查看原文
其他

一周安全漫谈丨震惊:又见大规模信息泄露事件

藏青 安全419 2023-06-22

长按二维码

关注安全419最新动态

 中国网络安全产业资讯媒体 



 震惊:又见大规模信息泄露事件


2月12日晚间,一则“疑似45亿条快递信息泄露”的消息在各大社群中大面积转发,引爆了个人信息泄露的话题。据网传消息称,在境外一款即时通讯应用Telegram上一个名为“星链”的黑灰产频道中,只需要在“星链社工机器人”的对话框中输入手机号,即可通过该机器人免费查询到大量相关联的隐私数据,这些数据涉及姓名、手机号码、收货地址,泄露来源直指国内多家知名电商平台。跟据“星链”频道管理员提供的navicat(一种数据库管理工具)截图显示,相关数据量高达45.41亿条,数据库存储量达435.35GB。


随后业内有大量安全专家第一时间用自身手机号对爆料信息进行了交叉验证,最后发现查询信息属实,确定为真实的数据泄露事件,非虚假数据。查询出来的地址信息来源于多个平台填写的收货地址,近几年曾经填写过的收货地址全都被扒了个干净,有些甚至精确到了门牌号,不禁让人后背发凉。


随着相关事件关注度的持续升级,2月15日夜间,该频道更名为“星链永久关闭”,并发布消息称,数据已全部销毁,所有账号ID全部注销。所以不管是出于何种目的,目前查询端口已经关闭了,大家也不要再想方设法去一探究竟了。


不过,话说回来,虽然这一次闹剧事件以组织方关闭查询服务,销毁全部数据告终,但背后透露出来的严峻信息泄露问题不容小觑。如此庞大的个人隐私数据库是从何而来?是谁泄露的?物流行业、电商行业的从业者们想必难脱干系。


根据业内专注于黑产对抗与反欺诈的安全公司威胁猎人的分析,物流、电商行业的数据泄露主要原因主要有以下几种:


其一, “内鬼”违规获取,包括但不限于:面单拍摄、数据人为导出后出手转卖等等;其二,API接口遭到爬虫攻击导致数据泄露;其三,商家和快递公司之间的云仓平台被植入木马、漏洞攻击等等。无论是内鬼也好,网络攻击也罢,我们还是建议相关企业与用户站在一起,尽早做好数据安全防范措施,亡羊补牢及时补救。


在心里默默谴责相关企业不作为的同时,我们也再次提醒广大群众,在大规模信息泄露事件发生后,网络诈骗或许就会迎来高发期,一定要提高警惕谨防受骗,避免因此遭受经济损失。


粤康码将停止多项服务

将销毁相关所有数据


2月14日,广东省健康码“粤康码”发布服务公告称将于2023年2月16日11时起停止服务,“粤康码”下一步将关闭相关服务入口。停止相关服务后,“粤康码”将按照有关法律法规规定,彻底删除、销毁服务相关所有数据,切实保障个人信息安全。


对此,有业内专家认为,随着“健康码”的历史功能接近尾声,公众已经将目光投向后续个人数据的处置问题上。按照个人信息保护法第47条规定的“处理目的已实现、无法实现或者为实现处理目的不再必要”,个人信息处理者的确应当主动删除个人信息,以保护个人隐私权。


尤其是健康码在使用过程中收集的个人信息属于高度敏感的个人信息,与普通个人信息不同,此类信息涉及到个体的生物识别信息、医疗健康信息和行踪信息等。“这些信息与个体的人格尊严是密切相关的,一旦信息被非法使用,个体的人格尊严权、人身权和财产权就会受到损害。”


因此有专家建议应建立针对健康码的数据删除机制,及时删除个人信息。那庞大的个人行程数据、人脸信息、身份证号等诸多敏感信息应该如何删除呢?事实上,业内也已经有相关企业针对数据销毁这一场景打造了解决方案。比如北京卫达云计算公司的数据擦除SaaS管理平台——“云擦”,便能够对服务器、硬盘驱动器等各种存储设备进行数据擦除覆写,使原数据不可恢复,从而实现数据清理,解决数据生命周期最后一环——销毁环节的难题。


360称:公司类ChatGPT技术

国外存在技术代差


2月16日,360集团发布公告称,公司目前在类ChatGPT、文本生成图像等技术在内的AIGC技术上有持续性的研发及算力投入,但截至目前,所形成的全部成果均仅作为公司内部自用的生产力工具使用,公司的类 ChatGPT技术的各项指标只能达到略强于GPT-2的水平,与当前的ChatGPT相比尚有代差的落后。公司何时推出基于类 ChatGPT技术的demo版产品及其实际效果如何均存在重大不确定性。


后续公司将利用自身在中文语料数据上的优势,持续提升包括类ChatGPT、文本生成图像等技术在内的各项AIGC技术的水平,但是受到市场需求、竞争环境、科技进步等因素的影响,是否能够缩小与国外领先技术之间的差距尚存在不确定性。提醒投资者注意投资风险。


整体来看,360是目前为止比较客观承认技术代差的公司,其他大厂片面强调有类 ChatGPT技术研究的行为难脱跟风蹭热度的嫌疑,从这一点上来看360还是相对客观的。


ChatGPT开发者OpenAI

重金收购顶级域名AI.com


本周有消息称,最近在全球爆火的ChatGPT又传出了新动作。ChatGPT开发者OpenAII豪掷千金收购了顶级域名AI.com,现在点击AI.com链接已经能够直接跳转到ChatGPT。


据了解,AI.com 于 1993 年 5 月被注册,距今已有近30年的历史。这一域名在人工智能行业以极高的报价而无人染指。虽然OpenAI官方并未透露买下该域名的价格,但根据2021年时的挂牌价,该域名的售价就已经高达1100万美元(当前约7535万元人民币)。


自ChatGPT爆火后,OpenAI团队就收到了来自微软的数十亿美元投资。背靠微软,OpenAI团队豪掷千金自然底气十足。这一域名比原来的官网域名更加简单好记,而且还能够潜移默化的向用户灌输AI便等于ChatGPT的概念。不得不说,OpenAI下了一步妙棋。


当然我们还是希望OpenAI团队清醒一点,不要被陡然爆火冲昏头脑,将更多的心思放在产品上,毕竟现在的ChatGPT还处于初级阶段,错漏百出的输出结果让其遭受了不少的诟病的,显然距离我们心中的那个AI人工智能它相距甚远。


关注安全419,我们下周再见~


藏  青

安全419编辑部

喜欢深入浅出的技术解读和精彩创业故事。

推荐阅读


粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存