数据库“裸奔”!个人信息屡遭暗网贩卖,个人隐私如何保护?

从互联互通时代到如今的人工智能时代,包括个人信息在内的各种数据变成了最宝贵的财富。然而,大数据、云计算、人工智能等新技术的运用,在充分发挥数据价值的同时,也给个人隐私保护带来严峻挑战,数据产业的发展和个人信息安全之间出现了失衡。

今年以来,多家机构的用户数据库发生拖库事件,包括学籍信息、个人从业经历甚至开房记录等高度敏感信息均在“暗网”上挂售。不少人提出质疑:我们究竟还有什么隐私没有被泄露?把隐私交给互联网企业究竟安全吗?现在,小编也针对近期国内所发生的数据泄露事件进行了梳理,并从行业细分上选出了3起数据泄露事件与大家分享。

事件回顾一:浙江省1000万学籍数据在暗网被卖

7月30日,一条题为《浙江省1000万学籍数据出售》的帖子在“暗网”某中文论坛中引发关注。发帖者称,其所出售的数据包含学生姓名、身份证号、学籍号、学校名称、学校序号、班级号、户籍信息、监护人姓名、监护人手机号、居住地址和学生照片信息,作价0.02比特币(当时折合人民币约1000元)。

黑客在暗网售卖25万个MySQL数据库,单个价格为0.03枚BTC:PeckShield发微博称,目前,暗网上有逾25万个MySQL数据库正在出售,每个数据库的价格为0.03枚BTC。自今年10月初起,黑客窃取MySQL数据库的频率骤增,他们下载表格,删除原始文档,并留下赎金记录,告诉服务器所有者与其联系以取回他们的数据。据派盾CoinHolmes追踪显示,自11月起,黑客的钱包共入账0.075枚BTC。[2020/12/11 14:56:10]

据截图显示,售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。

除了文字信息,售卖的学籍数据里还提供有照片链接,数据在100G左右。从卖家放出的测试数据截图来看,学籍信息里出生年龄分布在95年~06年,还包含了家人联系方式及照片,数据的真实性较高。

数据库公司MongoDB遭网络攻击,黑客索要比特币赎金:金色财经报道,跨平台数据库公司MongoDB遭受了网络攻击,黑客团伙通过擦除其内容渗透了22,900个不安全的数据库。此后,该团伙要求支付比特币以换取数据备份。根据网络安全公司ESET的WeLiveSecurity的说法,如果赎金在两天内没有支付,该团伙威胁将通知负责执行欧盟《通用数据保护条例》(GDPR)的当局。ZDNet发布的一份报告解释称,在攻击中受损的数据库几乎占MongoDB所有数据库的47%。黑客要求每个数据库支付0.015 BTC(约合140美元),因此要求的总金额超过320万美元。[2020/7/3]

被泄露的学籍数据里只含有中小学生,不包含大学生,由此推测浙江省中小学生学籍信息管理类系统可能被“拖库”。

Paydex建立分散式数据库:近日,Paydex宣布依托区块链技术和智能合约技术建立了分散式数据库,基于此数据库,对网络存储使用者进行资产登记和交易信息的上链,有效的解决数字资产在区块链世界的记录与价值传输。[2020/3/11]

事件回顾二:“脱裤”的华住,近5亿条“裸奔”的隐私

“出售华住集团旗下所有酒店数据(汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友),附件当中为测试数据,各提供10000条数据供大佬测试……”8月28日,一张经由“暗网”流出的截图在社交媒体上疯转,有地下黑产从业者声称掌握了华住集团旗下酒店近5亿条数据信息,并以打包价8比特币或520门罗币(当时折合人民币约37万元)公开出售。

现场 | Jimmy Nguyen:我们需要建立少数的大型公共账本和数据库:在今日举行的巴黎区块链周峰会上,前nCHain CEO Jimmy Nguyen在主题为“区块链和分布式账本技术现状”的圆桌上表示,当前有太多区块链和分布式账本技术项目,我们需要建立少数的大型公共账本和数据库。现在的大部分Dapp基本不能被称为去中心化应用,本质上来说还处于数据账本的层面。[2019/4/16]

一石激起千层浪,不少人开始在朋友圈感叹“在互联网时代毫无隐私可言”,也有人质疑在“暗网”出售的数据并非真实信息。然而,第三方网络安全团队对“暗网”公布的3万条数据样本进行技术鉴定后认定“样本数据准确”。

更让人惶恐的是,在“暗网”挂售数据的地下黑产还表示,“以上数据获取时间为2018年8月14日,如果权限不丢失,后续数据还可以免费发给已购买上述数据的买家”。也就是说,地下黑产对数据库的入侵行为并非“一次性”行为,而是获取了访问数据库的权限,如果有关方面不采取进一步补救措施,发帖者甚至可以做到在数据库中“来去自如”。

事件回顾三:30万玖融网用户数据被挂暗网仅售1个比特币

11月4日,黑客孤狼在暗网发布一个帖子,称拿下了汽车金融平台玖融网的所有权限,可以入侵所有的服务器。玖融网是一家总部位于武汉的汽车金融平台,给用户提供汽车抵押贷款与理财服务。据黑客孤狼称,他已获得该平台上30万的用户数据,并以一个比特币的价格出售。

该数据包的详细程度到了可怕的地步。里面共有65个数据维度:除了身份证、银行卡、住址和电话等基本信息外,还有工作单位、月薪、车型号和担保人手机号码,甚至还有车贷用户的车辆信息,包括车型、车牌号、颜色、排量等信息,以及两位贷款担保人的姓名、手机号等也被收录在内。更可怕的是,该黑客不仅攻克了数据库,还拿到了包括服务器在内的全部权限,这也就意味着竞争对手篡改数据、平台用户删除贷款记录,一切皆有可能。

不难看出,今年6月以来,“暗网”上针对我国各政企机构的数据倒卖事件呈多发态势,且多发于敏感事件节点,没有安全防护能力的第三方企业、机构,往往都是黑客攻击的主要对象,这些企业通常拥有大量数据,但往往缺乏足够的数据安全意识,使得加强互联网行业的整体数据安全防护能力变得迫在眉睫。

如何防止用户信息“裸奔”?

首先,在国家层面上,有关部门应该建立响应机制,同时厘清权责关系,让广大群众在享受当下互联网技术带来的便利同时更多收获安全感。其次,企业层面上,数据安全建设工作,要制度体系与技术手段相结合,尤其要加强数据库安全的防范,当然也不能狭隘的谈数据库安全,安全的防护重心应该从被动安全防御转变为主动安全防御,从内容安全向内部威胁整体防护上提升,从而有效地发现内部高风险的人或设备,从而建立起多重防护、全域感知的数据安全深层防御体系,做到精准可视联动联防。

鉴于此,作为国内专业的数据安全解决方案提供商,闪捷信息始终专注于数据安全相关技术和产品的研发,为行业用户提供业界领先的数据安全防护系列产品及解决方案,并已广泛应用于政府、电力、、运营商、金融和互联网等领域,帮助用户实现数据安全严密防护和合规管理,有效提升用户网络安全监测、预警及防御能力。

最后,个人层面上,个人要加强信息安全意识,个人的重要信息要时刻保管好,并且定期修改密码。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

TUSD2019年1月新闻热词汇总

本月,2018年度国家最高科学技术奖出炉;国务院批复同意《河北雄安新区总体规划》;13部门联合开展整治“保健”市场乱象百日行动;嫦娥四号成功着陆月球背面;上线不足一个月的故宫彩妆宣布全线停产;微.

[0:15ms0-1:332ms