摘要:12306用戶數(shù)據(jù)大量泄露事件,導致個人信息不安全。本文分析12306事件過程,及其使用的攻擊手段:“撞庫攻擊”,并分析事件特點,提出應(yīng)對措施。
關(guān)鍵詞:12306;數(shù)據(jù)泄露;撞庫攻擊;個人信息
中圖分類號:D920.4文獻標識碼:A文章編號:1671-864X(2016)09-0065-01
一、數(shù)據(jù)泄露事件
2014年12月25日上午10:59,烏云網(wǎng)發(fā)布漏洞報告稱,大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達131653 條,包括用戶賬號、明文密碼、身份證和郵箱等多種信息,共約14M數(shù)據(jù)。這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件了,但是最大的一次。
二、數(shù)據(jù)泄露分析
(一)數(shù)據(jù)盜取方式:撞庫攻擊。
是以技術(shù)含量最高、最為隱蔽的職業(yè)黑客為主,他們通過攻擊系統(tǒng)安全漏洞,編寫木馬實施入侵,獲取數(shù)據(jù),這一過程可分為3個階段:拖庫、洗庫和撞庫。拖庫也被稱為“脫庫”,是黑色產(chǎn)業(yè)的一個術(shù)語,黑客利用漏洞入侵有價值的網(wǎng)站,盜走目標數(shù)據(jù)庫。2014年5月,小米官方論壇800萬用戶的賬戶信息被拖庫。拖庫成功后,黑客接著會進行洗庫工作,即利用技術(shù)手段清洗、篩選數(shù)據(jù)資料,提煉出有價值的用戶數(shù)據(jù),以便將來用于變現(xiàn)。通過拖庫、洗庫得到用戶數(shù)據(jù)資料后,一些黑客拿著這些用戶數(shù)據(jù)在其他網(wǎng)站嘗試登錄,稱為撞庫。因為不少人習慣于在不同的網(wǎng)站使用相同或相似的用戶賬號和密碼進行注冊,這就為用“撞庫”的方式獲得更多的數(shù)據(jù)提供了可能。
(一)第三方數(shù)據(jù)泄露問題。
第三方數(shù)據(jù)泄露是指在一些企業(yè)中,某些系統(tǒng)軟件平臺的開發(fā)、運行、維護等多項工作常常外包給第三方完成,或者與多個第三方合作完成,由于第三方數(shù)據(jù)管理不當和系統(tǒng)漏洞而造成的數(shù)據(jù)泄露。第三方數(shù)據(jù)泄露也分為有意識和無意識地的泄露,有意識泄露,即指第三方運營人員以營利為目的,從數(shù)據(jù)庫中竊取大量客戶信息進行倒賣,如某技術(shù)公司承擔著為陜西某電信企業(yè)提供手機資費計算系統(tǒng)軟件平臺開發(fā)、維護等工作,其中某員工倒賣用戶信息謀取利益。大數(shù)據(jù)時代,使得越來越多的企業(yè)委托第三方進行數(shù)據(jù)存儲和管理,數(shù)據(jù)共享也日益成為企業(yè)之間合作的主要內(nèi)容之一,因而導致接觸企業(yè)數(shù)據(jù)的人員增加,數(shù)據(jù)泄露風險無形增大。2008 年Verizon 數(shù)據(jù)泄露調(diào)查報告中指出,39% 的泄露涉及受害者的合作伙伴,30%涉及多方合作。
(三)電商數(shù)據(jù)泄露將成為新的泄露重點。
2012 年 11 月 1 號店客戶信息遭其員工泄露、美第二大團購網(wǎng)站遭黑客攻擊5 000萬用戶信息或泄露等等,除此之外,電商網(wǎng)站賬戶泄露或盜號的事情更是頻繁出現(xiàn)。近兩年內(nèi)包括京東、1 號店、蘇寧和支付寶等在內(nèi)的電商集團,以及美電商巨頭 Ebay 都曾出現(xiàn)過客戶數(shù)據(jù)泄露事件。電商數(shù)據(jù)真正體現(xiàn)了大數(shù)據(jù)的多樣化,不僅涉及個人信息、消費記錄、購買周期等文本信息,還涉及瀏覽記錄、興趣偏好、點擊量等多媒體信息。
(四)數(shù)據(jù)泄露重復發(fā)生。
在這些數(shù)據(jù)泄露案件中,數(shù)據(jù)的反復泄露值得重視。索尼公司泄露高達三次,第三次黑客攻擊損失或超 10 億美元,谷歌、當當網(wǎng)、塔吉特等公司的數(shù)據(jù)也曾重復泄露。
三、應(yīng)對措施
(一)應(yīng)對撞庫攻擊。
