個(gè)人信息保護(hù)是大數(shù)據(jù)時(shí)代一個(gè)非常核心的問(wèn)題。在倡導(dǎo)數(shù)據(jù)開(kāi)放共享的同時(shí),絕不能損害個(gè)人信息安全。
有關(guān)部門(mén)要加強(qiáng)對(duì)于數(shù)據(jù)的保護(hù),數(shù)據(jù)的共享和保護(hù)要齊頭并進(jìn)。從根本上化解這些問(wèn)題,需要全社會(huì)共同努力。
近日,北京市海淀區(qū)警方破獲一起利用撞庫(kù)技術(shù)非法獲取用戶(hù)賬號(hào)并從中牟利的案件。
撞庫(kù),是指“黑客”通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶(hù)和密碼信息,生成對(duì)應(yīng)的字典表,嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的用戶(hù)。近年來(lái),撞庫(kù)攻擊越來(lái)越常見(jiàn),已經(jīng)成為網(wǎng)絡(luò)安全重要威脅之一。
撞庫(kù)攻擊門(mén)檻低
今年年中,有網(wǎng)友稱(chēng),其在票務(wù)網(wǎng)站大麥網(wǎng)的賬號(hào)信息被盜,導(dǎo)致被假冒“大麥網(wǎng)客服”的行騙者忽悠轉(zhuǎn)賬,騙走現(xiàn)金。
隨后,大麥網(wǎng)發(fā)布聲明稱(chēng),有些用戶(hù)在不同網(wǎng)站使用相同的注冊(cè)信息,因此被不法分子利用,使用撞庫(kù)的方法在大麥網(wǎng)嘗試登錄并獲取用戶(hù)購(gòu)買(mǎi)商品的信息,進(jìn)而冒充客服人員實(shí)施詐騙,導(dǎo)致部分用戶(hù)遭受了經(jīng)濟(jì)損失。
早在2014年年底,就有網(wǎng)友稱(chēng),12306網(wǎng)站用戶(hù)信息在互聯(lián)網(wǎng)上瘋傳。對(duì)此,鐵路公安機(jī)關(guān)迅速介入:經(jīng)查,嫌疑人蔣某、施某通過(guò)收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個(gè)網(wǎng)站泄露的用戶(hù)名加密碼信息,嘗試登錄其他網(wǎng)站進(jìn)行撞庫(kù),非法獲取用戶(hù)的信息,并謀求非法利益。
阿里云安全團(tuán)隊(duì)今年正式對(duì)外發(fā)布《2015年度云盾態(tài)勢(shì)感知報(bào)告》,其中對(duì)撞庫(kù)攻擊進(jìn)行了描述和分析,報(bào)告認(rèn)為,在某郵箱數(shù)據(jù)庫(kù)泄露事件之后,撞庫(kù)這種攻擊方式逐漸得到了攻擊者的青睞。從撞庫(kù)檢測(cè)模型上線(xiàn)之日起,日均檢測(cè)攻擊事件數(shù)千起,每起攻擊事件平均包括數(shù)千次撞庫(kù)登錄請(qǐng)求。進(jìn)一步統(tǒng)計(jì),在每天發(fā)起的攻擊事件里,賬號(hào)密碼組合去重后仍有幾十萬(wàn)對(duì)。更嚴(yán)重的是,這些賬號(hào)密碼組合就像“黑客”的彈藥庫(kù)一樣,隨著更多的企業(yè)被拖庫(kù)而不斷更新迭代。無(wú)數(shù)用戶(hù)的個(gè)人賬號(hào)被“黑客”通過(guò)撞庫(kù)偷竊,用于發(fā)站內(nèi)廣告和黃色信息,企業(yè)的正常業(yè)務(wù)受到嚴(yán)重影響。
阿里云安全團(tuán)隊(duì)對(duì)開(kāi)通了態(tài)勢(shì)感知的受害網(wǎng)站進(jìn)行統(tǒng)計(jì),在經(jīng)常遭遇撞庫(kù)攻擊的網(wǎng)站里,排名前三的行業(yè)分別為金融(19.68%)、社區(qū)論壇(16.03%)、游戲(13.87%),幾乎占據(jù)了全部攻擊的一半,接著為影音娛樂(lè)、教育、新聞、廣告、旅游等行業(yè)。
阿里云首席安全研究員吳瀚清告訴記者,撞庫(kù)攻擊通俗地講就是“黑客”拿著互聯(lián)網(wǎng)上所謂的“社工庫(kù)”(里面包含上億用戶(hù)名和登錄密碼)對(duì)網(wǎng)站用戶(hù)登錄界面不停地嘗試登錄,只要有一次匹配成功,就可以進(jìn)入用戶(hù)系統(tǒng)。雖然表面上看像博彩票。實(shí)際上,隨著“社工庫(kù)”規(guī)模的壯大和精準(zhǔn)度的不斷完善,成功率較傳統(tǒng)暴力破解攻擊已有質(zhì)的提升。
