企業信息泄露是防不住的,因為錯的人不在你,而是那些別有用心、虎視眈眈的窺視者。
在互聯網江湖上,每天都在上演一場場無形的攻防戰,那裡是互聯網企業與黑客們的角鬥場。黑客們,像一隻非洲草叢中的獵豹,隱匿而嗜血,靠著金錢的誘惑,他們瘋狂的向互聯網企業發動一次次撞庫、拖庫,為雇主竊取信息。
而進攻的策動者,則是利益熏陶的金主—競爭對手、廣告主、詐騙集團,黑客在他們眼中,是撞開財富寶庫大門的攻城重器,用完即扔。
曾經,盜取企業用戶信息,是一個一本萬利、無需擔當風險的掘金地。但隨著法律量刑出臺,暢通無阻的舞臺,變得滿地荊棘。
互聯網企業、黑客、雇主,這場沒有炮火聲的戰爭還將持續,隻是天枰略有傾斜。
用戶被騙 33 萬,互聯網企業城池頻頻陷落
" 我現在一分錢都沒有,生活開銷都是跟朋友借的 ",石女士,北交碩士、管理咨詢顧問、某互聯網金融公司戰略部高級研究員、金融從業多年,光鮮的標簽支撐著她的北漂夢," 生活是美好的,有奔頭。" 然而十月初,一個自稱京東客服的電話,把石女士小確幸的生活撕得稀巴爛。
" 被騙瞭 33 萬,騙子到底怎麼知道我在京東上的訂單信息 ",電話溝通的那一頭,石女士言語沮喪,充滿著陣陣慍怒。毫無疑問,京東訂單信息的泄露,是撞開她警惕線的一記重錘," 以後不敢在在京東買東西瞭。"
其實企業信息泄露,早已老生常談,並不稀奇。
2017 年月 8 日,美國三大征信局艾可菲,被黑客盜走 1. 43 億美國消費者的個人信息 ; 同年 3 月,京東因內鬼監守自盜, 50 億條個人信息流向黑產 ; 2016 年 12 月,京東被曝 12G 的用戶數據包在黑產市場買賣 ; 2015 年,網易 163、 126 郵箱被曝漏洞,近 5 億郵箱賬號、密碼數據泄露 ; 2014 年 12 月, 超過 13 萬條的 12306 網站用戶信息在互聯網上瘋傳 ; 同年年,小米論壇遭黑客拖庫, 800 萬用戶註冊信息遭泄露 ……
互聯網公司陣地頻頻失手,個人用戶信息大量外泄。而攻城拔寨、功績彪炳的則是活躍在無形戰場上的黑客," 安全工程師的薪酬待遇比較高,做內鬼不值當 ",百度安全負責人黃正向獵雲網表示,互聯網企業真正的威脅來自外部的黑客進攻。
在網絡世界裡,他們是草原霸主,無所忌憚、無孔不入,大肆攻擊互聯網企業,盜取用戶信息。即便是網絡安全專傢也未能幸免。" 有一次我去國外,連接過公共 WIFI,結果被別人克隆出跟我一摸一樣的 QQ 號,冒充我向我的朋友借錢 ",向獵雲網回憶時,資深安全專傢大 Z 不免寒栗。
拖庫、撞庫,黑客獠牙
黑客的武器庫中,十八般兵器,但撞庫與拖庫是黑客攻陷企業城防的兩大攻堅利器。
拖庫簡單粗暴,入侵網站後,直接獲取數據庫中用戶的全部數據,在黑客面前,企業的城防如此薄弱。" 隻要我在裡面的廁所蹲上一個禮拜,我就能把這些格子間的信息全部拿到 ",談到網絡入侵,某互聯網企業技術負責人指著 SOHO 辦公樓,不無得意," 有點像狙擊手,要潛伏等待,扣動扳機,一擊致命。"
攻破城防的核心在於獲取獲取管理員權限,因此多數黑客尋找漏洞,植入病毒、建立偽基站等方式,取得管理員權限,查看源碼。" 黑客們隻需建造偽基站,挾持流量,從流量中就能分析出用戶的賬號、密碼 ",黃正指出拖庫的進攻線路,隻要獲取管理員權限就能看到整個網站的密碼,企業用戶信息就這樣被黑客玩弄於鼓掌。
