你的名字,互联网黑产瞄准的秘密…

chloe

作者介绍:chloe,在鹅厂从事互联网安全工作,投身挖掘互联网黑色产业,探寻网络安全世界的风云变幻。

曾经听安全圈的前辈说过这么一句话:数据泄漏,是每一个互联网厂商都逃不过的宿命。观点听起来可能过于独断,但不可否认的是,长久以来,数据安全问题的确让行业饱受困扰。当我们投入到云计算的沃土去拥抱无限可能时,当我们借助大数据的力量去尝试更多创新和变革时,数据泄漏始终是前进道路上一个挥之不去的梦魇。

一年24亿泄漏量,知名企业几乎无幸免

在过去互联网飞速发展的十年里,数据泄漏的危机如影随形。据调查,国内外相当多的知名企业都遭遇过数据泄漏事件,更不用说数不胜数的小公司了。而个人身份信息,是过去十年里泄漏最多的数据类型,包括姓名、身份证号、住址、出生日期、电话号码、帐号密码等。据安全平台部统计,在过去的一年里,平均每5小时就有一起数据泄漏事件发生,一年的泄漏量累积达到24亿

图:泄漏事件接二连三

地下数据交易泛滥成灾,黑产年产值近50亿

那么,这些泄漏的数据都到哪里去了?根据腾讯安全平台调查,这里面牵涉到一个庞大而复杂的黑产帝国,按照具体的黑产活动,可分为数据源头、数据交易、数据买方三大产业链条。

图:数据交易黑产链条

1 数据源头

泄漏数据的来源是复杂多样的。在这里我们分为三大类:第一,黑客入侵。也就是黑客通过各种渗透手段拖走企业数据;第二,内鬼泄漏。公司内部员工监守自盗,出售公司数据以获利。相比于黑客拖库的数据,内鬼数据的品类则要丰富得多,例如电商订单类、教育培训类、金融类等;第三,钓鱼和木马盗号。坏人通过钓鱼链接,结合木马软件窃取用户信息,是帐号类数据被泄漏的常见手法。

2 数据交易

上游数据出来后,就轮到“数据贩子”上场了。在地下黑市里,进行数据交易的数据贩子,一般声称自己是“做大数据的”,他们会把数据进行分类整合再打包出售。在去年某快递公司3万订单泄漏事件中,犯罪分子把客户信息以每条1元的价格在黑市中公开出售,获利3万余元。而前阵子泄漏的MySpace3亿6000万数据,也被黑客以2800美元的价格挂牌出售。

图:黑市数据交易

但这种地下数据交易也常常充满欺诈,卖方有时候会为出售的数据进行“注水”,混杂一些假数据或旧数据,以获取更多的利润。

3 数据买方

据调查,黑市中的数据买方也是形形色色,例如泄漏库站长、社工论坛站长、诈骗团伙、精准营销团伙、专项黑产团伙和进行撞库攻击的黑客等等。有时候,买方也会把用过的数据拿出来转卖,因此黑市上有一手二手数据的说法。一手隔夜数据的价格是最高的,二手甚至更多手的数据主要被用来做大数据匹配和营销。

巨大的潜在利润,让泄漏数据交易这个地下市场不断扩张。据安平情报侧统计,目前在这条产业链中,相关黑产从业者达到万量级别。在这些黑产人员中,有将近一半是专门进行实名信息交易的团伙。据估计,该产业链“年产值”达到近50亿元。

数据泄漏,到底会损失多少钱?

1 企业的生死门

零售巨头TG公司,曾遭1.1亿顾客信息失窃,12%的老顾客不再前往消费,36%的零售商减少了购货频率,导致10.6亿元人民币的直接损失。此外,公司还面临着消费者和银行发起的共同诉讼,整体赔付达到65亿元人民币。

根据威瑞森数据泄漏报告的统计,如果一个企业泄漏的数据达到1000条,有95%的可能会损失34~57万人民币。若泄漏量达到1千万条时,损失则在1400~3400万之间,最多达到4.8亿。除了真金白银的损失,企业往往还会陷入用户投诉的泥潭,品牌的口碑和在用户群体中的信任感严重受挫。可以毫不夸张地说,对企业而言,数据安全甚至是一个决定生死的问题。

2 用户的隐私线

2014年底,三家知名电商的上万用户账户遭到泄漏,犯罪分子利用泄漏的用户信息进行诈骗,三地警方联合抓捕。经查证,由此次泄漏引起的电信诈骗约200余起,京泸数百人被诈骗,损失总值人民币370多万元。

