信息化觀察網(wǎng)

近年來，“數(shù)據(jù)泄露”事件頻發(fā)，生活在這個(gè)大數(shù)據(jù)時(shí)代，你的任何信息都有可能被不法之人利用，進(jìn)行交易售賣，以至于讓你防不勝防。前一段時(shí)間的趣店百萬學(xué)生信息泄露事件，相信大家都有所耳聞，百萬學(xué)生信息，黑市叫賣價(jià)格近10萬，這是真印證了那句話：“數(shù)據(jù)就是資源，就是金錢，”但是這種交易確實(shí)不合法的。

近日，有媒體報(bào)道，趣店百萬學(xué)生信息被泄露，目前這些數(shù)據(jù)已經(jīng)出現(xiàn)在黑市上被買賣。被泄露的信息非常全面，除學(xué)生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包括學(xué)生父母電話、男女朋友電話、學(xué)信網(wǎng)賬號(hào)密碼等隱私信息。

百萬學(xué)生信息，黑市叫賣價(jià)格近10萬，趣店數(shù)據(jù)泄露恐是今年曝出最嚴(yán)重的學(xué)生信息泄露事件。學(xué)生群體社會(huì)經(jīng)驗(yàn)較少，個(gè)人信息被不法分子掌握后，很有可能面臨精準(zhǔn)電信網(wǎng)絡(luò)詐騙、甚至身份被盜用后惡意貸款等風(fēng)險(xiǎn)。獵網(wǎng)平臺(tái)近期發(fā)布的《2017年Q3網(wǎng)絡(luò)詐騙趨勢研究報(bào)告》顯示，受騙網(wǎng)民年齡段統(tǒng)計(jì)中，90后和00后網(wǎng)絡(luò)詐騙受害者占比超過一半，越來越多的不法分子將學(xué)生群體作為實(shí)施詐騙的目標(biāo)群體。

無獨(dú)有偶，近期優(yōu)步也被曝出曾發(fā)生用戶和司機(jī)個(gè)人信息泄漏事件，黑客獲取優(yōu)步在全球5700多萬用戶和約700萬名司機(jī)的個(gè)人信息，但優(yōu)步并未向用戶告知，還支付10萬美元給黑客作為“贖金”。

其實(shí)，此類數(shù)據(jù)泄露事件已經(jīng)不是新鮮事，今年發(fā)生的重大數(shù)據(jù)泄露事件已經(jīng)不勝枚舉：洲際酒店、凱悅酒店系統(tǒng)相繼被黑，先后有1000家以上的酒店用戶數(shù)據(jù)遭泄露；必勝客、麥當(dāng)勞等連鎖餐飲數(shù)十萬用戶數(shù)據(jù)被泄露；四大會(huì)計(jì)師事務(wù)所之一的德勤24.4萬名員工郵箱、500萬份內(nèi)部郵件遭泄露；全球最大的管理咨詢公司埃森哲因?yàn)榉?wù)器配置不當(dāng)，導(dǎo)致數(shù)百GB用戶敏感信息造泄露。

黑客都是如何竊取數(shù)據(jù)信息的？

拖庫是最常見的黑客攻擊方式之一，近期趣店與優(yōu)步的數(shù)據(jù)泄露就是黑客通過“拖庫”的方式來實(shí)現(xiàn)的。360安全專家介紹，黑客對目標(biāo)網(wǎng)站進(jìn)行掃描，查找其存在的漏洞，然后在網(wǎng)站服務(wù)器上建立“后門”，通過該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限，進(jìn)而直接下載備份數(shù)據(jù)庫，竊取用戶賬號(hào)密碼等信息。

另外，黑客通過收集這些互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，用來“撞庫”：由于很多用戶在不同網(wǎng)站使用的是相同的帳號(hào)密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的賬戶。除了撞庫，黑客對于弱密碼還會(huì)進(jìn)行暴力破解，簡單來說就是將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。

