起底大数据黑产:屡防不止的数据泄露

日期:05-14
新加坡大数据数据泄露

原标题:起底大数据黑产

5月7日,新加坡大华银行对一起涉及1166名中国客户的信息泄露事件在官网公开致歉。

又一起用户个人信息数据泄露案件被曝光,这一次整出幺蛾子的是一家银行。

5月7日,新加坡大华银行对一起涉及1166名中国客户的信息泄露事件在官网公开致歉。

据该银行表示,事件起因是由于一名银行员工误信了假冒中国公安的骗局,并向骗子提供了客户姓名、身份证号、手机号码、账户余额等1166名客户的信息。大华银行表示,中国客户的银行账号并未公开,银行的IT系统仍然安全,目前已致函所有客户,涉事员工已被停职,银行正与新加坡警方密切合作进行调查。

屡防不止的数据泄露

近年来,信息泄露或数据泄露可以说是屡见不鲜。

不过,对于多数的大型金融机构及企业来说,维护数据安全最害怕的还不是“空手套数据”的骗子,而是“防火墙”都拦不住的黑客。

据公开信息,4月7日,拥有超7亿注册用户的职场社交平台LinkedIn遭遇了大规模的数据泄露事件。一名用户在黑客论坛上出售其获取的5亿LinkedIn用户的数据包,并“贴心”地无偿公开了200万条数据作为证据。4月10日,另一名用户也在同一黑客论坛中出售新的LinkedIn用户数据,并声称价值7000美元的比特币。Cybernews报道称,泄露的数据中包括用户的名字、电子邮件地址、电话号码、工作场所信息等。浏览LinkedIn网站可以发现,虽然用户的名字及工作经历为公开信息,但电话号码及邮件地址仍属于非公开信息。同时,根据黑客提供的数据示例来看,数据来源就是爬虫。

综合同期陷入争议的facebook信息泄露事件,可以看到,这些让无数用户及机构为之头疼的事件层出不穷。而无论是“骗”来信息,还是黑客爬虫刮出数据,数据泄露背后已然形成了一条黑色产业链,滋生着巨大的非法获利空间。

黑灰产团伙是如何窃取你的数据的?

中国互联网络信息中心发布的第46次《中国互联网络发展状况统计报告》显示,截至2020年6月,有20.4%的网民表示遭遇过个人信息泄露。而中国互联网协会对外公布的《中国网民权益保护调查报告(2020)》则显示,近一年网民由于诈骗信息、垃圾信息和个人信息泄露等现象,导致遭受的经济损失人均124元,总体损失约805亿元。这一切都和非法获取数据黑灰产息息相关。

不同于其他黑灰产业,非法获取个人信息及数据的黑灰产具有自身的特殊性,这是因为非法获取数据的黑灰产不仅有一条自己的完整产业链,它还常常作为其他黑灰产的上游。此外,越来越多的非法获取数据黑灰产寄生于“暗网”这个平台,这就注定使得这一黑灰产业有着不可估量的巨大规模。

非法获取、买卖数据的黑灰产业链成熟完整、分工明确。在这条产业链的上游,通过恶意爬虫、病毒软件、撞库入侵、APP违规收集、恶意SDK(software development kit,软件开发包)等方式获取到大量数据。而类似于酒店、银行、通信公司等“数据洼地”常常成为黑灰产上游的猎物。更让这些公司防不胜防的,是同为黑灰产上游的公司“内鬼”,“内鬼”常常通过直接提供数据或出租公司账号给不法分子这两个途径参与其中。

在产业链的中游,数据被处理并再加工,对数据明码标价进行买卖,形成规模化市场。而在这条产业链的下游,不法分子通过购买数据,利用数据进行精准诈骗、敲诈勒索、盗窃账户、恶意营销、恶意刷量甚至从事洗钱等违法活动。也就是说,如果泄露了客户信息的大华银行不采取有效措施,1166名客户的数据就很有可能被用在这些地方。

为什么数据黑灰产屡禁不止,就像“打不死的小强”?这是因为越来越多的下游交易环节被转移至“暗网”。

“暗网”是相对于明网的概念,指的是那些存储在分布于全球各个角落的服务器中、但不能通过超链接访问而需要通过特殊访问技术访问的资源。换句话说,就是不能通过百度等搜索引擎访问到的网络,游走于你我的视野之外。

“暗网”的数据交易相对隐蔽,这是由于交易双方要进行私聊首先必须充值比特币而非其他货币,交易双方不会转移至微信等社交工具沟通,也就是只能通过“暗网”沟通。在百度发布的《2020网络黑灰产犯罪研究报告》的其中一张图中,可以看到“暗网”中数据贩卖可谓“应有尽有”,甚至包括银行卡号、登记地址在内等信息都被明码标价。

值得一提的是,数据早已不只局限于个人的身份信息,随着AI技术的快速发展与应用,生物数据及地理数据泄露也需引起关注。

三管齐下防治数据黑灰产

根据Cybernews近几日的一篇研究报告,目前全球数以万计的数据库服务器仍然向任何人开放,仍有超过29000个未受保护的数据库,近19pb的数据暴露在盗窃、篡改、删除甚至更糟的情况下。其中,中国仍有12943个未受保护的数据库,远远大于位居第二的美国(4512)和位居第三的德国(1479)。

这意味着我国强化数据信息保护、打击数据黑灰产迫在眉睫。

国家和地方层面已经在行动,今年3月,中央网信办副主任杨小伟在新闻发布会上表示,目前正在加紧制定出台《数据安全法》《个人信息保护法》,加紧建立数据资源的确权、开放、流通以及交易的相关制度,为保护个人信息安全提供法律保障。

作为“数据洼地”的企业则需要不断自检,完善系统安全性,同时积极探索与监管机构、公安等合作。

虽然不少数据黑灰产团伙以B端为切口爬虫或撞库获取数据,但这并不意味着作为C端的普通用户们“手无缚鸡之力”。

数据黑灰产是伴随着数字化、信息化、网络化的兴起而应运而生,这也意味着它的消亡绝不会是转瞬之间。而只有确保用户、企业、政府多方使力、三管齐下,数据黑灰产的消亡才能按下加速键。

(作者:侯潇怡,王文妍编辑:曾芳)

雷军的最后一战:小米造车如何落子 Soul谋上市 考问陌生人社交
相关阅读: