2016年7月臭名昭著的暗網(wǎng)市場“真實交易”(TheRealDeal)里一位名叫 “和平”的賣家掛出了約2億個雅虎賬戶和密碼進行出售，雅虎數(shù)據(jù)泄露事件就此開始發(fā)酵。一年后，雅虎官方承認(rèn)共有約30億個賬戶受到2013年黑客攻擊影響，而那次攻擊導(dǎo)致泄露的數(shù)據(jù)，之后幾年里一直在暗網(wǎng)里流傳。

關(guān)于雅虎數(shù)據(jù)泄露的相關(guān)報道

截止目前，這仍是有史以來涉及用戶數(shù)量最多的數(shù)據(jù)泄露事件。

數(shù)據(jù)泄露，應(yīng)該是為數(shù)不多普通大眾都有所耳聞的網(wǎng)絡(luò)安全概念。它被熟知的主要原因是發(fā)生頻率太高，并且數(shù)據(jù)泄露事件一旦爆出，往往影響深遠。5年前的一次數(shù)據(jù)泄露，可能會在今天突然爆發(fā)，導(dǎo)致用戶的個人信息被公之于眾。

一、數(shù)據(jù)泄露歷史

據(jù)我查找到的信息來看，最早有記錄的數(shù)據(jù)泄露事件發(fā)生在2004年。2004年互聯(lián)網(wǎng)服務(wù)公司“美國在線(AOL)”的一名軟件工程師，利用自己職務(wù)便利黑入公司內(nèi)部系統(tǒng)，竊取了9200萬個****賣給了垃圾郵件服務(wù)商。當(dāng)年全球互聯(lián)網(wǎng)用戶人數(shù)也僅有8億而已，這一次人為的數(shù)據(jù)泄露覆蓋量就占到了11%。

名為“美國在線員工因垃圾郵件被捕”的相關(guān)報道

在此之后，數(shù)據(jù)泄露事件開始爆發(fā)式的增長。

目光回到國內(nèi)，早期曝光的數(shù)據(jù)泄露事件主要從2011年底開始。2011年，有兩起數(shù)據(jù)泄露事件影響了當(dāng)時絕大部分的中國網(wǎng)民。

• 第一，天涯社區(qū)4000萬用戶資料泄露，泄露的數(shù)據(jù)里面包括天涯的用戶名、密碼、郵箱三個數(shù)據(jù)。其中大部分都可以可直接登錄到天涯社區(qū);
• 第二，CSDN用戶數(shù)據(jù)庫泄露事件，高達600多萬個明文的注冊郵箱賬號和密碼遭到曝光，成為中國互聯(lián)網(wǎng)歷史上一次具有深遠意義的網(wǎng)絡(luò)安全事故。

2011年數(shù)據(jù)泄露事件表-圖源澎湃新聞

據(jù)統(tǒng)計2011年里的數(shù)據(jù)泄露事件，共累計影響了1億用戶。我們再來看一個對比數(shù)據(jù)，根據(jù)中國互聯(lián)網(wǎng)信息中心的報道，2011年中國網(wǎng)民共計5.13億。

中國互聯(lián)網(wǎng)信息中心報告截圖

而當(dāng)年的數(shù)據(jù)泄露影響了全國1/5的網(wǎng)民。

回到現(xiàn)在，2020年過去3個月，發(fā)生的數(shù)據(jù)泄露事件也不少。讓我記憶最深刻的是前些日子安全公司 Keepnet Labs 泄露了一個包括50億條已泄露記錄的數(shù)據(jù)庫。(是不是有許多問號?安全公司也會數(shù)據(jù)泄露…)

[[323542]]

事件經(jīng)過是有專家發(fā)現(xiàn)一個屬于安全公司 Keepnet Labs 的未受保護的數(shù)據(jù)庫，其中包含超過50億條以前泄露的數(shù)據(jù)記錄網(wǎng)絡(luò)安全事件。泄露數(shù)據(jù)包括哈希類型、泄漏年份、密碼、電子郵件、電子郵件域和泄漏源。

隨著互聯(lián)網(wǎng)的快速發(fā)展，數(shù)據(jù)泄露也從互聯(lián)網(wǎng)公司蔓延到一些傳統(tǒng)行業(yè)。其中包括酒店、航空、快遞等涉及大量用戶私密信息的行業(yè)，而且涉及數(shù)據(jù)量都非常之大。2018年僅是一個華住酒店集團數(shù)據(jù)泄露事件，就涉及了5億條客戶隱私信息…

