趣店、优步等数据泄露 大数据时代如何打好信息保卫战?

 

近日,有媒体报道,趣店百万学生信息被泄露,目前这些数据已经出现在黑市上被买卖。被泄露的信息非常全面,除学生借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。

百万学生信息,黑市叫卖价格近10万,趣店数据泄露恐是今年曝出最严重的学生信息泄露事件。学生群体社会经验较少,个人信息被不法分子掌握后,很有可能面临精准电信网络诈骗、甚至身份被盗用后恶意贷款等风险。猎网平台近期发布的《2017年Q3网络诈骗趋势研究报告》显示,受骗网民年龄段统计中,90后和00后网络诈骗受害者占比超过一半,越来越多的不法分子将学生群体作为实施诈骗的目标群体。

无独有偶,近期优步也被曝出曾发生用户和司机个人信息泄漏事件,黑客获取优步在全球5700多万用户和约700万名司机的个人信息,但优步并未向用户告知,还支付10万美元给黑客作为“赎金”。

其实,此类数据泄露事件已经不是新鲜事,今年发生的重大数据泄露事件已经不胜枚举:洲际酒店、凯悦酒店系统相继被黑,先后有1000家以上的酒店用户数据遭泄露;必胜客、麦当劳等连锁餐饮数十万用户数据被泄露;四大会计师事务所之一的德勤24.4万名员工邮箱、500万份内部邮件遭泄露;全球最大的管理咨询公司埃森哲因为服务器配置不当,导致数百GB用户敏感信息造泄露。

黑客都是如何窃取数据信息的?

拖库是最常见的黑客攻击方式之一,近期趣店与优步的数据泄露就是黑客通过“拖库”的方式来实现的。360安全专家介绍,黑客对目标网站进行扫描,查找其存在的漏洞,然后在网站服务器上建立“后门”,通过该后门获取服务器操作系统的权限,进而直接下载备份数据库,窃取用户账号密码等信息。

另外,黑客通过收集这些互联网已泄露的用户和密码信息,生成对应的字典表,用来“撞库”:由于很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,尝试批量登陆其他网站后,得到一系列可以登录的账户。除了撞库,黑客对于弱密码还会进行暴力破解,简单来说就是将密码进行逐个推算直到找出真正的密码为止。

除此之外,黑客还会在公共场所搭建一些名字与官方WiFi接近的钓鱼WiFi,一旦连上这种钓鱼WiFi,用户设备所有上传下行的数据都有可能被全部窃取。同时,还会仿冒真实网址以及页面内容,做成钓鱼网站,以此来骗取用户银行或信用卡账号、密码等私人资料。

不过,除了黑客是数据安全的头号劲敌,“内鬼”也会利用特殊身份和工作便利直接获取用户个人信息。来自快递、中介、银行等保有大量个人信息的行业中,“内鬼”是公民信息安全的严重威胁。

数据泄露事件发生后  企业该如何应对?

360安全专家指出,数据泄露事件发生时,企业应做到“坚持两个原则,完成两个流程”:坚持对用户安全负责的原则;坚持专业的事要交给专业的人做的原则,联合和信任相关安全专业团队参与安全事件处理。同时,一方面要完成内外协同的完整的事件应急处置流程,包括事件回溯和负责任的影响面评估等;另一方面要完成安全事件对外披露的义务和受影响用户可感知的安全行动。

目前,通过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道,企业应正视网络安全,定期进行渗透测试,对员工和研发人员要做好信息安全培训工作,及时对有漏洞的服务打补丁;同时做好完整可靠的数据安全措施,对密码加密存储杜绝明文密码存储,即便被攻击也能减少损失;另外还要对用户数据交互点进行防御,如注册登录点加验证码等二步验证方式,增加攻击者撞库攻击成本。

个人用户应该如何防范密码被恶意窃取?

1.避免“一个密码走天下”,在不同的地方设置不同的密码;

2.在公共场所上网时,尽量不要连接不明来源的免费WiFi;

3.提高密码安全强度,使用字母+数字+符号的强密码形式;

4.从正规的应用商店下载App,以便确保下载的App安全可靠;

5.熟记常用的网站地址,区分钓鱼网站与官网的异同;

6.使用360安全卫士、360手机卫士等安全软件拦截木马和钓鱼网站。

如今网络已进入大安全时代,网络安全已经不仅仅是网络本身的安全,还涉及到国家安全、社会安全、基础设施安全、城市安全甚至人身安全。360安全专家在此提醒广大用户,注意保护个人信息安全,谨防被黑客窃取数据,造成财产损失;广大企业也同样需要注意保护数据,为用户负责,为企业负责。

关键词: 数据 保卫战 时代