在口令設(shè)置上要允許一般站點重復使用弱口令。在這些非重要站點上避免浪費過多的精力,才能保證更好地記住那些復雜獨特的口令并運用在重要的賬戶設(shè)置上。同時,應(yīng)當注意避免在重要站點上重復使用弱口令。比如,涉及用戶錢財?shù)木W(wǎng)上銀行賬戶、支付寶賬戶,關(guān)系個人切身利益的購票網(wǎng)站、郵箱賬號等,必須獨立設(shè)置復雜獨特的口令。如此,才能有效防范黑客的“撞庫攻擊”。
(二)應(yīng)對第三方泄露。
此次12306個人信息泄露事件就屬于第三方數(shù)據(jù)泄露問題。對于此類數(shù)據(jù)泄露,第三方組織能否像數(shù)據(jù)所有方一樣重視數(shù)據(jù),規(guī)范管理,保證數(shù)據(jù)安全至關(guān)重要。如果不能,最基礎(chǔ)的應(yīng)做到權(quán)責明晰,與各第三方簽署協(xié)議,加強評估與管理,本著誰泄露誰負責的原則,劃清責任范圍,減少數(shù)據(jù)泄露風險,降低損失。
(三)應(yīng)對電商數(shù)據(jù)泄露。
在技術(shù)方面,加強自身技術(shù)防護,如加強加密防護與權(quán)限防護,加密技術(shù)能夠降低信息被非法獲取并訪問的風險,適用于保護個體文件或整個存儲介質(zhì)。加強安全基礎(chǔ)設(shè)施建設(shè),部署包括數(shù)據(jù)泄露防護、網(wǎng)絡(luò)安全、端點安全、加密、驗證和信譽技術(shù)在內(nèi)的安全防御系統(tǒng),并實時監(jiān)測與定點記錄。這樣既可以主動防御黑客入侵,又可以及時發(fā)現(xiàn)自身安全漏洞。
(四)應(yīng)對數(shù)據(jù)重復泄露。
數(shù)據(jù)重復泄露體現(xiàn)對數(shù)據(jù)管理上的不足。因此,應(yīng)將數(shù)據(jù)防護納入常態(tài)化的管理,7×24 小時數(shù)據(jù)監(jiān)測、快速反應(yīng)的應(yīng)急預案以及其他管理措施都是必不可少的。
四、總結(jié)
大數(shù)據(jù)時代,網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)的個人信息、評論、圖片、興趣愛好、交易信息、訪問網(wǎng)站等等均被企業(yè)記錄在案。加上功能強大的數(shù)據(jù)挖掘技術(shù),使得信息之間相互關(guān)聯(lián),數(shù)據(jù)一經(jīng)泄露,個人信息安全面臨極大的威脅。這不僅使個人隱私得不到應(yīng)有的保護,而且人身安全、財產(chǎn)安全也會受到威脅。對于個人而言,輕則經(jīng)常受到垃圾短信、電話、推送郵件的騷擾,重則導致詐騙案件、個人名譽受損、存款流失等事件的發(fā)生。數(shù)據(jù)泄露與每個人的切身利益息息相關(guān),影響著個人的生活與社會的穩(wěn)定。在這個新媒體、大數(shù)據(jù)快速傳播的時代,我們每個人都會在互聯(lián)網(wǎng)上顯山露水,我們的個人信息也都會主動或被動地出現(xiàn)在互聯(lián)網(wǎng)上。因此,保護好個人信息,是一個重大的時代命題,亟需引起各級政府的高度重視,并身體力行實踐之。
參考文獻:
[1]董楊慧:大數(shù)據(jù)視野下的數(shù)據(jù)泄露與安全管理——基于90 個數(shù)據(jù)泄露事件的分析。情報雜志。第33卷第11期。154-158
[2]侯林:互聯(lián)網(wǎng)數(shù)據(jù)泄露背后的黑色產(chǎn)業(yè)鏈及發(fā)展趨勢分析。無限互聯(lián)科技。第20期。35-37
[3]傅國:也談口令設(shè)置那點事兒。信息安全。2015年第1期。50
[4]閆利平:亟需被保護的個人信息。人民公仆。學會與媒體打交道。2015年5月號。65-69
[5]熊璐:從12306網(wǎng)站用戶數(shù)據(jù)泄露看大數(shù)據(jù)時代的數(shù)據(jù)風險??萍寂c創(chuàng)新。2016年第2期。29
[6]楊力:12306網(wǎng)站信息泄露事件的法律對策探討。信息安全與通信保密。2015.01.46
作者簡介:王瑩(1994.03-),漢族,女,吉林人,工作單位:國際關(guān)系學院。