华夏晚报  >   科技  >  正文

5亿条隐私标价8个比特币 网络安全的责任谁来担?

评论

  又一次疑似大规模的隐私数据泄露,一旦成真,很可能会是史上最严重的,没有之一。你可能不知道华住,但是汉庭、桔子、美爵、宜必思,这些酒店名字应该听说过,甚至很可能曾经入住。

  问题来了,五亿条的个人隐私数据里,有没有你我的名字呢?

  数亿人变“透明人”

  疑似被泄露的五亿条数据,究竟包括哪些内容?从网上的截图和一些媒体的报道看,大概是这些:

1.png

  看清楚了吗?从姓名、身份证号、家庭住址到手机号、邮箱、开房记录,一应俱全,如果不幸曾经住过这些酒店,对不起,在黑客那里,你已经是个透明人,近乎“裸奔”。

  而所有这些,在暗网上有一个打包价——8个比特币,或者说37万人民币。

  隐私如何泄露 密码竟是“123456”

  面对质疑,华住集团发表澄清声明,展开内部调查,并第一时间报警。上海长宁警方也发布消息,正对此事展开调查。

  然而,这样的情景似曾相识。每次出现大规模信息泄露事件,涉事单位发个公告,然后报警,被“卖”了的个人只能眼睁睁看着这一切发生,无计可施。

  信息泄露已成互联网时代的一大顽疾。补天漏洞响应平台数据显示:2015年以来,每年因为网站安全漏洞可能导致的个人信息泄露规模都在50亿-60亿条的规模。海量的个人信息数据在地下黑市进行交易,并由此引发网络诈骗、敲诈勒索等大量犯罪行为。

  

2.png

  那么,这次数据泄露的原因是什么?内鬼作乱还是外部黑客入侵?

  几位网络专家分析说,如果数据泄露属实,从目前的信息来看,此次泄露事件可能并非黑客技术高超,蓄意攻击,而是内部保护措施不到位。疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。

  而代码本身,也暴露出了很多问题:首先,公司的代码被大规模地上传到 Github,本身就应该有报警措施;其次,为了安全起见,数据库一般来说应该只限内部IP访问,但华住的数据库IP是允许外网访问的;而最夸张的是,数据库的用户名是“root”、密码是“123456”……

  安全从0开始

  尽管这一说法目前还没有得到警方证实,但如果事情果真如此,其暴露出来的问题比较严重。

  首先是对外部资源的过分信任。

  免费的Github虽然是一个方便公共资源,其安全可信性是非常有限的。大型互联网企业一般都不允许员工将代码以任何形式上传Github。

  第二是对员工的过分信任。

  如果一个程序员就能独立掌握或访问如此海量的敏感信息,那么即便没有外部威胁,这种情况本身对企业也是一个巨大的威胁——怎么能够把企业的信息安全建立在一个员工个人的忠诚之上呢?

  2018年以来,安全圈特别火的一个概念叫做“0信任”,意思是说:在网络安全建设中,首先就应当假设一切都是不可信的,之后再通过各种认证技术、权限管理、大数据监控等方法,有效地控制风险,安全从0开始。

  “信息泄漏的时代,谁不是裸奔?”

  移动互联时代,所有和智能手机连接的公司,某种程度上都是大数据公司。展望未来,随着物联网的发展,万物互联时代的到来,隐私数据泄露的后果更是不堪设想。个人的信息犹如宝藏,但很多时候,守卫这个宝藏的,只是一个不上锁的木门。

  “急什么,你的信息早上不被卖,晚上也会被卖。”,“信息泄漏的时代,谁不是裸奔?”网友无奈的调侃,也折射出大数据洪流下,个人隐私被严重泄漏、盗用的现实。

  对不法商贩来说,这些个人隐私信息流入黑色产业链,会不断被开发、重组,到最后受到伤害的房客,可能根本就不知道自己何时被卖,也不知道被谁出卖。

  信息泄露问题日益严重,原因有以下两个方面:

  一是网络诈骗、网络黑产的泛滥,使得个人信息的变现越来越容易,相关犯罪活动也就越来越频繁。

  二是很多大型政企机构、互联网企业的网络安全基础建设还比较薄弱,有些网站对于黑客来说就是一扇敞开的大门。

  对于如何保护网络大数据的安全,360行业安全研究中心主任裴智勇认为:

  首先,应当做好基本的安全防护措施,如防病毒、防渗透、数据权限管控、数据存储加密等等。

  第二,应当重视安全漏洞的检测与管理,一旦接到监管机构或第三方的漏洞通报,要在第一时间进行修复,以免漏洞被恶意利用。

  第三,应当学会和掌握用大数据来保护大数据安全的技术方法。这样当意外风险发生之时,才能做到及时发现,及时响应,减少损失。

  第四,一旦数据泄露事件已经发生,应积极响应,并告知可能的受害用户,以免用户个人信息被用于诈骗、勒索等犯罪活动。

  专家分析说,很多大型企业,在自己的业务领域都很专业,但如何管理用户信息,对他们是个新课题。移动互联网时代,收集用户信息很方便,但如何妥善使用和确保安全,对企业来说,是理所当然的义务,更是一份沉甸甸的责任。培养员工互联网安全意识,加大安全领域硬件和软件的方面的投入,已经刻不容缓。

  也有学者建议,目前,国内对涉嫌泄露用户信息的惩罚力度还不够大,有待加强。一旦有企业涉嫌泄露用户信息,应对其重罚。这样,也能促使企业提高安全防范意识,加大必要的投入。


责编:hxq 


注:凡注明来源非本站的作品,均转载自其它媒体,并不代表本网赞同其观点和对其真实性负责。

华夏晚报致力于资讯传播,希望建立合作关系。若有任何不当请联系我们,将会在24小时内删除。

联系我们|hdaily.cn All Right Reserve 版权所有 桂ICP备15001805号

版权为华夏晚报所有 未经同意不得复制或镜像