你的名字，互联网黑产瞄准的秘密…

chloe

作者介绍:chloe，在鹅厂从事互联网安全工作，投身挖掘互联网黑色产业，探寻网络安全世界的风云变幻。

曾经听安全圈的前辈说过这么一句话：数据泄漏，是每一个互联网厂商都逃不过的宿命。观点听起来可能过于独断，但不可否认的是，长久以来，数据安全问题的确让行业饱受困扰。当我们投入到云计算的沃土去拥抱无限可能时，当我们借助大数据的力量去尝试更多创新和变革时，数据泄漏始终是前进道路上一个挥之不去的梦魇。

一年24亿泄漏量，知名企业几乎无幸免

在过去互联网飞速发展的十年里，数据泄漏的危机如影随形。据调查，国内外相当多的知名企业都遭遇过数据泄漏事件，更不用说数不胜数的小公司了。而个人身份信息，是过去十年里泄漏最多的数据类型，包括姓名、身份证号、住址、出生日期、电话号码、帐号密码等。据安全平台部统计，在过去的一年里，平均每5小时就有一起数据泄漏事件发生，一年的泄漏量累积达到24亿。

图：泄漏事件接二连三

地下数据交易泛滥成灾，黑产年产值近50亿

那么，这些泄漏的数据都到哪里去了？根据腾讯安全平台调查，这里面牵涉到一个庞大而复杂的黑产帝国，按照具体的黑产活动，可分为数据源头、数据交易、数据买方三大产业链条。

图：数据交易黑产链条

1 数据源头

泄漏数据的来源是复杂多样的。在这里我们分为三大类：第一，黑客入侵。也就是黑客通过各种渗透手段拖走企业数据；第二，内鬼泄漏。公司内部员工监守自盗，出售公司数据以获利。相比于黑客拖库的数据，内鬼数据的品类则要丰富得多，例如电商订单类、教育培训类、金融类等；第三，钓鱼和木马盗号。坏人通过钓鱼链接，结合木马软件窃取用户信息，是帐号类数据被泄漏的常见手法。

2 数据交易

上游数据出来后，就轮到“数据贩子”上场了。在地下黑市里，进行数据交易的数据贩子，一般声称自己是“做大数据的”，他们会把数据进行分类整合再打包出售。在去年某快递公司3万订单泄漏事件中，犯罪分子把客户信息以每条1元的价格在黑市中公开出售，获利3万余元。而前阵子泄漏的MySpace3亿6000万数据，也被黑客以2800美元的价格挂牌出售。

图：黑市数据交易

但这种地下数据交易也常常充满欺诈，卖方有时候会为出售的数据进行“注水”，混杂一些假数据或旧数据，以获取更多的利润。

3 数据买方

据调查，黑市中的数据买方也是形形色色，例如泄漏库站长、社工论坛站长、诈骗团伙、精准营销团伙、专项黑产团伙和进行撞库攻击的黑客等等。有时候，买方也会把用过的数据拿出来转卖，因此黑市上有一手二手数据的说法。一手隔夜数据的价格是最高的，二手甚至更多手的数据主要被用来做大数据匹配和营销。

巨大的潜在利润，让泄漏数据交易这个地下市场不断扩张。据安平情报侧统计，目前在这条产业链中，相关黑产从业者达到万量级别。在这些黑产人员中，有将近一半是专门进行实名信息交易的团伙。据估计，该产业链“年产值”达到近50亿元。

数据泄漏，到底会损失多少钱？

1 企业的生死门

零售巨头TG公司，曾遭1.1亿顾客信息失窃，12%的老顾客不再前往消费，36%的零售商减少了购货频率，导致10.6亿元人民币的直接损失。此外，公司还面临着消费者和银行发起的共同诉讼，整体赔付达到65亿元人民币。

根据威瑞森数据泄漏报告的统计，如果一个企业泄漏的数据达到1000条，有95%的可能会损失34~57万人民币。若泄漏量达到1千万条时，损失则在1400~3400万之间，最多达到4.8亿。除了真金白银的损失，企业往往还会陷入用户投诉的泥潭，品牌的口碑和在用户群体中的信任感严重受挫。可以毫不夸张地说，对企业而言，数据安全甚至是一个决定生死的问题。

2 用户的隐私线

2014年底，三家知名电商的上万用户账户遭到泄漏，犯罪分子利用泄漏的用户信息进行诈骗，三地警方联合抓捕。经查证，由此次泄漏引起的电信诈骗约200余起，京泸数百人被诈骗，损失总值人民币370多万元。

试想一下，如果你的姓名、电话、住址、工作情况这些隐私信息遭到泄漏，垃圾短信、推销电话、广告邮件这些都还是其次，不法之徒还能冒充你的身份，窃取你的钱财，想想都觉得不寒而栗。而据统计，若用户的个人隐私信息被外泄，那么该用户的金融财产被窃取的概率可达到22%。也就是说，10位个人信息被盗的公民里，就有超过2位遭受过金钱损失。因此，对用户来说，数据泄漏是会造成财产重大损失的威胁。

图：用户个人信息泄漏

行业木桶效应，加剧数据泄漏危机

那么问题来了，为何数据泄漏事件会如此频发？为何数据保护这么难？在安全领域中，“木桶效应”常常被用来描述防御工作：如果把整个行业看作是一个盛满水的大木桶，那么每一个公司都是这个木桶上的木板。木桶无论有多高，盛水的容量取决于其中最短的那块木板。同理，网状生态链安全防御的坚固程度，始终由其短板所决定。层出不穷的第三方泄漏，在无形中为整个行业的数据安全埋下了祸根。

举个例子，之前盛极一时的12306用户信息泄漏事件，就是黑客利用其他渠道获得的数据进行撞库所致。再比如传统金融行业比较猖獗的“补卡攻击”，就是黑客利用在互联网上泄漏的数据，结合运营商的经营漏洞去窃取用户的银行存款。因此，即使不是被攻击被拖库的对象，各方厂商也常常成为被殃及的“池鱼”。

从众多历史案例和惨痛教训来看，公司的核心数据，绝对不能仅依赖于通用防御，而是要做好全方位多层次的保护。能力越大，责任越大。作为最大的互联网综合服务提供商之一，保护好公司数据安全，守护好我们亿万用户的安全和幸福，是我们自始至终的责任和使命。腾讯安全平台部希望团结一切可以团结的力量，和各大BG的业务和安全团队一起，不辱使命，砥砺奋进。