拖庫看似直插企業命門、深不可測,其實並非頂級黑客的獨門秘籍。" 拖一個數據庫,隻需要幾萬塊錢,不論數據庫的規模 ",黑客愛好者小 M 向獵雲網介紹到。
對信息安全防護不重視,系統老舊,為黑客攻擊大開城門。據獵雲網瞭解,艾可菲數據庫被黑客攻破,主要是因為系統老舊,黑客從網上找到相應托庫工具," 很多系統都用通用拖庫工具,拖庫沒有想象的那麼富有技術。"
如果說拖庫是一劍封口的精準點殺,那麼撞庫則黑客們的地毯轟炸,利用用戶在其他網站上已經泄露的賬號密碼,去各個網站上登陸驗證。" 黑客從其他渠道獲取信息,比如之前已經泄露的信息,或是小網站的賬號密碼,在利用這些數據去撞庫 ",黃正指出。
2017 年 7 月,百度網盤遭受黑客撞庫攻擊,部分用戶網盤數據被清空,用戶賬號、密碼信息泄露 ; 2016 年 7 月,黑客用撞庫方法在大麥網上購買商品,試試欺詐, 39 名用戶被騙近 150 萬 ; 2015 年 3 月,黑客實施撞庫,竊取用戶信息,用戶被騙 ……
" 多數用戶比較懶,賬號密碼都是同一個,成功率相當大 ",對於撞庫,小 M 頗為自信,屢試不爽,原因是多數用戶對個人信息不重視。為此,為加固城防,防止黑客大規模撞庫,互聯網公司紛紛加入驗證碼,識別網絡請求的發起方是人類,而不是機器。" 驗證碼是對機器訪問,撞庫攻擊,暴力破解非常好的一種抵禦方式 ",某安全專傢表示。
但魔高一丈,黑客們要麼利用系統漏洞,繞開驗證碼校驗,要麼與打碼平臺合作,黑客將賬號密碼信息輸入撞庫軟件,發動登錄請求,撞庫軟件將受到驗證碼圖片發送給打碼平臺,並將圖片信息轉化為文字信息。
目前部分黑客已經為撞庫進攻加入 AI 技術,今年 9 月,浙江警方查封打碼平臺 " 快啊 "," 快啊 " 是黑市市場上最大的打碼平臺,能夠識別市面上 98% 的驗證碼,在查封時,警方截獲瞭 10 億餘組公民個人信息。
其實,與黑客的搏鬥,並非想象中的你死我活、炮火連天,而是悄然無聲的暗夜殺人。黑客,就像狩獵前的獵豹,隱匿於無形,尋找企業服務器漏洞," 根本沒有驚心動魄的攻防戰,他要攻擊你,你都不知道什麼時候 ",看著手頭的工作,黃正感嘆。
發現漏洞、利用漏鬥,是黑客信息盜取的前提,就像古代武林高手對決,心有雜念、稍不留神的一方必敗無疑。
企業、廣告、詐騙,利益熏陶,黑產罪源
黑客雖然無影無蹤,但他僅僅是攻破企業城防的重錘,真正可怕的購買用戶數據的買傢。
競爭對手、廣告主、詐騙集團組成的買傢,它才是數據黑市的始作俑者:提供需求、支付費用,而黑客、交易商,遊戲的所有參與者都為其服務。在這裡,買傢是一切非法行為的源頭,任何的黑客行為都會被貼上價格,隻要有錢,就可以做任何事情。
為瞭幹掉競爭對手,企業無所不用其極,利用黑客進攻對手,贏得戰爭屢見不鮮。
2016 年 2 月,拉勾網員工通過黑客技術破解 BOSS 直聘所使用的企業郵箱管理員密碼,該員工在騰訊企業郵箱後臺、蘋果 App 開發者後臺,申請 App store 官方刪除瞭 Boss 直聘 APP,惡意操作導致產品下架。
金三銀四,招聘黃金月,在 App Store 搜索 "Boss 直聘 " 時,索結果卻為 "Boss 在線 ",而 "BOSS 在線 " 為拉勾網開發,與 "Boss 直聘 " 無任何關系。在黑客的進攻導致 BOSS 招聘損失慘重," 重建瞭傢園,努力降低損失,努力服務好正處於招聘求職旺季的用戶 ",BOSS 招聘官方回應。
