起底大数据黑产
点击上方「21世纪经济报道」→点击右上角「···」→「设为星标⭐️」为21加上星标,每天及时阅读~
导读:对于多数的大型金融机构及企业来说,维护数据安全最害怕的还不是“空手套数据”的骗子,而是“防火墙”都拦不住的黑客。
来 源丨21世纪经济报道(ID:jjbd21)
作 者丨侯潇怡,实习生,王文妍
编 辑丨曾芳
图 / 新华社
又一起用户个人信息数据泄露案件被曝光,这一次整出幺蛾子的是一家银行。
5月7日,新加坡大华银行对一起涉及1166名中国客户的信息泄漏事件在官网公开致歉。
据该银行表示,事件起因是由于一名银行员工误信了假冒中国公安的骗局,并向骗子提供了客户姓名、身份证号、手机号码、账户余额等1166名客户的信息。大华银行表示,中国客户的银行账号并未公开,银行的IT系统仍然安全,目前已致函所有客户,涉事员工已被停职,银行正与新加坡警方密切合作进行调查。
大华银行提到,目前银行已经采取了若干措施,以预防中国客户的信息被骗子利用。这些措施包括,立即禁用相关客户的网上服务和手机银行服务;建议客户重新设置数字银行访问权限,以及告知客户如何保护自己免受诈骗;加强对受影响账户的账户监控;设置一个阈值为1美元的短信警报,以预防任何在线资金转移;同时,在大华个人网上银行和大华支付(UOB Mighty)的登录页面张贴诈骗防范通知,并在银行的社交媒体渠道上发布公共教育通知。
屡防不止的数据泄漏
近年来,信息泄露或数据泄露可以说是屡见不鲜。就在不久前,广州市白云区人民法院就对一起同样是“骗”来个人信息的案件作出判决。
2020年6月起,蒋某等5人通过在58同城网站上发布大量虚假招聘信息收集应聘者的公民个人信息(含姓名及电话号码),并将非法获取的个人信息贩卖给他人牟利,数量合计42790条。4月20日,白云法院认定蒋某等5人犯侵犯公民个人信息罪,判处主犯蒋某有期徒刑二年,并处罚金三万元;判处其余从犯有期徒刑一年二个月至十个月不等,并处罚金。
不过,对于多数的大型金融机构及企业来说,维护数据安全最害怕的还不是“空手套数据”的骗子,而是“防火墙”都拦不住的黑客。
据公开信息,4月7日,拥有超7亿注册用户的职场社交平台LinkedIn遭遇了大规模的数据泄露事件。一名用户在黑客论坛上出售其获取的5亿LinkedIn用户的数据包,并“贴心”地无偿公开了200万条数据作为证据。4月10日,另一名用户也在同一黑客论坛中出售新的LinkedIn用户数据,并声称价值7000美元的比特币。Cybernews报道称,泄露的数据中包括用户的名字、电子邮件地址、电话号码、工作场所信息等。浏览LinkedIn网站可以发现,虽然用户的名字及工作经历为公开信息,但电话号码及邮件地址仍属于非公开信息。同时,根据黑客提供的数据示例来看,数据来源就是爬虫。
综合同期陷入争议的facebook信息泄露事件,可以看到,这些让无数用户及机构为之头疼的事件层出不穷。而无论是“骗”来信息,还是黑客爬虫刮出数据,数据泄露背后已然形成了一条黑色产业链,滋生着巨大的非法获利空间。
黑灰产团伙是如何窃取你的数据的?