除此之外，黑客還會(huì)在公共場所搭建一些名字與官方WiFi接近的釣魚WiFi，一旦連上這種釣魚WiFi，用戶設(shè)備所有上傳下行的數(shù)據(jù)都有可能被全部竊取。同時(shí)，還會(huì)仿冒真實(shí)網(wǎng)址以及頁面內(nèi)容，做成釣魚網(wǎng)站，以此來騙取用戶銀行或信用卡賬號(hào)、密碼等私人資料。

不過，除了黑客是數(shù)據(jù)安全的頭號(hào)勁敵，“內(nèi)鬼”也會(huì)利用特殊身份和工作便利直接獲取用戶個(gè)人信息。來自快遞、中介、銀行等保有大量個(gè)人信息的行業(yè)中，“內(nèi)鬼”是公民信息安全的嚴(yán)重威脅。

數(shù)據(jù)泄露事件發(fā)生后  企業(yè)該如何應(yīng)對？

360安全專家指出，數(shù)據(jù)泄露事件發(fā)生時(shí)，企業(yè)應(yīng)做到“堅(jiān)持兩個(gè)原則，完成兩個(gè)流程”：堅(jiān)持對用戶安全負(fù)責(zé)的原則；堅(jiān)持專業(yè)的事要交給專業(yè)的人做的原則，聯(lián)合和信任相關(guān)安全專業(yè)團(tuán)隊(duì)參與安全事件處理。同時(shí)，一方面要完成內(nèi)外協(xié)同的完整的事件應(yīng)急處置流程，包括事件回溯和負(fù)責(zé)任的影響面評估等；另一方面要完成安全事件對外披露的義務(wù)和受影響用戶可感知的安全行動(dòng)。

目前，通過網(wǎng)站漏洞攻擊服務(wù)提供商拖庫依舊是主要的泄露渠道，企業(yè)應(yīng)正視網(wǎng)絡(luò)安全，定期進(jìn)行滲透測試，對員工和研發(fā)人員要做好信息安全培訓(xùn)工作，及時(shí)對有漏洞的服務(wù)打補(bǔ)丁；同時(shí)做好完整可靠的數(shù)據(jù)安全措施，對密碼加密存儲(chǔ)杜絕明文密碼存儲(chǔ)，即便被攻擊也能減少損失；另外還要對用戶數(shù)據(jù)交互點(diǎn)進(jìn)行防御，如注冊登錄點(diǎn)加驗(yàn)證碼等二步驗(yàn)證方式，增加攻擊者撞庫攻擊成本。

個(gè)人用戶應(yīng)該如何防范密碼被惡意竊??？

1.避免“一個(gè)密碼走天下”，在不同的地方設(shè)置不同的密碼；

2.在公共場所上網(wǎng)時(shí)，盡量不要連接不明來源的免費(fèi)WiFi；

3.提高密碼安全強(qiáng)度，使用字母+數(shù)字+符號(hào)的強(qiáng)密碼形式；

4.從正規(guī)的應(yīng)用商店下載App，以便確保下載的App安全可靠；

5.熟記常用的網(wǎng)站地址，區(qū)分釣魚網(wǎng)站與官網(wǎng)的異同；

6.使用360安全衛(wèi)士、360手機(jī)衛(wèi)士等安全軟件攔截木馬和釣魚網(wǎng)站。

如今網(wǎng)絡(luò)已進(jìn)入大安全時(shí)代，網(wǎng)絡(luò)安全已經(jīng)不僅僅是網(wǎng)絡(luò)本身的安全，還涉及到國家安全、社會(huì)安全、基礎(chǔ)設(shè)施安全、城市安全甚至人身安全。360安全專家在此提醒廣大用戶，注意保護(hù)個(gè)人信息安全，謹(jǐn)防被黑客竊取數(shù)據(jù)，造成財(cái)產(chǎn)損失；廣大企業(yè)也同樣需要注意保護(hù)數(shù)據(jù)，為用戶負(fù)責(zé)，為企業(yè)負(fù)責(zé)。

（原標(biāo)題：趣店、優(yōu)步等數(shù)據(jù)泄露 大數(shù)據(jù)時(shí)代如何打好信息保衛(wèi)戰(zhàn)？）