A站近千万条用户数据外泄,谁也逃不掉这场“信息裸奔”?
文章来源:文化产业新闻
文编:周志婧
美编:张雨桐
这不是互联网公司数据外泄事件的第一例,也不会是最后一例。
互联网行业数据泄露事件盘点
2017年,全球数据泄露事件数量呈现爆发式增长,而且其涉及的行业也更广泛。盘点2017年发生的互联网行业的数据泄露事件,我们可见行业内数据泄露事件的概貌。
康师傅饮料瓶盖编码泄露
2017年1月,流入黑市的超过10万个乐视会员兑换码遭到泄露,被黑产从业者在几个平台和QQ群中倒卖。据调查,乐视会员兑换码的泄露源于康师傅、乐视联合举办的“开盖赢好礼天天开新机”活动。
泰迪熊泄露数以百万计的语音信息和密码
2017年2月,“云宠物”品牌智能玩具的超过82万个账户被泄露,其中包括220万条语音信息,原因是用户数据被储存在不需要身份认证和密码就可以访问的云端数据库所致。随后出现对“云宠物”用户的敲诈勒索,要求用户付钱赎回被犯罪分子恶意储存的语音文件。
京东内部员工涉嫌窃取50亿条用户数据
2017年3月,京东与腾讯的安全团队联手协助公安部破获一起特大窃取贩卖公民个人信息案,其主要犯罪嫌疑人乃京东内部员工。这名尚处于试用期的员工盗取涉及交通、物流、医疗等个人信息50亿条,在网络黑市贩卖。
58同城数据遭遇爬虫软件
2017年3月,多家新闻网站曝“58同城陷数据泄露:700元可采集网站全部简历信息”。在淘宝等电商平台,有公开出售特殊的爬虫软件,可以自动抓取58同城网站上的简历数据、本地商户信息、汽车过户信息等多类信息。
雅虎泄露3200万账户数据
2017年3月,入侵者通过Cookie伪造攻击,造成雅虎3200万账户信息泄露。攻击者在无需输入密码的情况下,就能访问受害者账户,只需伪造一个Web浏览器诱使相信雅虎用户已经登录。11月,雅虎就账户泄露事件致歉。
高达52GB的邓白氏数据流至地下黑市
2017年3月,一份多达52GB的数据库资料被曝光,内容包含近3400万美国人的个人身份信息,数据的来源为世界商业信息服务公司巨头邓白氏(Dun &Bradstreet)。泄露的数据不仅包含普通公民的信息,还包含超过10万条美国国防部的人员资料。
优酷上亿条数据千元售卖
2017年4月,黑客CosmicDark在网上售卖从优酷窃取约的1亿用户账号,售价约2000元人民币。该数据库包含大量账号的电子邮箱和解密的MD5、SHA1哈希密码。而且,样本数据提供的加密密码已被解密,并被公开于互联网。
50名跨境电商小红书用户被骗88万
截至2017年5月31日,先后有50名受害者因在手机应用跨境电商“小红书”网购后遭遇假冒客服的退款电话而被骗,累计受骗金额高达近88万元人民币。小红书涉入信息泄露的原因是“被指其后台没有保密性”。
Google论坛配置错误导致机密数据在线曝光
2017年7月,Google Groups在线服务出现配置错误,导致数百家企业机密数据曝光,包括企业员工电子邮件地址、员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等信息,被泄露的在线信息可供全球用户任意查看。
ABTA网站遭黑客攻击影响 4.3万人
2017年3月,“外部渗透者”使用英国旅行社协会网络服务器中的一个漏洞访问其成员和一些成员客户提供的数据。该事件影响43,000个人,大约1000个访问的文件可能包括与英国旅行代理商协会(ABTA)成员的客户有关的个人身份信息。
游戏《Cyberpunk 2077》文件遭黑客窃取
2017年6月,巫师游戏开发商CD的《Cyberpunk 2077》文件和概念设计被黑客窃取并被用以勒索。黑客称,如果赎金要求得不到满足,就在网上公开游戏开发资料。因窃取事件所涉及的文件是老版本,CD的开发人员似乎并不担心。
微软储存内部漏洞秘密数据库被黑客偷走
2017年10月,5名微软前员工透露,微软储存自家软件内部漏洞的秘密数据库早在4年前被黑客盗走,数据库包含一批软件的关键未修复漏洞。同年6月,部分微软Windows10源代码被泄露到追踪Windows版本的爱好者网站Beta Archive上,这些代码主要提供OEM合作伙伴使用。
埃森哲服务器未加密引发敏感信息泄露
