2016年7月臭名昭著的暗網(wǎng)市場(chǎng)“真實(shí)交易”(TheRealDeal)里一位名叫 “和平”的賣家掛出了約2億個(gè)雅虎賬戶和密碼進(jìn)行出售，雅虎數(shù)據(jù)泄露事件就此開始發(fā)酵。一年后，雅虎官方承認(rèn)共有約30億個(gè)賬戶受到2013年黑客攻擊影響，而那次攻擊導(dǎo)致泄露的數(shù)據(jù)，之后幾年里一直在暗網(wǎng)里流傳。

關(guān)于雅虎數(shù)據(jù)泄露的相關(guān)報(bào)道

截止目前，這仍是有史以來涉及用戶數(shù)量最多的數(shù)據(jù)泄露事件。

數(shù)據(jù)泄露，應(yīng)該是為數(shù)不多普通大眾都有所耳聞的網(wǎng)絡(luò)安全概念。它被熟知的主要原因是發(fā)生頻率太高，并且數(shù)據(jù)泄露事件一旦爆出，往往影響深遠(yuǎn)。5年前的一次數(shù)據(jù)泄露，可能會(huì)在今天突然爆發(fā)，導(dǎo)致用戶的個(gè)人信息被公之于眾。

一、數(shù)據(jù)泄露歷史

據(jù)我查找到的信息來看，最早有記錄的數(shù)據(jù)泄露事件發(fā)生在2004年。2004年互聯(lián)網(wǎng)服務(wù)公司“美國在線(AOL)”的一名軟件工程師，利用自己職務(wù)便利黑入公司內(nèi)部系統(tǒng)，竊取了9200萬個(gè)****賣給了垃圾郵件服務(wù)商。當(dāng)年全球互聯(lián)網(wǎng)用戶人數(shù)也僅有8億而已，這一次人為的數(shù)據(jù)泄露覆蓋量就占到了11%。

名為“美國在線員工因垃圾郵件被捕”的相關(guān)報(bào)道

在此之后，數(shù)據(jù)泄露事件開始爆發(fā)式的增長(zhǎng)。

目光回到國內(nèi)，早期曝光的數(shù)據(jù)泄露事件主要從2011年底開始。2011年，有兩起數(shù)據(jù)泄露事件影響了當(dāng)時(shí)絕大部分的中國網(wǎng)民。

• 第一，天涯社區(qū)4000萬用戶資料泄露，泄露的數(shù)據(jù)里面包括天涯的用戶名、密碼、郵箱三個(gè)數(shù)據(jù)。其中大部分都可以可直接登錄到天涯社區(qū);
• 第二，CSDN用戶數(shù)據(jù)庫泄露事件，高達(dá)600多萬個(gè)明文的注冊(cè)郵箱賬號(hào)和密碼遭到曝光，成為中國互聯(lián)網(wǎng)歷史上一次具有深遠(yuǎn)意義的網(wǎng)絡(luò)安全事故。

2011年數(shù)據(jù)泄露事件表-圖源澎湃新聞

據(jù)統(tǒng)計(jì)2011年里的數(shù)據(jù)泄露事件，共累計(jì)影響了1億用戶。我們?cè)賮砜匆粋€(gè)對(duì)比數(shù)據(jù)，根據(jù)中國互聯(lián)網(wǎng)信息中心的報(bào)道，2011年中國網(wǎng)民共計(jì)5.13億。

中國互聯(lián)網(wǎng)信息中心報(bào)告截圖

而當(dāng)年的數(shù)據(jù)泄露影響了全國1/5的網(wǎng)民。

回到現(xiàn)在，2020年過去3個(gè)月，發(fā)生的數(shù)據(jù)泄露事件也不少。讓我記憶最深刻的是前些日子安全公司 Keepnet Labs 泄露了一個(gè)包括50億條已泄露記錄的數(shù)據(jù)庫。(是不是有許多問號(hào)?安全公司也會(huì)數(shù)據(jù)泄露…)

[[323542]]

事件經(jīng)過是有專家發(fā)現(xiàn)一個(gè)屬于安全公司 Keepnet Labs 的未受保護(hù)的數(shù)據(jù)庫，其中包含超過50億條以前泄露的數(shù)據(jù)記錄網(wǎng)絡(luò)安全事件。泄露數(shù)據(jù)包括哈希類型、泄漏年份、密碼、電子郵件、電子郵件域和泄漏源。

隨著互聯(lián)網(wǎng)的快速發(fā)展，數(shù)據(jù)泄露也從互聯(lián)網(wǎng)公司蔓延到一些傳統(tǒng)行業(yè)。其中包括酒店、航空、快遞等涉及大量用戶私密信息的行業(yè)，而且涉及數(shù)據(jù)量都非常之大。2018年僅是一個(gè)華住酒店集團(tuán)數(shù)據(jù)泄露事件，就涉及了5億條客戶隱私信息…

