个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

简介: 本文讲的是个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客,每隔一段时间,个人信息安全这一话题总会重回公众视线,这一次上了安全圈头条的事件是“50亿条公民信息泄露 京东前员工牵涉其中”。笔者读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量,更是对新闻所披露的细节细思极恐。
本文讲的是 个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

每隔一段时间,个人信息安全这一话题总会重回公众视线,这一次上了安全圈头条的事件是“50亿条公民信息泄露 京东前员工牵涉其中”。笔者读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量,更是对新闻所披露的细节细思极恐。

这50亿条数据涵盖交通、物流、医疗、社交、金融等各类信息,与以往黑客通过技术手段入侵服务器获取用户的信息不同,部分敏感数据是相关行业内部人员出于黑市交易等目的主动泄露的。

另外值得注意的是,这一次个人几乎不能通过改密码等方式防止自己信息被再次利用。密码可以修改、手机号可以更换、银行卡可以注销,但住房、社保、金融信息基本上会伴随一生,一次泄露就等于终生泄露。几乎所有有价值的网络账户都有黑市交易情况,更不用说这些价值周期长达几十年的身份数据。

常见账号数据获取手段及数据利用价值

拖库

拖库指黑客入侵网站,把账号、密码等用户信息相关的数据库全部盗走的行为。常见的拖库手段有SQL注入、后台扫描、xss攻击等。

个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

从 Warden 分析系统中看到攻击者通过拼接常见的后台管理URL来寻找后台入口 

洗库

是指对拖来的数据库进行数据清洗,层层剥离出有价值的部分并分别进行黑市交易的过程。

以一套手机号、密码、身份证、银行卡、邮箱数据库为例,若密码是明文存储,大致交易流程如下——

第一步:直接登录账户转走一切虚拟货币、余额等有最容易变现的部分;

第二步:可能是整理身份证和银行卡这类重要个人信息,卖给黑市中的买方;

第三步:可能是继续清洗手机号和邮箱,卖给博彩等垃圾短信重灾区的买方。

根据安全公司Keeper每年的密码分析报告,用户倾向于在不同平台使用相同密码,且最常用的密码排行榜连续几年没有太大变化,例如123456、111111、qwerty等常年蝉联排行榜前几位,说明很多用户都没有改密码和设置复杂强密码的习惯,也可能不会在支付、购物等涉及金钱的敏感网站设置单独密码。这对黑客来说是个不折不扣的好消息,拖库洗库的价值半衰期会比想象的长,2011年泄露的账号密码可能到2017年依然能被登录成功。

从2011年开始,拖库事件频频发生,绝大部分网站惮于用户信息泄露带来的恶劣影响都至少会对密码进行MD5加密或MD5加盐值加密,但对黑客来说,解密无非是一个平台选择、攻击成本高低和撞库成功比例问题,因为大部分用户在多平台都是一个密码,只要找到最易入侵和解密的平台,撞库的成功率即使很小,随着平台数量的堆积也能带来很可观的洗库撞库收入。

撞库

是指黑客用拖库、洗库获得的账号和密码在其他网站进行批量登录操作的过程。

撞库的成功率取决于有多少人在不同平台使用同一套账号密码,也取决于网站对撞库威胁的重视程度。很多网站在安全防御设计的时候仅在主站的登录接口有防撞库方案,而忽略了客户服务、供应商等用户访问量较小的入口。

笔者曾经在研究某大型第三方支付平台撞库案例时发现,其网站的在线客服登录入口连最基本的图形验证码都没有,更不用说IP访问次数限制等基础防撞库手段,最简单的curl命令就能瞬间完成高频次的撞库请求。

个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

从warden分析系统中看到攻击者高频请求登录类页面,且每次请求登录不同账号

金融类关键个人信息的采集和利用

黑市中不仅有黑客间的数据买卖,也有大量的受害人主动提供个人信息的情况。

如今主流互联网产业也在不断加强用户信息认证,特别是在金融行业,仅有手机号和身份证号是无法完成注册的,必须提供身份证正反面照片或本人手持身份证照才能完成注册,若用户要进行消费贷款,信息审核的流程会更加严格。

个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

由此,催生了一群信息采集者,他们能用较低的现金和礼品奖励(100元以下)获得大量真实的主动提供的手持身份证照。他们的目标大多是贪小便宜、信息安全意识薄弱的中老年人,也有部分是抱着兼职赚小钱目的提供自己和同学信息的大学生。还有种更为极端的情况,信息采集者们冒充社区工作人员或公安人员去偏远山区采集人口信息,信息获取几乎没有任何成本。

