數據之痛,已讓所有人感同身受。然而,這個問題,卻不是做好安全工作就能解決的。除了技術,還得防住人性的貪婪。
最近,黑市上出現重磅“炸彈”,一個12G的數據包開始流通,其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,數據多達數千萬條。
而黑市買賣雙方皆稱,“這些數據來自京東?!?
01、數據之迷
最近,因為這12G的數據包,黑產再次被攪動。
一些地下渠道,開始對數據進行明碼標價交易,價格從“10萬到70萬”不等。
▲ 外泄數據部分截圖
▲ 數據分為幾個維度:姓名、密碼、郵箱、QQ、身份證、電話等
據業內人士稱,數據已被銷售多次,“至少有上百個黑產者手里掌握了數據”。
“數據外泄的時間已比較長了,至于為何現在又流通,原因未明,”業內人士透露,暫且很難確認是“內鬼”還是“黑客盜取”。
業內人士稱,大部分數據外泄后,黑客會先進行洗庫,登錄賬戶將有價值的內容清洗一遍,比如登錄游戲賬戶,將虛擬幣轉走。一般這個清洗過程,需要幾個月甚至更長時間。
第二次“洗庫”,才會將數據出售,“數據價值榨取殆盡了,再給市面上的人來分渣”。
值得注意的是,這些數據的用戶密碼都進行過MD5加密,要通過專業破解軟件,才能得到原密碼。
業內人士稱,一般MD5破解需要一定時間,但有些密碼在數據庫中已被其他人解密過,能瞬間破解,比如123456;如果是一個新密碼,破解時間就較長。
可瞬間破解的賬號,一般只占3-5%。
小編嘗試根據部分用戶名和破解的密碼登陸,確實大部分可登陸京東賬戶。
▲ 姚鑫的密碼就可瞬間破解(設計一個復雜密碼是多么重要)
登陸之后,用戶在京東上的訂單、地址、交易等信息都一覽無遺。甚至一本財經記者從數據庫中搜索自己名字,發現信息也早已外泄。
“黑客拿到這些數據,還可進行撞庫操作”,業內人士稱。所謂“撞庫”,是一個黑產的專業術語,即黑客會通過已泄露的用戶名和密碼,嘗試批量登錄其他網站,獲取數據。
這就是人類設計密碼的缺陷,大部分人為了記得住,都會用同一個用戶名和密碼,導致撞庫成功率極高。
傷害值最高最直接的,就是撞進一些金融賬戶,直接將資金轉走。
今日,京東就此事發出聲明稱(文末附聲明全文),這些數據源于2013年Struts 2的安全漏洞問題,導致大量數據泄露。
京東稱,在Struts 2的安全問題發生后,就完成了系統修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶并未及時升級賬號安全,依然存在一定風險。
02、絕非孤案
實際上,京東已不是第一次被曝數據外泄。
2015年,京東就被曝出大量用戶隱私信息泄露,多名用戶被騙走金錢,總共損失數百萬。直到一年后,京東才公布調查結果,稱是因為出現“內鬼”。
所謂的“內鬼”,是3位物流人員,通過物流流程,掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息,總數據達到9313條。
而電商平臺,一直是數據泄漏的重災區之一。
2014年年初,支付寶被爆20G用戶資料泄漏。后經調查,此次泄漏是“內部作案”:支付寶前技術員工李明,利用職務之便,多次在公司后臺下載用戶資料。這20G資料,包括用戶個人的實名、手機、電子郵箱、家庭住址、消費記錄等,相當精準。
李明和兩位同伙,將用戶資料按條數出售,價格不等,價值較高的,一條可賣數十元;也有人以500元的代價,購買了3萬條用戶信息。
這個故事中更有意思的部分是,購買這些數據的買家,都是“友商”,比如其他電商平臺。
除了支付寶,早在2012年,1號店被曝網上商城員工與離職、外部人員內外勾結,90萬用戶資料泄露,價格只需500元。
可見“內鬼”是電商信息泄漏的重要原因。除此之外,電商平臺由于自身技術漏洞,被黑客戳中軟肋,盜走數據,也是常見現象。
2014年,是電商平臺安全風險集中爆發的一年。
3月,當當網113位用戶賬戶余額被盜用。
黑客先是盜取用戶登錄信息,然后修改用戶綁定手機、郵箱地址等信息,最后購買電子產品等貴重商品。
當當網在輿論重壓下,宣布給予用戶補償。
同月,烏云漏洞平臺曝光攜程系統存技術漏洞,可導致用戶個人姓名、身份證號碼、銀行卡類別、銀行卡卡號和銀行卡用于支付的6位Bin碼等重要信息泄露。
