每隔一段时间,个人信息安全这一话题总会重回公众视线,这一次上了安全圈头条的事件是“50亿条公民信息泄露 京东前员工牵涉其中”。笔者读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量,更是对新闻所披露的细节细思极恐。
这50亿条数据涵盖交通、物流、医疗、社交、金融等各类信息,与以往黑客通过技术手段入侵服务器获取用户的信息不同,部分敏感数据是相关行业内部人员出于黑市交易等目的主动泄露的。
另外值得注意的是,这一次个人几乎不能通过改密码等方式防止自己信息被再次利用。密码可以修改、手机号可以更换、银行卡可以注销,但住房、社保、金融信息基本上会伴随一生,一次泄露就等于终生泄露。几乎所有有价值的网络账户都有黑市交易情况,更不用说这些价值周期长达几十年的身份数据。
常见账号数据获取手段及数据利用价值
拖库
拖库指黑客入侵网站,把账号、密码等用户信息相关的数据库全部盗走的行为。常见的拖库手段有SQL注入、后台扫描、xss攻击等。
从 Warden 分析系统中看到攻击者通过拼接常见的后台管理URL来寻找后台入口
洗库
是指对拖来的数据库进行数据清洗,层层剥离出有价值的部分并分别进行黑市交易的过程。
以一套手机号、密码、身份证、银行卡、邮箱数据库为例,若密码是明文存储,大致交易流程如下——
第一步:直接登录账户转走一切虚拟货币、余额等有最容易变现的部分;
第二步:可能是整理身份证和银行卡这类重要个人信息,卖给黑市中的买方;
第三步:可能是继续清洗手机号和邮箱,卖给博彩等垃圾短信重灾区的买方。
根据安全公司Keeper每年的密码分析报告,用户倾向于在不同平台使用相同密码,且最常用的密码排行榜连续几年没有太大变化,例如123456、111111、qwerty等常年蝉联排行榜前几位,说明很多用户都没有改密码和设置复杂强密码的习惯,也可能不会在支付、购物等涉及金钱的敏感网站设置单独密码。这对黑客来说是个不折不扣的好消息,拖库洗库的价值半衰期会比想象的长,2011年泄露的账号密码可能到2017年依然能被登录成功。
从2011年开始,拖库事件频频发生,绝大部分网站惮于用户信息泄露带来的恶劣影响都至少会对密码进行MD5加密或MD5加盐值加密,但对黑客来说,解密无非是一个平台选择、攻击成本高低和撞库成功比例问题,因为大部分用户在多平台都是一个密码,只要找到最易入侵和解密的平台,撞库的成功率即使很小,随着平台数量的堆积也能带来很可观的洗库撞库收入。
撞库
是指黑客用拖库、洗库获得的账号和密码在其他网站进行批量登录操作的过程。
撞库的成功率取决于有多少人在不同平台使用同一套账号密码,也取决于网站对撞库威胁的重视程度。很多网站在安全防御设计的时候仅在主站的登录接口有防撞库方案,而忽略了客户服务、供应商等用户访问量较小的入口。
笔者曾经在研究某大型第三方支付平台撞库案例时发现,其网站的在线客服登录入口连最基本的图形验证码都没有,更不用说IP访问次数限制等基础防撞库手段,最简单的curl命令就能瞬间完成高频次的撞库请求。
从warden分析系统中看到攻击者高频请求登录类页面,且每次请求登录不同账号
金融类关键个人信息的采集和利用
黑市中不仅有黑客间的数据买卖,也有大量的受害人主动提供个人信息的情况。
如今主流互联网产业也在不断加强用户信息认证,特别是在金融行业,仅有手机号和身份证号是无法完成注册的,必须提供身份证正反面照片或本人手持身份证照才能完成注册,若用户要进行消费贷款,信息审核的流程会更加严格。