對(duì)于撞庫(kù)攻擊越來(lái)越常見(jiàn)的原因,吳瀚清分析認(rèn)為,“撞庫(kù)攻擊簡(jiǎn)單,無(wú)需任何技術(shù)門(mén)檻,僅僅需要從各種地下論壇下載‘社工庫(kù)’即可。而且國(guó)家法律法規(guī)也未明確對(duì)這方面的攻擊行為進(jìn)行定性,犯罪成本較低;其次,隨著互聯(lián)網(wǎng)深入到社會(huì)的各行各業(yè),個(gè)人數(shù)據(jù)的積累達(dá)到了相當(dāng)可觀(guān)的規(guī)模,為不法分子進(jìn)行詐騙、數(shù)據(jù)偷竊創(chuàng)造了機(jī)會(huì)”。
撞庫(kù)已發(fā)展成黑色業(yè)務(wù)
隨著撞庫(kù)攻擊的興起,正在成為網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的重要源頭。
《2015年度云盾態(tài)勢(shì)感知報(bào)告》中稱(chēng),阿里云安全團(tuán)隊(duì)幫助一個(gè)云上客戶(hù)應(yīng)急響應(yīng),查明客戶(hù)遭受了撞庫(kù)攻擊,網(wǎng)站用戶(hù)的代金券被攻擊者一洗而空。經(jīng)過(guò)進(jìn)一步的調(diào)查,發(fā)起攻擊的IP有數(shù)百個(gè)之多,且證據(jù)都指向了一個(gè)在互聯(lián)網(wǎng)上經(jīng)常遭到投訴,從2014年開(kāi)始掃描代理的服務(wù)器。經(jīng)過(guò)取證和分析,發(fā)現(xiàn)服務(wù)器上存儲(chǔ)了近300GB的各類(lèi)數(shù)據(jù),僅僅代理服務(wù)器的數(shù)據(jù)就有90多GB,除了掃描到的代理服務(wù)器,還有各類(lèi)弱口令“肉雞”數(shù)據(jù)。回顧整個(gè)黑色產(chǎn)業(yè)鏈,從掃描代理、出售代理、收集“社工庫(kù)”到最終發(fā)起撞庫(kù)攻擊,不同的環(huán)節(jié)由不同的角色來(lái)完成,說(shuō)明撞庫(kù)攻擊早已不是一兩個(gè)“黑客”興起玩玩的把戲,已經(jīng)成為一項(xiàng)發(fā)達(dá)而成熟的“黑色”業(yè)務(wù)。
吳瀚清認(rèn)為,目前的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的一大特點(diǎn)就是,隨著地下產(chǎn)業(yè)鏈日漸成熟,用戶(hù)數(shù)據(jù)可以被迅速轉(zhuǎn)變成現(xiàn)金:用戶(hù)賬號(hào)中的虛擬貨幣、游戲賬號(hào)、裝備,都可以通過(guò)交易的方式變現(xiàn),也就是俗稱(chēng)的盜號(hào);金融類(lèi)賬號(hào),比如支付寶、網(wǎng)銀、信用卡、股票的賬號(hào)和密碼,則可以用來(lái)進(jìn)行金融犯罪和詐騙;最后一些可歸類(lèi)的用戶(hù)信息,如學(xué)生、打工者、老板等,多用于發(fā)送廣告、垃圾短信、電商營(yíng)銷(xiāo)。也有專(zhuān)門(mén)的廣告投放公司,花錢(qián)購(gòu)買(mǎi)這些分門(mén)別類(lèi)的信息。
吳瀚清建議,網(wǎng)絡(luò)用戶(hù)要注意保護(hù)個(gè)人信息,尤其是真實(shí)姓名、身份證號(hào)、手機(jī)號(hào)等敏感信息不要隨便在網(wǎng)站上填寫(xiě),對(duì)不同的網(wǎng)站應(yīng)用設(shè)置不同的密碼,并對(duì)個(gè)人征信類(lèi)服務(wù)設(shè)置不同于社交網(wǎng)絡(luò)的密碼,避免“黑客”利用社交網(wǎng)絡(luò)密碼進(jìn)行賬號(hào)登錄盜用。
共享保護(hù)齊頭并進(jìn)
撞庫(kù)攻擊只是大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的一個(gè)問(wèn)題。
亞太網(wǎng)絡(luò)法律研究中心主任、北京師范大學(xué)教授劉德良認(rèn)為,個(gè)人隱私最大的風(fēng)險(xiǎn)在于數(shù)據(jù)被濫用。“在進(jìn)入大數(shù)據(jù)時(shí)代之前,某些商家搜集信息主要用于商業(yè)目的,商家并不想知道消費(fèi)者叫張三還是李四,商家感興趣的是用戶(hù)的偏好,以更好地用于營(yíng)銷(xiāo)。商家所希望獲取的所有數(shù)據(jù)都是用于商業(yè)目的,除此之外,多余的數(shù)據(jù)對(duì)于商家來(lái)說(shuō)可能還增加了成本。但是在大數(shù)據(jù)時(shí)代,商家與商家可以實(shí)現(xiàn)數(shù)據(jù)的匹配,進(jìn)而獲得消費(fèi)者更多個(gè)人信息??傮w來(lái)看,不是所有的個(gè)人信息都需要保護(hù),關(guān)鍵是個(gè)人信息不能被濫用,比如用于打騷擾電話(huà)、發(fā)垃圾短信之類(lèi)的”。