以目前的情況來看，數(shù)據(jù)泄露比你想象的更“貼近”你的生活。

二、數(shù)據(jù)泄露的方式

數(shù)據(jù)泄露可能是有針對(duì)性的攻擊，也可能只是人為錯(cuò)誤、安全漏洞或缺乏安全措施導(dǎo)致。具體有以下幾種方式：

1. 黑客入侵

據(jù)統(tǒng)計(jì)，黑客入侵是數(shù)據(jù)泄露的主要方式。

讓我們來設(shè)想一個(gè)場(chǎng)景：黑客入侵A網(wǎng)站后對(duì)網(wǎng)站拖庫，拿到的數(shù)據(jù)可以存到自己的社工庫里，可以直接洗庫變現(xiàn)，還可以再去B網(wǎng)站撞庫。

純手工繪圖

是不是被里面的各種庫繞暈了?別慌我們接著看。

• 拖庫：本來是數(shù)據(jù)庫領(lǐng)域的專用語，指從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)。而現(xiàn)在它被用來指網(wǎng)站遭到入侵后，黑客竊取數(shù)據(jù)庫的行為。
• 洗庫：黑客入侵網(wǎng)站在取得大量的用戶數(shù)據(jù)之后，通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶數(shù)據(jù)變現(xiàn)。
• 社工庫：黑客將獲取的各種數(shù)據(jù)庫關(guān)聯(lián)起來，對(duì)用戶進(jìn)行全方位畫像。
• 撞庫：很多人喜歡將不同網(wǎng)站的密碼設(shè)置為同一個(gè)，一旦你在某個(gè)網(wǎng)絡(luò)安全能力較弱的網(wǎng)站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測(cè)試其他網(wǎng)站，這種手段就叫“撞庫”。

2. 內(nèi)部外泄

就如出售“美國在線”數(shù)據(jù)的那位軟件工程師一樣，為了賺錢從內(nèi)部泄露數(shù)據(jù)。也有可能是由于員工安全意識(shí)不足，失誤將數(shù)據(jù)外泄。

3. 主動(dòng)出售

一些小公司為了自身利益會(huì)主動(dòng)出售自己已有的用戶數(shù)據(jù)，或者與同行交換。

4. 爬蟲獲取

API接口代碼不嚴(yán)謹(jǐn)或風(fēng)控不足，數(shù)據(jù)被惡意爬取或越權(quán)爬取，導(dǎo)致數(shù)據(jù)泄露。

三、后數(shù)據(jù)泄露時(shí)代的思考

數(shù)據(jù)不僅是企業(yè)的核心財(cái)產(chǎn)，更是用戶重要的隱私?，F(xiàn)如今我們通過個(gè)人的努力去減少數(shù)據(jù)泄露帶來的安全風(fēng)險(xiǎn)可謂是難上加難。太多的個(gè)人隱私被存儲(chǔ)在了互聯(lián)網(wǎng)中，誰知道它們會(huì)不會(huì)是下一個(gè)被泄露的。

企業(yè)有義務(wù)也更有能力去保護(hù)用戶隱私不被侵犯。畢竟，能力越大，責(zé)任越大。

[[323544]]

電影《蜘蛛俠》截圖

例如企業(yè)的數(shù)據(jù)收集必須要符合法律法規(guī)的要求，保證數(shù)據(jù)收集是在一定的框架和允許的范圍內(nèi)進(jìn)行，同時(shí)對(duì)于所收集的數(shù)據(jù)以及數(shù)據(jù)的真實(shí)用途要明確告知用戶。

其次企業(yè)應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)，要從技術(shù)層面和管理層面多方著手。

• 一方面在技術(shù)層面做好隱私基準(zhǔn)評(píng)估、隱私數(shù)據(jù)識(shí)別、數(shù)據(jù)監(jiān)控掃描、數(shù)據(jù)加密、安全存儲(chǔ)，通道加密、傳輸行為審計(jì)，數(shù)據(jù)脫敏，數(shù)據(jù)鎖等多方面工作，了解隱私數(shù)據(jù)的紅線在哪里，統(tǒng)計(jì)網(wǎng)絡(luò)行為模型，實(shí)時(shí)監(jiān)測(cè)是否有黑客入侵偷取數(shù)據(jù)。
• 另一方面，在管理層面則應(yīng)該設(shè)立首席數(shù)據(jù)安全官來負(fù)責(zé)數(shù)據(jù)安全，要設(shè)立多個(gè)數(shù)據(jù)安全保護(hù)官，或者是多支團(tuán)隊(duì)保障數(shù)據(jù)安全。同時(shí)還要建立好攻防對(duì)抗的機(jī)制，通過攻防對(duì)抗真正的檢驗(yàn)系統(tǒng)安全性，了解黑客的攻擊方法和技術(shù)手段才能更好的保護(hù)企業(yè)安全。