以目前的情況來看，數(shù)據(jù)泄露比你想象的更“貼近”你的生活。

二、數(shù)據(jù)泄露的方式

數(shù)據(jù)泄露可能是有針對性的攻擊，也可能只是人為錯誤、安全漏洞或缺乏安全措施導(dǎo)致。具體有以下幾種方式：

1. 黑客入侵

據(jù)統(tǒng)計，黑客入侵是數(shù)據(jù)泄露的主要方式。

讓我們來設(shè)想一個場景：黑客入侵A網(wǎng)站后對網(wǎng)站拖庫，拿到的數(shù)據(jù)可以存到自己的社工庫里，可以直接洗庫變現(xiàn)，還可以再去B網(wǎng)站撞庫。

純手工繪圖

是不是被里面的各種庫繞暈了?別慌我們接著看。

• 拖庫：本來是數(shù)據(jù)庫領(lǐng)域的專用語，指從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)。而現(xiàn)在它被用來指網(wǎng)站遭到入侵后，黑客竊取數(shù)據(jù)庫的行為。
• 洗庫：黑客入侵網(wǎng)站在取得大量的用戶數(shù)據(jù)之后，通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價值的用戶數(shù)據(jù)變現(xiàn)。
• 社工庫：黑客將獲取的各種數(shù)據(jù)庫關(guān)聯(lián)起來，對用戶進行全方位畫像。
• 撞庫：很多人喜歡將不同網(wǎng)站的密碼設(shè)置為同一個，一旦你在某個網(wǎng)絡(luò)安全能力較弱的網(wǎng)站密碼被黑客獲取，黑客就可以用該密碼循環(huán)測試其他網(wǎng)站，這種手段就叫“撞庫”。

2. 內(nèi)部外泄

就如出售“美國在線”數(shù)據(jù)的那位軟件工程師一樣，為了賺錢從內(nèi)部泄露數(shù)據(jù)。也有可能是由于員工安全意識不足，失誤將數(shù)據(jù)外泄。

3. 主動出售

一些小公司為了自身利益會主動出售自己已有的用戶數(shù)據(jù)，或者與同行交換。

4. 爬蟲獲取

API接口代碼不嚴(yán)謹(jǐn)或風(fēng)控不足，數(shù)據(jù)被惡意爬取或越權(quán)爬取，導(dǎo)致數(shù)據(jù)泄露。

三、后數(shù)據(jù)泄露時代的思考

數(shù)據(jù)不僅是企業(yè)的核心財產(chǎn)，更是用戶重要的隱私。現(xiàn)如今我們通過個人的努力去減少數(shù)據(jù)泄露帶來的安全風(fēng)險可謂是難上加難。太多的個人隱私被存儲在了互聯(lián)網(wǎng)中，誰知道它們會不會是下一個被泄露的。

企業(yè)有義務(wù)也更有能力去保護用戶隱私不被侵犯。畢竟，能力越大，責(zé)任越大。

[[323544]]

電影《蜘蛛俠》截圖

例如企業(yè)的數(shù)據(jù)收集必須要符合法律法規(guī)的要求，保證數(shù)據(jù)收集是在一定的框架和允許的范圍內(nèi)進行，同時對于所收集的數(shù)據(jù)以及數(shù)據(jù)的真實用途要明確告知用戶。

其次企業(yè)應(yīng)對數(shù)據(jù)安全風(fēng)險，要從技術(shù)層面和管理層面多方著手。

• 一方面在技術(shù)層面做好隱私基準(zhǔn)評估、隱私數(shù)據(jù)識別、數(shù)據(jù)監(jiān)控掃描、數(shù)據(jù)加密、安全存儲，通道加密、傳輸行為審計，數(shù)據(jù)脫敏，數(shù)據(jù)鎖等多方面工作，了解隱私數(shù)據(jù)的紅線在哪里，統(tǒng)計網(wǎng)絡(luò)行為模型，實時監(jiān)測是否有黑客入侵偷取數(shù)據(jù)。
• 另一方面，在管理層面則應(yīng)該設(shè)立首席數(shù)據(jù)安全官來負(fù)責(zé)數(shù)據(jù)安全，要設(shè)立多個數(shù)據(jù)安全保護官，或者是多支團隊保障數(shù)據(jù)安全。同時還要建立好攻防對抗的機制，通過攻防對抗真正的檢驗系統(tǒng)安全性，了解黑客的攻擊方法和技術(shù)手段才能更好的保護企業(yè)安全。