“在個(gè)人信息保護(hù)方面,法律禁止的是濫用行為。比如身份證號(hào)碼屬于個(gè)人信息,但實(shí)際上生活中很多人也看過(guò)我們的身份證。如果假冒他人身份證,并用于某些商業(yè)交易,就需要運(yùn)用法律嚴(yán)格禁止。”劉德良說(shuō)。
從當(dāng)前互聯(lián)網(wǎng)企業(yè)的發(fā)展態(tài)勢(shì)來(lái)看,數(shù)據(jù)分析變得越來(lái)越重要,甚至提出了“格數(shù)致知”的理念。
中關(guān)村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)趙國(guó)棟說(shuō),個(gè)人信息保護(hù)確實(shí)是大數(shù)據(jù)時(shí)代一個(gè)非常核心的問(wèn)題。在倡導(dǎo)數(shù)據(jù)開(kāi)放共享的同時(shí),絕不能損害個(gè)人信息安全。從目前的情況來(lái)看,應(yīng)該通過(guò)技術(shù)的發(fā)展去解決盜取個(gè)人信息等問(wèn)題。比如區(qū)塊鏈技術(shù)的應(yīng)用,對(duì)于破解數(shù)據(jù)被盜取問(wèn)題就很有幫助。
區(qū)塊鏈?zhǔn)且粋€(gè)比較新的概念,目前在金融領(lǐng)域應(yīng)用較多。
近日,全國(guó)人大財(cái)經(jīng)委委員、中國(guó)銀行前行長(zhǎng)李禮輝在第三屆大數(shù)據(jù)金融論壇暨互聯(lián)網(wǎng)金融誠(chéng)信洽談會(huì)上說(shuō),當(dāng)前備受關(guān)注的區(qū)塊鏈技術(shù)應(yīng)用,在理論上具備較強(qiáng)的信息數(shù)據(jù)保護(hù)功能,區(qū)塊鏈的非對(duì)稱(chēng)加密功能,有利于保護(hù)信息數(shù)據(jù)的私密性。區(qū)塊鏈的分布功能,有利于保護(hù)信息數(shù)據(jù)的完整性。
“個(gè)人隱私被侵犯是社會(huì)發(fā)展中一個(gè)不可避免的問(wèn)題,解鈴還須系鈴人,這一問(wèn)題的解決有賴(lài)于大數(shù)據(jù)技術(shù)的進(jìn)步和融合。”趙國(guó)棟說(shuō),“從具體的防范措施來(lái)看,一些大數(shù)據(jù)時(shí)代的犯罪現(xiàn)象以及地下產(chǎn)業(yè)鏈,都離不開(kāi)銀行轉(zhuǎn)賬這個(gè)環(huán)節(jié),這一環(huán)節(jié)可以通過(guò)技術(shù)手段進(jìn)一步加強(qiáng)防范。比如在使用信用卡消費(fèi)時(shí),商家能夠通過(guò)升級(jí)技術(shù)手段發(fā)現(xiàn)支付方有問(wèn)題,再進(jìn)一步打電話(huà)確認(rèn)是不是本人在刷卡,如果不是,就立刻凍結(jié)賬戶(hù)。不法分子的資金流向與普通消費(fèi)者有很大不同,通過(guò)技術(shù)手段在支付環(huán)節(jié)加以限定,對(duì)于遏制此類(lèi)犯罪現(xiàn)象會(huì)有很大作用。不過(guò)這需要銀行方面做一些轉(zhuǎn)變,隨之帶來(lái)的成本也會(huì)比較高。除此之外,還可以通過(guò)新的技術(shù)建立一些更廣泛的防范機(jī)制,比如黑名單。”
“網(wǎng)絡(luò)犯罪形態(tài)也在發(fā)生變化,比如說(shuō)模擬一些場(chǎng)景、通過(guò)不同分工去實(shí)施詐騙。一方面,對(duì)于用戶(hù)來(lái)說(shuō),不要迷信天上掉餡餅的事情;另一方面,對(duì)于有關(guān)部門(mén)來(lái)說(shuō),要加強(qiáng)對(duì)于數(shù)據(jù)的保護(hù),數(shù)據(jù)的共享和保護(hù)要齊頭并進(jìn)。從根本上化解這些問(wèn)題,需要全社會(huì)共同努力。”趙國(guó)棟說(shuō)。