试想一下,如果你的姓名、电话、住址、工作情况这些隐私信息遭到泄漏,垃圾短信、推销电话、广告邮件这些都还是其次,不法之徒还能冒充你的身份,窃取你的钱财,想想都觉得不寒而栗。而据统计,若用户的个人隐私信息被外泄,那么该用户的金融财产被窃取的概率可达到22%。也就是说,10位个人信息被盗的公民里,就有超过2位遭受过金钱损失。因此,对用户来说,数据泄漏是会造成财产重大损失的威胁。

图:用户个人信息泄漏

行业木桶效应,加剧数据泄漏危机

那么问题来了,为何数据泄漏事件会如此频发?为何数据保护这么难?在安全领域中,“木桶效应”常常被用来描述防御工作:如果把整个行业看作是一个盛满水的大木桶,那么每一个公司都是这个木桶上的木板。木桶无论有多高,盛水的容量取决于其中最短的那块木板。同理,网状生态链安全防御的坚固程度,始终由其短板所决定。层出不穷的第三方泄漏,在无形中为整个行业的数据安全埋下了祸根。

举个例子,之前盛极一时的12306用户信息泄漏事件,就是黑客利用其他渠道获得的数据进行撞库所致。再比如传统金融行业比较猖獗的“补卡攻击”,就是黑客利用在互联网上泄漏的数据,结合运营商的经营漏洞去窃取用户的银行存款。因此,即使不是被攻击被拖库的对象,各方厂商也常常成为被殃及的“池鱼”。

从众多历史案例和惨痛教训来看,公司的核心数据,绝对不能仅依赖于通用防御,而是要做好全方位多层次的保护。能力越大,责任越大。作为最大的互联网综合服务提供商之一,保护好公司数据安全,守护好我们亿万用户的安全和幸福,是我们自始至终的责任和使命。腾讯安全平台部希望团结一切可以团结的力量,和各大BG的业务和安全团队一起,不辱使命,砥砺奋进。

原文发布于微信公众号 - 腾讯技术工程官方号(Tencent_TEG)

原文发表时间:2016-12-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

详解支付宝如何打造“未来医院”

2007
来自专栏FreeBuf

14个因安全事故引咎辞职的大BOSS

美国OPM公司主管Katherine Archuleta是最近因数据泄露事件离职的受害人,但她绝不是第一个。如果你从事信息安全保障这份职业,那你的工作就毫无安全...

2337
来自专栏FreeBuf

攻击索尼影业、发动Wannacry勒索软件攻击、窃取孟加拉央行的背后真凶找到了!

本周四(9月6日),美国司法部起诉了一名朝鲜黑客,指控他近年来主导的多宗网络攻击罪行,包括攻击索尼影业、发动“WannaCry”勒索软件攻击、窃取孟加拉央行80...

973
来自专栏安恒信息

UPS宣布遭黑客入侵 客户数据存在泄露风险

选择了UPS的消费者,你们的包裹被准时送达了么?但如果你的数据遭到了泄露,或许就不会感谢他们了。一份新出的报告表明,继多家零售商的系统被入侵之后,UPS也遭遇了...

3305
来自专栏大数据文摘

数字时代零售业,几家欢喜几家愁

1514
来自专栏安恒信息

2018央采名单出炉!安恒信息多款安全产品“跻身”名录

近日,中央政府采购网公布了“2018-2019年中央国家机关信息类产品(硬件)和空调产品协议供货采购项目中标公告”,安恒信息有54款自有产品成功入围该名录,涉及...

1051
来自专栏FreeBuf

“幽灵小组”向全球数千家公司发出勒索邮件:9月30日发起DDoS攻击,你收到了吗?

近日,一自称为“幽灵小组”(Phantom Squad)的DDoS勒索组织向全球数千家公司发起了大规模的垃圾邮件攻击,威胁称,若受害者不支付赎金,就会在9月30...

2368
来自专栏大数据文摘

“游族杯”上海开放数据创新应用大赛8月18日正式开赛

28210
来自专栏FreeBuf

一小时的DDoS要花多少钱?暗网市场只需10美元

美国云安全技术服务公司Armor近期发布的一份报告,揭示了暗网上针对各种网络犯罪相关服务实施的价格标准。 该报告是通过搜罗数个知名的暗网市场总结出来,与2013...

4349
来自专栏FreeBuf

BankInfo Security发布金融信息安全界Top 10 影响力排行榜

BankInfo Security发布了其第四年度银行业信息安全影响力排行榜,他们在塑造银行业与信息安全相连的方式上取得了突出成绩和贡献。 2016年的榜单中的...

1979

扫码关注云+社区