2017年10月,因不小心任由大量私密数据存放在四台未加保护的云服务器上,直接导致埃森哲公司高度敏感的密码和解密密钥遭泄露。这些服务器托管在亚马逊S3存储服务上,若知其Web地址,不用密码就可以下载这些数据。
Imgur承认遭黑客攻击 170万账号信息被窃
2017年11月,全球知名图片分享网站 Imgur 承认,2014 年该网站曾经受到黑客攻击,170万包含邮箱地址和密码的账户信息被窃取。由于网站并不需要用户提交真实姓名、地址或者手机号码,因此被窃取的信息中并不包含私人信息。
趣店数百万学生数据泄露或遭内部员工报复
2017年11月,趣店百万学生的数据疑似外泄,泄露的数据出包括借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。据称,此次数据泄露事件可能是内鬼所为,为报复行为。
道琼斯220万客户信息外泄
2017年7月,据UpGuard报告,道琼斯公司持有的一套云文件存储库存在配置错误,包含来自数百万家企业客户的个人及财务敏感信息以半公开形式接受网络访问,至少有220万客户受到影响。
黑客盗走HBO上千份公司内部文件
2017年8月,HBO遭遇网络攻击,黑客偷走包括这家公司上千份内部文件在内的1.5TB数据,公布《投手》等剧本以及要等到下一年才会播出的剧集《巴里》。黑客还泄露了一名高管的个人信息,包含数十个网络账号登录信息。
以上这些数据泄露事件虽然很可怕,但还只是冰山一角,地下暗网的信息大数据买卖更加触目惊心。
信息灰色产业链下你的信息也就值一分钱!
在此次A站爆发大规模用户数据泄漏前,其数据泄露危机的苗头就已出现。
早在今年 3 月份,暗网论坛中就有人公开出售 AcFun 的一手用户数据,数量高达 800 万条,平均 1 元能买到 800 条!换句话说,你的信息资料在这些交易中也就值不到一分钱!
就在事件爆发前几天,暗网中就有人兜售过A站Shell 和内网权限,主要卖点为数据量大以及日流量高,标价40w。
而另一共享单车巨头——摩拜也不幸被黑客瞄上,其shell也在暗网上明码标价,报价15w。
另外,不仅仅是A站和摩拜的数据在大肆售卖,还有个人身份证、开房信息、个人轨迹等信息在出售。
可见,黑产已经成为一条及其成熟的产业链,而大数据下的你我可能都在经历着“信息裸奔”!
信息被泄露的你有多危险?
互联网时代,我们在获得各种信息和服务资源的同时,也在让渡着用户自己的各种信息,而这种信息以数据形式交换到了运营商和服务商手中后,身为用户的我们便以方便的代价丧失了隐私的自由。
举个例子:现在的很多互联网公司都具有数据分析能力,使用用户的注册信息、打开软件的频率、日常搜索的关键词等等,就能分析称出 “数据画像”,经常逛淘宝的人就会发现,它推送的产品,正好是你最近想买的东西;网页边上的广告也是你最近搜索关键词产生的实物(如果搜索一些隐私物品或者是病症,你就会看到各种连接推荐和广告)。你的出行信息、个人信息、性格喜好、消费习惯等资料,被大数据收集后一一展现眼前,如果FBI的行为分析组在场,那么差不多可以给你来个侧写了。
在大数据的年代,如何避免自己被惦记?
这是最好的时代也是最坏的时代,用狄更斯名著《双城记》的这句经典名言来比喻当下的大数据时代,一点也不为过。我们既体会到了它的强大,却也深受其烦恼,因为在大数据下,我们越来越没有了自己的隐私,个人信息随时都有被曝光的危险。那么我们该如何应对这场“信息裸奔”,专业技术人士余晟曾给出以下8条建议:
1、申请专门的手机号,用于银行等要害信息。
2、对这个专门的手机号,配备专门的手机,使用“有良心”的系统,比如 iOS 或者干净的 Android。
3、为不同账号设置不同的密码。
4、善用浏览器的隐身模式。
5、详细检查手机里每个应用申请的权限。
6、在遇到各种 App 或者活动申请权限的时候,停下来换个角度想一想。
7、把行为拆散到不同的 App 和不同的生态,打散成碎片。
8、注意保护其他人尤其是未成年人的隐私。
希望这篇文章会对你有用,能帮助你为自己的信息穿上衣服,愿你在大数据时代能生活得安全、开心!
文章部分资料来源:博客园、行长叠报、《中国信息安全》第3期、网络安全联盟。
往期精彩