由此,催生了一群信息采集者,他们能用较低的现金和礼品奖励(100元以下)获得大量真实的主动提供的手持身份证照。他们的目标大多是贪小便宜、信息安全意识薄弱的中老年人,也有部分是抱着兼职赚小钱目的提供自己和同学信息的大学生。还有种更为极端的情况,信息采集者们冒充社区工作人员或公安人员去偏远山区采集人口信息,信息获取几乎没有任何成本。
这类数据处在黑市数据价值金字塔的顶端,代办信用卡是其常见的变现途径。一张信用卡即使只能套现五千,数量堆积上去后黑产的收益极其客观,随之而来的给被泄露者带来的伤害也尤其大,个人的信用记录都会受到影响。
互金行业这两年蓬勃发展的个人贷、消费贷等业务也是地下产业数据变现的主要目标。一套手持身份证照片,配合黑市中的邮箱、密码、社交、购物、物流等各类信息,黑产中的“高级玩家”甚至可以根据互金公司的信贷审核规则,有针对性的伪造出一个信用良好的贷款申请人,骗取5万-30万不等的高额贷款。
内鬼和不安全的应用
在信息安全领域,内鬼的威胁其实要远大于黑客,内鬼的触角也不仅仅在互联网领域。注册了房地产网站后隔天就接到了商铺的推销电话、在网上购物后被短信告知订单取消需要重新下单、办信用卡后收到信贷公司的推销短信,这些生活中常见的个人信息泄露案例大部分都是内鬼所为。
很多app在安装的时候会获取大量和功能不匹配的权限,比如媒体类APP有读取手机通讯录的权限、视频类APP有获取地理位置的权限等,个人信息数据无形中被大批量收集,而每一条用户数据都是能以真实货币单位来估算价值的。
这些不正当权限获取的最真实的第一手数据能被专业的分析师制作用户画像用于精准营销,即使企业在主观上没有恶意利用数据,个体也不能保证这些隐私数据不被内鬼或黑客利用。多泄露一次隐私,隐私被利用的机会就可能呈几何倍增长。
个人与企业可以做的几件事
个人可以做的几件事
首先就是老生常谈的定期更改、设置强密码和不要点来历不明的链接,其次可以使用各类专业密码管理软件。但归根到底,一己之力终究无法对抗专业的黑客、处心积虑的诈骗和有意泄露的内鬼,信息安全的实质改善需要靠政府监管、企业重视和自律以及个体提高信息安全意识这三方面共同努力。
企业可以做的几件事
保障用户账号安全的主要责任当然在企业。除了必要的服务器安全保障和关键信息加密外,易被很多企业忽略的是控制内部工作人员的信息获取权限。
此次京东50亿数据泄露的新闻中透露该内鬼是“入职时刻不长且权限不高”的普通员工,并且“曾在国内多家闻名互联网公司工作”,如果企业内部严格控制各岗位的数据读取权限和导出权限,按照最低权限标准仅赋予角色所需的最低权限,那在很大程度上能把内鬼的威胁降到最低。
另一方面,业务安全也是防御的重点。针对服务器的漏洞攻击往往只是整个攻击链中的第一步,后续往往还会伴随着爬虫、撞库、羊毛党、盗卡盗刷等一系列业务上的攻击,其中防撞库就是在业务安全层面防止账号泄露。
撞库防御的传统思路主要是根据频率和帐号历史行为基线进行判断,除此之外还可以从用户在页面访问的行为角度出发,增加考虑用户是否在查看了登录页面内容,以及是否从合理的路径访问到登录页面进行登录,页面停留时间考虑用户是否具有异常行为特征应当进行验证。
很多企业会通过复杂验证码或强制强密码等手段把风险转嫁给用户,这些手段极大降低了网站登录的友好性,低频网站的用户可能每次登录前都要输错几次验证码或重置密码。企业若能主动承担防撞库的责任,则能在登录友好性和账户安全性之间找到最佳平衡。
