生成的数据,Uber等专车公司此前就因出行大数据而引发隐私安全争议。
如果说企业违规获取用户信息的行为至少可以从制度层面叫停的话,后一种用户行为数据的处理就没这么简单了。因为前者至少在信息的所有权上是明确的,但后者的产生却是建立在供需双方的共同作用之上,且有助于企业进行优化服务,进而完善用户体验。只是同时,用户也会面临被监控的风险。
针对数据权限的争议并不是要给企业安上窃取者的帽子,但这种数据挖掘从事实上增加了数据泄漏之后的危害,也从源头上给黑客的攻击行径提供了目标。因此,企业若想以“优化服务”为借口脱责,是万万不能的。
而从商业角度出发,精准的用户信息有助于广告投放,能帮助广告主精准定位消费者,提高转化率。所以许多能够轻易获取用户信息的互联网公司,凭借自己手中的用户数据,与广告主达成了交易关系。在此过程中,有的消费者欣然接受这些完全“对味”的广告,有的消费者却觉得自己的隐私受到了侵犯。再加上相关政策法规并没有跟上时代的发展,这样的用户信息交易也便一直处于灰色地带。
对此,西方有学者就提出了理想化状态下,进行互联网用户信息管理的理论——除了借助法律法规来保护用户信息外,用户本身应该有权利直接参与到自己的互联网信息管理中。
在用户信息的流通链条中,一边是用户信息的收集和储存方,它由盈利或非盈利性机构组成;另一边是用户信息的需求方,主要由商业性机构组成。需求方可以向储存方申请用户个人信息,而用户站在流通链条的中间,他们可以决定是否将个人信息公开给需求方,也可以更改、增加或删除个人信息。
现实中这样的模式在西方已有萌芽,近年涌现了“Personal”、“Allow”、“Mydex”等机构。他们有的专注于处理用户的财务信息,保证账号密码的安全,有的专注于用户的社交信息,有的只为政府部门提供服务。
作为中间人,这些平台搭建起互联网用户和机构之间的桥梁,不仅能让用户掌握管理个人信息,还能对大量的用户信息进行大数据分析、分类,让企业机构能高效地利用用户信息。
回到事件本身,其实仔细追究下来,几次大规模用户数据泄漏事件,数据类型主要集中在个人的一些日常行为记录,敏感一点的则为个人身份证信息,最多的还是用户在各个网站的账号密码,像支付宝信息、银行卡密码这种级别的数据,反而很少出现在这种集中的数据泄漏事件中。
客观来讲,数据丢失的问题本不该有轻重之分,无论是LinkedIn这样社交网站的用户资料,还是携程这类商业网站的用户信息,在数据安全这一本质问题上都不应被区别对待。
比特的世界里,信息在本质上应该是平等的,但现实价值的绑定,会让受众在进行价值判断时,心中产生巨大的差异。尤其在用户的感官层面,不同数据源所泄漏的数据引发的心理反馈差别极大。试想,或许微博账户被盗后你可以继续活蹦乱跳,但支付宝账户被盗呢?
这也是为什么普通用户对数据丢失缺乏足够敏感度的一个关键原因。在社交网站上个人信息的公开尺度这个事情上,用户的主观价值判断和数据安全的逻辑,因观感不同,很难完美契合。
在互联网蓬勃兴起的阶段,人们对信息的充分涌流和透明赞叹不已,“六度理论”的连接可能让人们对连接性充满兴趣,但正如凯文·凯利们所言,当连接日益充分,脱离这个连接网络而不被检索到的权利,或许将成为一种特权。
参考资料:
LinkedIn 2012 Data Breach May Have Hit Over100 Million
http://www.wsj.com/articles/linkedin-2012-data-breach-may-have-hit-over-100-million-1463675653
Facebook corporate network hack discoveredby security researcher
https://www.theguardian.com/technology/2016/apr/25/facebook-corporate-network-hack-security
《Identidad Digital : El nuevo usuario en el mundodigital》
FundaciónTelefónica
《领英曝“泄密门”:1.67亿条密码黑市售价5比特币》
http://www.fortunechina.com/business/c/2016-05/22/content_262769.htm
《烫手的大数据——携程为何泄露数据》
http://mp.weixin.qq.com/s?src=3×tamp=1463824475&ver=1&signature=VeE4pAxahSsgdI4v-UYDpVLcoOHWO6566IUKGkSJxmNv-UQsy8WGxDdG*eu2oNHFVwJc0Tz*3EnAcbKwSqCi8vz6ZsgSe1LpZSJp-XNdpWIjNm2n7-Dcl*UTg7KCPDHCakJ5M8rHLImzGPNOOfwkPw
《数据泄漏事件为何层出不穷》
http://mp.weixin.qq.com/s?src=3×tamp=1463824475&ver=1&signature=Bdu7JiemV8oIcMZp*-jKwRcSVjoaUAH80FLy5cPkEPj*j0ozsvBUdt0Tai7N1oxMcP4wnLIW09tljSWxChUSfWx7dfAfgI05nUFTFJvt1zMuMltaVwYv0FZZHPlEqB*XDMCeJ*ZGKGQODZLE7aH0wQ
《如何保护我们专车出行数据的隐私》
http://www.huxiu.com/article/142393/1.html
《由数据库泄露引发的思考》
http://www.infoq.com/cn/articles/linkedin-database-leak-thinking(来源:刺猬公社)
责任编辑:王嘉源
VIP课程推荐
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