中国互联网络信息中心发布的第46次《中国互联网络发展状况统计报告》显示,截至2020年6月,有20.4%的网民表示遭遇过个人信息泄露。而中国互联网协会对外公布的《中国网民权益保护调查报告(2020)》则显示,近一年网民由于诈骗信息、垃圾信息和个人信息泄露等现象,导致遭受的经济损失人均124元,总体损失约805亿元。这一切都和非法获取数据黑灰产息息相关。
不同于其他黑灰产业,非法获取个人信息及数据的黑灰产具有自身的特殊性,这是因为非法获取数据的黑灰产不仅有一条自己的完整产业链,它还常常作为其他黑灰产的上游。此外,越来越多的非法获取数据黑灰产寄生于“暗网”这个平台,这就注定使得这一黑灰产业有着不可估量的巨大规模。
非法获取、买卖数据的黑灰色产业链成熟完整、分工明确。在这条产业链的上游,通过恶意爬虫、病毒软件、撞库入侵、APP违规收集、恶意SDK(software development kit,软件开发包)等方式获取到大量数据。而类似于酒店、银行、通信公司等“数据洼地”常常成为黑灰产上游的猎物。更让这些公司防不胜防的,是同为黑灰产上游的公司“内鬼”,“内鬼”常常通过直接提供数据或出租公司账号给不法分子这两个途径参与其中。
在产业链的中游,数据被处理并再加工,对数据明码标价进行买卖,形成规模化市场。而在这条产业链的下游,不法分子通过购买数据,利用数据进行精准诈骗、敲诈勒索、盗窃账户、恶意营销、恶意刷量甚至从事洗钱等违法活动。也就是说,如果泄露了客户信息的大华银行不采取有效措施,1166名客户的数据就很有可能被用在这些地方。
为什么数据黑灰产屡禁不止,就像“打不死的小强”?这是因为越来越多的下游交易环节被转移至“暗网”。
“暗网”是相对于明网的概念,指的是那些存储在分布于全球各个角落的服务器中、但不能通过超链接访问而需要通过特殊访问技术访问的资源。换句话说,就是不能通过百度等搜索引擎访问到的网络,游走于你我的视野之外。
“暗网”的数据交易相对隐蔽,这是由于交易双方要进行私聊首先必须充值比特币而非其他货币,交易双方不会转移至微信等社交工具沟通,也就是只能通过“暗网”沟通。在百度发布的《2020网络黑灰产犯罪研究报告》的其中一张图中,可以看到“暗网”中数据贩卖可谓“应有尽有”,甚至包括银行卡号、登记地址在内等信息都被明码标价。
值得一提的是,数据早已不只局限于个人的身份信息,随着AI技术的快速发展与应用,生物数据及地理数据泄露也需引起关注。4月25日,德清县法院宣判全国首起非法获取地理信息数据案,由于擅自使用自发编写的程序获取公司精确定位差分系统的数据并转卖,非法获利金额高达52余元,最终三人面临的是3年6个月至1年4个月不等的刑期。
三管齐下防治数据黑灰产
根据Cybernews近几日的一篇研究报告,目前全球数以万计的数据库服务器仍然向任何人开放,仍有超过29000个未受保护的数据库,近19pb的数据暴露在盗窃、篡改、删除甚至更糟的情况下。其中,中国仍有12943个未受保护的数据库,远远大于位居第二的美国(4512)和位居第三的德国(1479)。
这意味着我国强化数据信息保护、打击数据黑灰产迫在眉睫。
国家和地方层面已经在行动,今年3月,国家网信办办公室副主任杨小伟在新闻发布会上表示,目前正在加紧制定出台《数据安全法》《个人信息保护法》,加紧建立数据资源的确权、开放、流通以及交易的相关制度,为保护个人信息安全提供法律保障。4月,甘肃省公安厅召开新闻发布会介绍去年工作情况,其中,打掉各类网络黑灰产犯罪团伙120余个,通报预警漏洞隐患1800余个。
作为“数据洼地”的企业则需要不断自检,完善系统安全性,同时积极探索与监管机构、公安等合作。例如,智联招聘平台上线采用虚拟号码、简历水印、设置行业共享的黑名单库,并且与市场监督管理总局合作,推出电子营业执照认证机制,预防虚假招聘类似事件发生。此外,以微众银行为例的银行等金融机构已经在探索与布局隐私计算技术(privacy-preserving computation)实现隐私信息全生命周期保护。
虽然不少数据黑灰产团伙以B端为切口爬虫或撞库获取数据,但这并不意味着作为C端的普通用户们“手无缚鸡之力”。
作为普通用户的我们,在各类网站填写信息时更加需要多留心眼,例如及时注销及清理不必要、长期不使用的账号;不在社交媒体等公开个人及家庭成员信息;在公开网站填写个人信息时,避免使用真名或实名拼音,尽量使用电子邮件代替手机号码;非必要不随意填写个人信息;在不必要的情况下关闭软件定位,保护个人位置信息;在有条件的情况下阅读隐私条款的重要部分及权限获取申请;同时,为了预防不法分子利用已泄露数据从事违法活动,不随意点击未知链接,不随意下载来路不明的应用程序,不轻信各类诈骗电话,熟知诈骗套路。
数据黑灰产是伴随着数字化、信息化、网络化的兴起而应运而生,这也意味着它的消亡绝不会是转瞬之间。而只有确保用户、企业、政府多方使力、三管齐下,数据黑灰产的消亡才能按下加速键。
本期编辑 陈思
百万读者都在看……
突发!马斯克“变脸”!叫停比特币买车,币圈狂跌,30万人爆仓…网友:操纵市场割韭菜?
还原成都49中学生坠亡事件:关键监控有无缺失?坠楼是如何发生的?孩子为何走到这一步?