資料庫“裸奔”!個人資訊屢遭暗網販賣,我們該如何保護個人隱私?
從互聯互通時代到如今的人工智慧時代,包括個人資訊在內的各種資料變成了最寶貴的財富。然而,大資料、雲端計算、人工智慧等新技術的運用,在充分發揮資料價值的同時,也給個人隱私保護帶來嚴峻挑戰,資料產業的發展和個人資訊保安之間出現了失衡。
今年以來,多家機構的使用者資料庫發生拖庫事件,包括學籍資訊、個人從業經歷甚至開房記錄等高度敏感資訊均在“暗網”上掛售。不少人提出質疑:我們究竟還有什麼隱私沒有被洩露?把隱私交給網際網路企業究竟安全嗎?現在,小編也針對近期國內所發生的資料洩露事件進行了梳理,並從行業細分上選出了3起資料洩露事件與大家分享。
事件回顧一:浙江省1000 萬學籍資料在暗網被賣
7月30日,一條題為《浙江省1000萬學籍資料出售》的帖子在“暗網”某中文論壇中引發關注。發帖者稱,其所出售的資料包含學生姓名、身份證號、學籍號、學校名稱、學校序號、班級號、戶籍資訊、監護人姓名、監護人手機號、居住地址和學生照片資訊,作價0.02比特幣(當時摺合人民幣約1000元)。
據截圖顯示,售賣的學籍資料覆蓋了浙江的大部分市區,被洩露的資訊包含了學生姓名、身份證、學籍號、戶籍位置、監護人、監護人號碼、居住地址、出生地、學校名稱等。除了文字資訊,售賣的學籍資料裡還提供有照片連結,資料在 100G 左右。從賣家放出的測試資料截圖來看,學籍資訊裡出生年齡分佈在 95 年 ~06 年(23 歲到 12 歲之間),還包含了家人聯絡方式及照片,資料的真實性較高。
被洩露的學籍資料裡只含有中小學生,不包含大學生,由此推測浙江省中小學生學籍資訊管理類系統可能被 “拖庫” 。
事件回顧二: “脫褲”的華住,近5億條“裸奔”的隱私
“出售華住集團旗下所有酒店資料(漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友),附件當中為測試資料,各提供10000條資料供大佬測試……”8月28日,一張經由“暗網”流出的截圖在社交媒體上瘋轉,有地下黑產從業者聲稱掌握了華住集團旗下酒店近5億條資料資訊,並以打包價8比特幣或520門羅幣(當時摺合人民幣約37萬元)公開出售。
一石激起千層浪,不少人開始在朋友圈感嘆“在網際網路時代毫無隱私可言”,也有人質疑在“暗網”出售的資料並非真實資訊。然而,第三方網路安全團隊對“暗網”公佈的3萬條資料樣本進行技術鑑定後認定“樣本資料準確”。
更讓人惶恐的是,在“暗網”掛售資料的地下黑產還表示,“以上資料獲取時間為2018年8月14日,如果許可權不丟失,後續資料還可以免費發給已購買上述資料的買家”。也就是說,地下黑產對資料庫的入侵行為並非“一次性”行為,而是獲取了訪問資料庫的許可權,如果有關方面不採取進一步補救措施,發帖者甚至可以做到在資料庫中“來去自如”。
事件回顧三: 30萬玖融網使用者資料被掛暗網 僅售1個比特幣
11月4日,黑客孤狼(化名)在暗網釋出一個帖子,稱拿下了汽車金融平臺玖融網的所有許可權,可以入侵所有的伺服器。玖融網是一家總部位於武漢的汽車金融平臺,給使用者提供汽車抵押貸款與理財服務。據黑客孤狼稱,他已獲得該平臺上30萬的使用者資料,並以一個比特幣(現價值人民幣3萬元)的價格出售。
該資料包的詳細程度到了可怕的地步。裡面共有65個數據維度:除了身份證、銀行卡、住址和電話等基本資訊外,還有工作單位、月薪、車型號和擔保人手機號碼,甚至還有車貸使用者的車輛資訊,包括車型、車牌號、顏色、排量等資訊,以及兩位貸款擔保人的姓名、手機號等也被收錄在內。更可怕的是,該黑客不僅攻克了資料庫,還拿到了包括伺服器在內的全部許可權,這也就意味著競爭對手篡改資料、平臺使用者刪除貸款記錄,一切皆有可能。
不難看出,今年6月以來,“暗網”上針對我國各政企機構的資料倒賣事件呈多發態勢,且多發於敏感事件節點,沒有安全防護能力的第三方企業、機構,往往都是黑客攻擊的主要物件,這些企業通常擁有大量資料,但往往缺乏足夠的資料安全意識,使得加強網際網路行業的整體資料安全防護能力變得迫在眉睫。
如何防止使用者資訊“裸奔”?
首先,在國家層面上,有關部門應該建立響應機制,同時釐清權責關係,讓廣大群眾在享受當下網際網路技術帶來的便利同時更多收穫安全感。其次,企業層面上,資料安全建設工作,要制度體系與技術手段相結合,尤其要加強資料庫安全的防範,當然也不能狹隘的談資料庫安全,安全的防護重心應該從被動安全防禦轉變為主動安全防禦,從內容安全向內部威脅整體防護上提升,從而有效地發現內部高風險的人或裝置,從而建立起多重防護、全域感知的資料安全深層防禦體系,做到精準可視聯動聯防。
鑑於此,作為國內專業的資料安全解決方案提供商,閃捷資訊始終專注於資料安全相關技術和產品的研發,為行業使用者提供業界領先的資料安全防護系列產品及解決方案,並已廣泛應用於政府、電力、公安、運營商、金融和網際網路等領域,幫助使用者實現資料安全嚴密防護和合規管理,有效提升使用者網路安全監測、預警及防禦能力。
最後,個人層面上,個人要加強資訊保安意識,個人的重要資訊(如身份證號碼、銀行卡號、電話號碼、密碼等)要時刻保管好,並且定期修改密碼。