华住集团疑似信息泄露事件尚未落定,又传出顺丰3亿条客户数据疑泄露的消息。接二连三的个人信息泄露事件,引发了人们对于个人隐私的担忧。
安全人员分析称,华住集团信息泄露事件原因是疑似华住程序员在GitHub上传了一个名为CMS开发项目,项目的配置文件代码里包含了华住敏感的服务器及数据库信息,由此被黑客利用。据说,其数据库设置的密码竟然是123456。

针对用户信息的内部保护,《网络安全法》第四十五条有明文规定:依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

但是,再强大的安全体系在没防护意识的管理员手中也会失去效用,再好的人工智能敌不过人工智障。
可能泄露个人信息的那些渠道
除了内部管理员泄露,还有更多的渠道会泄露用户的敏感信息。
第一,拥有大量用户的网站或App存在漏洞,一旦遭到攻击,就可能导致用户信息泄露。
第二、部分公共机构或企业的内部人员,缺乏责任意识,因为利益或其他原因,主动或无意的泄露用户数据。
第三、黑灰产搭建的钓鱼网站、仿冒应用、伪基站等,通过诱导网友登录下载直接盗取信息 。

第四、快递、酒店、客服等第三方服务,很容易成为用户信息泄露的重要渠道。此前有媒体报道,疑犯买通了考卷印刷厂的工人直接导致考研试题泄露。可见,有很多泄密的渠道是难以预料的。
第五、公共WiFi容易泄露信息已被央视多次点名;如果公司的无线网络密码简单且没有做任何防御措施,不仅容易成为信息泄露的重要渠道,网内的电脑设备更会遭受木马病毒的袭击。
第六、部分网络服务商的管理缺位。前几天媒体报道的30亿数据泄露,就是不法分子与运营商内部人员配合的内部服务器上安装了恶意程序。
我们也在主动给黑灰产贡献个人信息
除了以上外部因素外,还有很多信息是网友们主动泄露。
第一、社交网络上的分享。很多人喜欢在社交网络上晒自己或家人的照片、机票、酒店、护照、手机号、邮箱、住址等重要信息,这就给黑产收集隐私数据提供了便利。
第二、为了蝇头小利主动贡献个人信息。在某个任务平台看到一个“晒蚂蚁积分领30元”的任务:要求提供蚂蚁积分截图、账号、关联邮箱、手机号、个人大头照(正面、侧面等)等信息,然后可获得30元,下面应征任务者多达百人。同样,为了拿路边摊的几元礼品,主动留下身份证、手机号、姓名等信息也是这个道理。
第三、接收点击了陌生人发来的木马链接、病毒文件;或者,将装有重要信息的个人电脑、U盘、手机随意外借给他人。
第四、社交工具上添加了陌生人。比如,黑灰产注册了大批账号,然后批量添加好友或加入群,以骗取信任、盗取资料、定向诈骗等。
诈骗分子、盗号党、营销商家是用户信息的主要买家
出售用户信息黑客最快的变现方式之一,因为诈骗分子、盗号党、营销商家会利用用户信息进行牟利。当然,他们拿到用户泄露的信息后会首先进行“洗库”,也就是对数据进行整理分析和“撞库”。
“撞库”就是根据已拿到的账户密码尝试批量登陆其他平台、App。因为大部分人在不平台上使用了同样的账户和密码。此外,针对重要的账号,黑灰产会进行追溯分析,以便于补全信息。
黑灰产的牟利手段:
1、利用网购退单、车船退税、法院来电、高考查分、猜猜我是谁等进行电信诈骗;也会发布机票改签、银行密码修改的诈骗短信。
2、直接转走银行卡、支付账号的余额,利用拿到的实名信息申请网贷、办理信用卡等服务。
3、将账号中的余额、虚拟币、积分、装备消费或转售;还会利用网络账号薅羊毛、刷单、刷票、点赞、刷粉,或者利用短信群发支付宝优惠码牟利等。
4、利用买到的用户信息做定向推送。我们收到的商品促销短信、邮件推广、推销电话大多是这个原因。
“撞库”是黑灰产“洗库”过程中的重要一环,是平台防控的重要节点。通过顶象设备指纹和实时决策引擎,能够及时检测到针对账号的暴力破解、异常登陆、批量登陆、账号盗用等恶意行为,更能有效防范黑灰产的盗卡盗刷、信用套现、薅羊毛、刷单等威胁。
九招!最大限度防范个人信息泄露
个人信息泄露虽不能完全杜绝,但可以最大限度做好防范,以降低遭受黑灰产攻击的风险。
第一、账户密码尽量使用10位以上,最好是数字+拼音+大小写+特殊字符的组合,定期更换,并且不要把密码息告诉他人。
第二、不同平台、App注册时要使用不同的账号密码,避免“一套账号走天下”的情况。
第三、不轻信陌生的短信,也不要点击接受陌生的网站链接和文件,不要扫陌生的二维码,不登录非法网站,下载软件和应用要去官方网站或正规软件市场。
第四、安装杀毒软件,并且定期进行扫描查杀;尤其使用Windwods系统的电脑要定期打补丁。
第五、尽量不使用公共WiFi、酒店WiFi;不使用来历不明的硬盘、U盘、手机等。
第六、保管好自己的手机、身份证件和银行卡等;不要在社交网络及公共场合上发布个人及家庭照片、手机号、家庭住址、工作单位、身份证、车票、银行卡、支付账号等重要信息。
第七、不在社群中任意发布个人重要信息,不轻易把陌生人添加到自己的社群网络中。
第八、不要轻易开启App读取通讯录、照片、LBS等的权限。
第九、快递单、包裹单等标有个人重要信息的单据不要随手丢弃,要注意保管或及时销毁。
 The End ...

推荐阅读
金融安全
泉州银行携手顶象技术服务实体经济
GDPR对金融行业的影响有哪些?
助力农商行农信社更好服务“三农”
业务安全
顶象保障宝宝树母婴服务的业务安全
2018 CES上的物联网产品和方案
- - -
继续阅读
阅读原文