而攜程隨后發布聲明表示,確認共93人賬戶存安全風險,已通知相關用戶更換信用卡。
年底,中國鐵路購票網站12306的6個子網站存在高危漏洞,致數十萬條用戶數據外泄,包括用戶賬號、明文密碼、身份證、郵箱等敏感信息在內的數據被販售。12306宣布懸賞、號召網友查找漏洞。
不論是內鬼作祟還是黑客攻擊,無非都是利益驅動。
03、數據之痛
地下的龐大數據產業鏈,已然形成。
網民被泄露的信息主要分為兩類:個人信息包括姓名、身份證號、手機號碼、家庭住址、工作單位、郵箱賬號和密碼、網購信息、購車、購房情況、醫療信息等各類信息;
網上活動信息包括通話記錄、網購記錄、網站瀏覽痕跡、IP地址、軟件使用痕跡及地理位置等,涵蓋范圍非常廣泛。
而地下的數據庫,已可以從200多個維度了解一個人——甚至能比你自己更了解你自己。這些泄露的數據,最終以各種方式,成為不法分子獲利的工具。
今年,人民日報發文稱,有78.2%的網民個人身份信息被泄露過,63.4%的網民個人網上活動信息被泄露過;而有82.3%的網民親身感受到了個人信息泄露給日常生活造成的影響。
黑產之手,已延伸到普通百姓生活,到了觸手可及的地步。
僅在2015年一年,中國網民因信息泄露問題,導致的損失是805億人民幣——這只是對外公開的可查數據。
實際上,因為大數據的崛起,各家對數據的渴求度極高,加速了黑產數據的流通。
一本財經(ID:yibencaijing)在《征信之亂》中曾經調查黑產鏈條(點擊閱讀),從事數據買賣中間商,多達幾萬人,數據的每一次流轉,價值上萬到百萬不等——地下黑市,恐怕早已形成萬億級別市場。
用戶的隱私和信息,就如此公然成為販賣品,在黑市上肆無忌憚地流動。數據之痛,已讓所有人感同身受。
然而,這個問題,卻不是做好安全工作就能解決的。除了技術,還得防住人性的貪婪。
以下為京東就數據泄漏事件所作出的聲明:
關于有媒體報道京東數據安全問題的聲明
昨日,有媒體報道《京東數據疑似外泄》,經京東信息安全部門依據報道內容初步判斷,該數據源于2013年Struts 2的安全漏洞問題,當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響,導致大量數據泄露。
京東在Struts 2的安全問題發生后,就迅速完成了系統修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶并未及時升級賬號安全,依然存在一定風險。
京東在此也強烈建議用戶高度重視信息安全和隱私保護,在涉及到財產的電商、支付類系統中使用獨特的用戶名和登錄密碼,開啟手機驗證和支付密碼,并將登錄密碼和支付密碼設為高強度的復雜密碼,提高賬戶安全等級。
同時,針對出現在地下黑色產業鏈中采用黑客攻擊用戶賬戶、盜取用戶賬號資產和販賣用戶信息等不法行為,京東已與警方建立了長效的合作機制,并將聯合警方進行堅決的打擊。
Ps: Struts是Apache基金會的一個開源項目,廣泛應用于大型互聯網企業、政府、金融機構等網站建設,并作為網站開發的底層模板使用。2013年,據烏云平臺漏洞報告,Struts 2安全漏洞可以讓黑客可直接通過瀏覽器對服務器進行任意操作并獲取敏感內容,國內幾乎所有的互聯網企業,以及大量國內外銀行和政府機構都出現了不同程度的信息泄露。
作者“一本財經”微信公眾號:一本財經
768網絡即將上線啦,只因有你,未來的網絡更精彩768網絡是龍巖市藍海信息技術有限公司前身,未來網絡團隊歷時八年之久項目開發,以高精尖技術壓縮建站成本,以超低價甚至免費享受高端體驗。768網絡的目標!讓每個企業、個體戶、個人擁有自己的網絡名片,網上門頭!讓價格不再是阻礙的門檻!768網絡定于2018年8月8日準時上線,現面向社會各界招收代理商,一起打造網絡轉...
陳氏商城于2015年度曾測試試上線運營,因其處于互聯網+的轉型區,跟不上時代的發展,本公司龍巖市藍海信息技術有限公司成立三年之際,2018年到來之際,載著夢想與希望,我們再次起航,希望與廣大客戶朋友們精誠合作,開創未來新輝煌! 陳氏商城項目團隊已在進行最后的相關測試,涉及穩定性,安全性、壓力線程等測試,俗稱黑白盒測試,敬請期待陳氏商城的再次到來。項目研發歷...