而對互聯網創業公司來說,信息安全更為重要,不但關系輸贏,更關乎生死。與大企業相比,創業者更願意把錢花在營銷和研發上,而不願再安全上過多投入,但安全上的摳門,也可能成為創業公司的死穴。" 某個創業公司老板,雇傭黑客,把競爭對手的數據庫刪得一幹二凈,原本勢均力敵的關系瞬間打破 ",某公司創始人透露。
搞掉對手僅是買傢意圖的一角,有盜取的資料信息快速變現,催生買傢的欲望,就像尋著血腥味而來的野狼。" 外泄的個人用戶數據,主要用於廣告推送和電信詐騙 ",火絨網聯合創始人馬剛向獵雲網表示。
而 BAT 因信息量大、價值高,成為黑客重點 " 照顧對象 "。 7 月,百度網盤遭受黑客頻繁撞庫攻擊,戰鬥在一線的黃正承受外界攻擊的壓力," 百度每天都會面對黑客的攻擊。"
百度賬號隻能捆綁一個手機號,靠大量註冊百度賬號刷量,提高貼吧、百科等級成本太高,為此,犯罪團夥雇傭黑客,通過其他渠道收集到的信息頻繁撞擊百度網盤數據庫。一旦成功,這些賬號會被犯罪團夥用於刷帖等,從中牟利。
" 個人信息保護最核心的是要弄清楚,黑客侵入的真正目的是什麼 ",與黑客反復的較量博弈,黃正有著自己的心得體會,在他看來網絡安全,不是軟件與軟件的戰爭,背後的主導則是人與人的打鬥。
據中國互聯網協會發佈的《中國網名權益保護調查報告 2016》顯示:2016 年,數據黑市交易的個人信息達到 65 億條次,因詐騙短信、信息泄露等受害者達 6.88 億,造成的經濟損失約為 915 億元。
網絡威脅面前沒有幸存者,飽受黑客攻擊的互聯網企業,紛紛成立行業組織,抱團取暖。今年雲棲大會上,阿裡聯合 17 傢企業,共同推動 " 數據安全合作夥伴計劃 "; 9 月 24 日,網信辦、工信部等部委發起,阿裡巴巴、騰訊、百度等互聯網企業簽訂《個人信息保護倡議書》; 360 推出威脅情報共享工程,開放自己的數據和能力 ……
量刑出臺,戰爭仍將繼續
黑客與數據買主的肆意妄為,則是之前法律監管的缺失。" 以前信息安全犯罪,隻要不出人命,通常是緩刑 ",對於盜竊用戶信息量刑過小,網絡安全從業者小 G 憤憤不平。
高收益、低風險,利益誘惑,詐騙團夥等買傢,尋著血腥而來,雇傭黑客,一次又一次發動高頻進攻。但隨著開房記錄數據泄露、徐玉玉因欺詐身亡、校園貸裸照外流 …… 公眾將矛頭直指個人信息安全。
2016 年 11 月,《中華人民共和國網絡安全法》發佈 ; 2017 年 3 月,最高人民法院審判委員會全體會議通過《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》,對非法買賣個人信息做出量刑處罰。
同時,公安部重拳出擊,對數據公司、黑產交易方嚴查死打:出售行蹤軌跡、通信、財產、征信等信息五十條以上,處以三年以下有期徒刑 ; 因個人信息泄露,造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果,處以三年以上,七年以下有期徒刑。
在這場攻擊與防守的較量中,信息泄露量刑出臺,勝負的天枰修正瞭軌跡,偏向瞭互聯網企業。天氣雖已變,黑客將不再像以往那樣無所忌憚,但兩者買主、黑客與互聯網企業的角鬥仍將持續。
來源:互聯網的一些事(www.yixieshi.com). 轉載請保留出處 .