谁动了我的数据?
编者按:数据泄漏正成为全球互联网企业信息安全的重灾区,最近一段时间,信息泄露事件可谓接二连三。
故事我们先从一只老鼠说起
2017年1月16日,新浪微博上一只老鼠成了网红。网友@筱东嘚 在修汽车时发现老鼠居然在其汽车里藏粮食。他本意只是晒图,可万万没有想到,网友评论居然都偏向了老鼠……
大家群情激奋,纷纷为老鼠鸣不平,复杂的情绪着实耐人寻味,背后隐藏的逻辑其实很简单那就是“个人财产神圣不可侵犯”。
在互联网时代你的信息资产也同样面临“被没收”的风险,让我们回顾一下近期发生的几个重大信息安全事件。
事件一:支付宝密码泄露
1. 2017年1月10日凌晨,有网友在知乎爆料称,支付宝存在一个新的致命漏洞,陌生人有1/5的机会登录你的支付宝,而熟人则可以100%登录你的支付宝。
2. 当天11时56分支付宝官方微博紧急做了回应,截图如下:
尽管只是登陆账户在特定情况下才会出现风险,支付宝还是第一时间做出处理和回应,没有让事态进一步恶化和升级。
事件二:脉脉抓取微博用户信息
1. 2013年,脉脉上线,产品定位职场社交应用。发展初期,抓取了微博的用户数据,帮助平台业务扩展。
2. 2014年8月份,微博方面发现在脉脉产品内,大量非脉脉用户直接显示有新浪微博用户头像、名称、职业和教育等信息。简单来说,你可能从未通过微博登录脉脉,但在脉脉上,用户能够直接搜索到你的上述信息。上述事件发生后,微博据此提起诉讼,认为脉脉非法抓取、使用微博用户信息等。
3. 2016年4月份,北京市海淀区人民法院一审结案,认定脉脉非法抓取、使用新浪微博用户信息等行为构成不正当竞争。随后,脉脉提起上诉。
4. 2016年12月30日,北京知识产权法院做出终审判决,驳回上诉维持原判,认定北京淘友天下技术有限公司和北京淘友天下科技发展有限公司(均为脉脉的经营公司)构成不正当竞争。法院指出,网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。这意味着第三方公司抓取微博数据用于商业化将构成侵权行为。
5. 2017年1月初,脉脉旗下两家公司应共同在脉脉网站首页、脉脉客户端软件首页连续48小时刊登声明,不正当竞争行为为微博公司消除影响,并赔偿微博公司200万元。
北京知识产权法院首次指出:明确网络平台提供方可以对在用户同意的前提下基于自身经营活动收集并进行商业性使用的用户数据信息主张权利。这意味着,第三方公司抓取微博数据用于商业化将构成侵权行为,微博可以进行起诉。
事件三:MongoDB的超33000个数据库遭遇入侵勒索
1. 2016年 12月27日,安全专家兼GDI Foundation联合创始人Victor Gevers(@0xDUDE)在Twitter上称由于存在配置漏洞,可不通过任何认证直接访问某些MongoDB数据库。
2. 2017年1月11日,已经有20名以上的黑客利用这一漏洞参与到对MongoDB用户一边倒的碾压中来,遭到入侵、勒索的数据库超过了33,000个,并且这一数字还在不断上升中。虽然MongoDB的开发团队在下一个版本里修复了这个问题,但仍然有数量众多的数据库管理者没来得及更新。
这次勒索事件的一个显著后果就是世界范围内存储在MongoDB数据库里数据量的大幅下滑。据Merrigan提供的信息显示,在短短3天内就有114.5TB的数据因此消失。
信息是如何泄露的?
信息有两种泄露方式:
一是技术方面相关系统有漏洞。旦系统存在漏洞或基础架构维护不到位,黑客”非法攻击获得了相关隐私信息,最终被恶意利用完成了整个诈骗流程。上述案例中《MongoDB的超33000个数据库遭遇入侵勒索》就属于此类情况;
二是用户信息在数据存储、传递过程中被第三方恶意截取和非法使用。上述案例中《支付宝密码泄露》和《脉脉抓取微博用户信息》就属于此类情况。
数据日益成为企业的一项核心竞争力,是可以获利的商业资源。那么从企业的角度看,如何保护数据资产呢?
最近的一份数据泄露报告显示,95%的数据泄露事件其动机均为获取物质利益或商业间谍行为。对于企业而言,除了要加强传统的安全防护边界,我们更要关注数据本身的安全问题,也就是数据完整性保护。实践表明,良好的数据安全管理措施管理可以在遭到攻击的情况下减少损失,甚至因为“无利可图”而减少非法入侵等黑客事件。具体的措施如下:
第一步:数据分类
如分成“公开”、“内部”、“秘密”和“绝密”等类别。数据分类常常被弃用是因为,需要手工维护数据不断变化的类别状态。如今新兴的大数据风险管理系统都有着所谓的动态分组功能,允许简单的拖放操作重新分类,并可将改变分发到所有相关节点。
第二步:数据加密
机构应该确保把加密机制正确地实施到所有敏感数据,无论数据在哪里保存,也不管数据如何传输。
第三步:访问权限控制
这是许多安全项目的最薄弱点,黑客通常的目标是特权用户,因为这些人的账户是入侵整个网络的桥头堡。因此,要严格执行界定良好的访问控制政策并持续监控访问路径,以确保访问控制策略的正常执行。此为保证数据完整性的基本要素。
第四步:保护数据的传输安全性
通过https等措施实现通信传输的加密。传输过程加密了,那么即使被人嗅探,也很难破解出具体的传输内容,从而实现数据的安全传输。
对于个人而言,首先是保护好自己的个人资料,不要随便在网络上泄露个人身份信息,尤其是唯一标识身份类的个人信息(如姓名、电话号码、邮箱、住址)应该更加小心翼翼,不要轻易泄漏。除此以外,可以在个人信息泄露并造成损害的情况下通过法律进行维权。在这方面,经管司法制度和相关的法律体系还不完善,但政府已经在积极推进个人信息保护的法律框架建设。
2016年10月31日,全国人大常委会二审民法总则草案,二审稿在民事权利章节,增设“个人信息保护”条款,明确规定“自然人的个人信息受法律保护”。这意味着,“个人信息保护”拟作为民事权利写入法律。草案明确对个人信息的保护对于保护公民的人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有现实意义。此外草案还明确“任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息”。
总结
大数据时代,各方都有责任和义务推动数据生态的繁荣,积极建立数据使用规则,共同构建数据和信息资产保护的法律框架,否则,就将是现代社会的一场悲剧。
END