这类数据处在黑市数据价值金字塔的顶端,代办信用卡是其常见的变现途径。一张信用卡即使只能套现五千,数量堆积上去后黑产的收益极其客观,随之而来的给被泄露者带来的伤害也尤其大,个人的信用记录都会受到影响。

互金行业这两年蓬勃发展的个人贷、消费贷等业务也是地下产业数据变现的主要目标。一套手持身份证照片,配合黑市中的邮箱、密码、社交、购物、物流等各类信息,黑产中的“高级玩家”甚至可以根据互金公司的信贷审核规则,有针对性的伪造出一个信用良好的贷款申请人,骗取5万-30万不等的高额贷款。

内鬼和不安全的应用

在信息安全领域,内鬼的威胁其实要远大于黑客,内鬼的触角也不仅仅在互联网领域。注册了房地产网站后隔天就接到了商铺的推销电话、在网上购物后被短信告知订单取消需要重新下单、办信用卡后收到信贷公司的推销短信,这些生活中常见的个人信息泄露案例大部分都是内鬼所为。

个人信息安全保障冷冽现实:内鬼的威胁要远大于黑客

很多app在安装的时候会获取大量和功能不匹配的权限,比如媒体类APP有读取手机通讯录的权限、视频类APP有获取地理位置的权限等,个人信息数据无形中被大批量收集,而每一条用户数据都是能以真实货币单位来估算价值的。

这些不正当权限获取的最真实的第一手数据能被专业的分析师制作用户画像用于精准营销,即使企业在主观上没有恶意利用数据,个体也不能保证这些隐私数据不被内鬼或黑客利用。多泄露一次隐私,隐私被利用的机会就可能呈几何倍增长。

个人与企业可以做的几件事

个人可以做的几件事

首先就是老生常谈的定期更改、设置强密码和不要点来历不明的链接,其次可以使用各类专业密码管理软件。但归根到底,一己之力终究无法对抗专业的黑客、处心积虑的诈骗和有意泄露的内鬼,信息安全的实质改善需要靠政府监管、企业重视和自律以及个体提高信息安全意识这三方面共同努力。

企业可以做的几件事

保障用户账号安全的主要责任当然在企业。除了必要的服务器安全保障和关键信息加密外,易被很多企业忽略的是控制内部工作人员的信息获取权限。

此次京东50亿数据泄露的新闻中透露该内鬼是“入职时刻不长且权限不高”的普通员工,并且“曾在国内多家闻名互联网公司工作”,如果企业内部严格控制各岗位的数据读取权限和导出权限,按照最低权限标准仅赋予角色所需的最低权限,那在很大程度上能把内鬼的威胁降到最低。

另一方面,业务安全也是防御的重点。针对服务器的漏洞攻击往往只是整个攻击链中的第一步,后续往往还会伴随着爬虫、撞库、羊毛党、盗卡盗刷等一系列业务上的攻击,其中防撞库就是在业务安全层面防止账号泄露。

撞库防御的传统思路主要是根据频率和帐号历史行为基线进行判断,除此之外还可以从用户在页面访问的行为角度出发,增加考虑用户是否在查看了登录页面内容,以及是否从合理的路径访问到登录页面进行登录,页面停留时间考虑用户是否具有异常行为特征应当进行验证。

很多企业会通过复杂验证码或强制强密码等手段把风险转嫁给用户,这些手段极大降低了网站登录的友好性,低频网站的用户可能每次登录前都要输错几次验证码或重置密码。企业若能主动承担防撞库的责任,则能在登录友好性和账户安全性之间找到最佳平衡。




