数据泄露比你想象的更“贴近”你的生活
2016年7月臭名昭著的暗网市场“真实交易”(TheRealDeal)里一位名叫 “和平”的卖家挂出了约2亿个雅虎帐户和密码进行出售,雅虎数据泄露事件就此开始发酵。一年后,雅虎官方认可共有约30亿个帐户受到2013年黑客攻击影响,而那次攻击致使泄露的数据,以后几年里一直在暗网里流传。数据库
纽约时报关于雅虎数据泄露的相关报道安全
截止目前,这还是有史以来涉及用户数量最多的数据泄露事件。网络
数据泄露,应该是为数很少普通大众都有所耳闻的网络安全概念。它被熟知的主要缘由是发生频率过高,而且数据泄露事件一旦爆出,每每影响深远。5年前的一次数据泄露,可能会在今天忽然爆发,致使用户的我的信息被公之于众。框架
01测试
数据泄露历史网站
据我查找到的信息来看,最先有记录的数据泄露事件发生在2004年。2004年互联网服务公司“美国在线(AOL)”的一名软件工程师,利用本身职务便利黑入公司内部系统,窃取了9200万个客户信息卖给了垃圾邮件服务商。当年全球互联网用户人数也仅有8亿而已,这一次人为的数据泄露覆盖量就占到了11%。加密
名为“美国在线员工因垃圾邮件被捕”的相关报道spa
在此以后,数据泄露事件开始爆发式的增加。
.net
目光回到国内,早期曝光的数据泄露事件主要从2011年末开始。2011年,有两起数据泄露事件影响了当时绝大部分的中国网民。3d
第一,天涯社区4000万用户资料泄露,泄露的数据里面包括天涯的用户名、密码、邮箱三个数据。其中大部分均可以可直接登陆到天涯社区;
第二,CSDN用户数据库泄露事件,高达600多万个明文的注册邮箱帐号和密码遭到曝光,成为中国互联网历史上一次具备深远意义的网络安全事故。
2011年数据泄露事件表-图源澎湃新闻
据统计2011年里的数据泄露事件,共累计影响了1亿用户。咱们再来看一个对比数据,根据中国互联网信息中心的报道,2011年中国网民共计5.13亿。
中国互联网信息中心报告截图
而当年的数据泄露影响了全国1/5的网民。
回到如今,2020年过去3个月,发生的数据泄露事件也很多。让我记忆最深入的是前些日子安全公司 Keepnet Labs 泄露了一个包括50亿条已泄露记录的数据库。(是否是有许多问号?安全公司也会数据泄露...)
事件通过是有专家发现一个属于安全公司 Keepnet Labs 的未受保护的数据库,其中包含超过50亿条之前泄露的数据记录网络安全事件。泄露数据包括哈希类型、泄漏年份、密码、电子邮件、电子邮件域和泄漏源。
随着互联网的快速发展,数据泄露也从互联网公司蔓延到一些传统行业。其中包括酒店、航空、快递等涉及大量用户私密信息的行业,并且涉及数据量都很是之大。2018年仅是一个华住酒店集团数据泄露事件,就涉及了5亿条客户隐私信息...
以目前的状况来看,数据泄露比你想象的更“贴近”你的生活。
02
数据泄露的方式
数据泄露多是有针对性的攻击,也可能只是人为错误、安全漏洞或缺少安全措施致使。具体有如下几种方式:
1.黑客入侵
据统计,黑客入侵是数据泄露的主要方式。
让咱们来设想一个场景:黑客入侵A网站后对网站拖库,拿到的数据能够存到本身的社工库里,能够直接洗库变现,还能够再去B网站撞库。
纯手工绘图
是否是被里面的各类库绕晕了?别慌咱们接着看。
拖库:原本是数据库领域的专用语,指从数据库中导出数据。而如今它被用来指网站遭到入侵后,黑客窃取数据库的行为。
洗库:黑客入侵网站在取得大量的用户数据以后,经过一系列的技术手段和黑色产业链将有价值的用户数据变现。
社工库:黑客将获取的各类数据库关联起来,对用户进行全方位画像。
撞库:不少人喜欢将不一样网站的密码设置为同一个,一旦你在某个网络安全能力较弱的网站密码被黑客获取,黑客就能够用该密码循环测试其余网站,这种手段就叫“撞库”。
2.内部外泄
就如出售“美国在线”数据的那位软件工程师同样,为了赚钱从内部泄露数据。也有多是因为员工安全意识不足,失误将数据外泄。
3.主动出售
一些小公司为了自身利益会主动出售本身已有的用户数据,或者与同行交换。
4.爬虫获取
API接口代码不严谨或风控不足,数据被恶意爬取或越权爬取,致使数据泄露。
03
后数据泄露时代的思考
数据不只是企业的核心财产,更是用户重要的隐私。现现在咱们经过我的的努力去减小数据泄露带来的安全风险可谓是难上加难。太多的我的隐私被存储在了互联网中,谁知道它们会不会是下一个被泄露的。
企业有义务也更有能力去保护用户隐私不被侵犯。毕竟,能力越大,责任越大。
电影《蜘蛛侠》截图
例如企业的数据收集必需要符合法律法规的要求,保证数据收集是在必定的框架和容许的范围内进行,同时对于所收集的数据以及数据的真实用途要明确告知用户。
其次企业应对数据安全风险,要从技术层面和管理层面多方着手。
一方面在技术层面作好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储,通道加密、传输行为审计,数据脱敏,数据锁等多方面工做,了解隐私数据的红线在哪里,统计网络行为模型,实时监测是否有黑客入侵偷取数据。
另外一方面,在管理层面则应该设立首席数据安全官来负责数据安全,要设立多个数据安全保护官,或者是多支团队保障数据安全。同时还要创建好攻防对抗的机制,经过攻防对抗真正的检验系统安全性,了解黑客的攻击方法和技术手段才能更好的保护企业安全。
必要时能够寻求网络安全公司帮助,增强安全建设。知道创宇但愿创造更安全的互联网,帮助企业构建安全的防御机制,远离安全威胁。
????往期好文回顾
知道创宇KCSC | 开辟安全净土
????点击阅读原文,了解咱们