原文发布时间为:2017年5月2日
本文作者:岂安科技
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
4月前
|
存储 SQL 安全
网络安全的盾牌与矛:漏洞、加密与防御意识
【8月更文挑战第30天】在数字时代的浪潮中,网络安全成了保护数据和隐私的坚固盾牌。然而,这面盾牌并非无懈可击,网络攻击者不断寻找漏洞作为他们的矛。本文将探讨网络安全中的常见漏洞,介绍加密技术如何成为防线上的尖兵,并强调培养安全意识的重要性。我们将通过深入浅出的方式,让读者理解网络安全的基本概念,学会如何保护自己免受网络威胁。
|
4月前
|
安全 网络安全 数据安全/隐私保护
网络安全的护城河:漏洞、加密与意识的三重门
【8月更文挑战第27天】在数字世界的棋盘上,网络安全是一枚不可或缺的棋子。本文将通过浅显的语言和生动的比喻,带领读者走进网络安全的世界,探索那些隐藏在网络深处的漏洞,解析加密技术的神秘面纱,并强调安全意识的重要性。正如甘地所言:“你必须成为你希望在世界上看到的改变。”让我们一起成为网络安全的守护者,构建起一道坚不可摧的护城河。
|
2月前
|
安全 网络安全 API
网络安全的护城河:漏洞、加密与意识
【10月更文挑战第5天】在数字时代的海洋中,网络安全犹如一座坚固的护城河,保护着信息资产的安全。本文将深入探讨网络安全的三大支柱:网络漏洞的识别与防御、加密技术的应用及其重要性,以及培养安全意识的必要性。通过深入浅出的分析,我们将揭示如何构建一个更加安全的数字环境,让每个人都能成为网络安全的守护者。
|
4月前
|
SQL 安全 算法
网络安全的盾牌与矛:漏洞防御与加密技术的较量
【8月更文挑战第26天】在数字世界的棋盘上,网络安全是永恒的战场。本文将带领读者穿梭于网络的丛林,揭示隐藏在暗处的陷阱——安全漏洞,并探讨如何通过加密技术铸造坚不可摧的盾牌。从基础概念到实战策略,我们将一探究竟,如何在信息的海洋中航行而不触礁沉船。
|
5月前
|
存储 安全 算法
网络安全的盾牌:漏洞、加密与意识的三位一体
【7月更文挑战第26天】在数字时代的浪潮中,网络安全成为维护信息完整性和私密性的关键防线。本文将深入探讨网络安全的三大支柱:网络漏洞、加密技术以及安全意识。我们将分析这些支柱如何相互支撑,共同构建起防御体系,并讨论它们在现代网络环境中面临的挑战及解决方案。
39 2
|
5月前
|
安全 网络安全 数据安全/隐私保护
网络安全的盾牌与利剑:漏洞防护与加密技术的较量
【7月更文挑战第21天】在数字世界的棋盘上,网络安全是一场持续的攻防战。本文将探讨网络安全中的关键要素——漏洞管理和加密技术,并分析它们如何成为保护信息安全的盾牌与利剑。通过深入剖析最新的网络攻击案例和防御策略,揭示安全意识的重要性以及如何通过教育和培训来提升个人和组织的安全防御能力。文章旨在为读者提供一套实用的网络安全知识框架,以便更好地理解、应对和预防网络威胁。
45 1
|
4月前
|
SQL 安全 网络安全
网络安全之盾:揭秘漏洞、加密与意识的防线
在数字世界的海洋中航行,网络安全是我们最坚固的盾牌。本文将带你探索网络漏洞的秘密花园,解码加密技术的神秘力量,并点亮安全意识的灯塔,指引你在信息风暴中稳健前行。从基础概念到实战应用,我们将一步步揭开网络安全的面纱,让你成为自己数据安全的守护者。
32 0
|
6月前
|
监控 安全 网络安全
网络安全的守护者:漏洞、加密与安全意识的三位一体
【6月更文挑战第23天】在数字化浪潮中,网络安全成为维护信息完整性、保密性和可用性的关键。本文将探讨网络安全的核心要素——漏洞管理、加密技术和用户安全意识。我们将深入分析漏洞的概念、类型及其影响,并讨论如何通过有效的管理和响应策略来减少潜在风险。同时,本文也将介绍加密技术的重要性,包括常见的加密算法和协议,以及它们如何保护数据免受未授权访问。最后,我们将强调培养良好的安全意识对于防范社会工程学攻击和提升整体网络安全水平的重要性。通过这三个方面的综合分析,旨在为读者提供全面的网络安全知识分享,强化个人和组织在数字时代的防御能力。
36 3
|
5月前
|
监控 安全 网络安全
网络安全的盾牌与矛:探索漏洞防御与加密技术的较量
在数字世界的不断扩张中,网络安全成为了守护信息资产的重要战线。本文将深入探讨网络安全的两个关键方面:安全漏洞及其防御机制和加密技术的应用与发展。通过分析近期的安全事件、统计数据和案例研究,我们旨在揭示网络攻防之间的复杂关系,并提供实用的安全意识提升策略。文章不仅着眼于技术层面的解决方案,还强调了人为因素在安全防护中的重要性,旨在为读者提供全面的网络安全知识框架。
|
5月前
|
SQL 安全 算法
网络安全的盾牌与利剑:漏洞管理、加密技术与安全意识
在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私和企业资产的核心防线。本文将深入探讨网络安全漏洞的本质、加密技术的演变以及培养安全意识的重要性,旨在为读者提供一套全面的网络安全知识体系。我们将从网络漏洞的发现与防御机制出发,解析加密技术如何保护数据免受威胁,并强调安全意识在防范网络攻击中的关键作用。通过案例分析和最新统计数据,本文揭示网络安全领域的挑战与机遇,并为不同群体提出定制化的安全策略建议。
39 0