最新病毒库日期:
  • 大规模数据泄漏事件背后的网络安全警示!
2019-03-01 11:55 来源:未知
【文章摘要】在万物互联的时代,数据对一家互联网公司的意义堪比原油和金矿,尤其随着人工智能、新零售等行业的火热,科技公司纷纷想方设法获得数据以抢占高地,获取商业价值。在这场攻城

在万物互联的时代,数据对一家互联网公司的意义堪比原油和金矿,尤其随着人工智能、新零售等行业的火热,科技公司纷纷想方设法获得数据以抢占高地,获取商业价值。在这场攻城略地的竞争之中,数据获取和用户隐私陷入了博弈,而监管的迟到,以及长久以来被忽视的安全投入让用户成为了待宰羔羊。

企业数据泄漏事件频发

今日,抖音海外版抖音TIK TOK在美国被控侵犯儿童隐私,遭FTC开出570万美元罚单,源于TIK TOK运营的musicaly被指控非法收集儿童信息,这是FTC在美国儿童隐私案件中做出的一笔最大民事罚款。

今年1月份据外媒报道称,由于网络安全措施不到位,印度国有天然气公司(Indane)又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息。问题出在 Indane 面向经销商和渠道商的网站上,尽管只能通过有效的用户名和密码进行访问,但部分内容已经被谷歌搜索引擎编入索引。如此一来,所有人都能够绕过登陆页面,直接获得对经销商数据库的自有访问权限。

2月,东方网力旗下子公司深网视界(SenseNets)发生大规模数据泄露事件。超过250万人的数据可被获取,680万条记录泄露,其中包括身份证信息、人脸识别图像及捕捉地点等。爆料此事的程序员还在TIWWTER上指出:这家公司从从2018年7月开始就处于任何人都可以访问的状态。通过这些数据可以得知道谁不在家,可能出现盗窃行为。

一直以来,接连不断的数据泄漏事件已经让人麻木。作为掌握海量兼具广度和深度的数据的中心化平台,在享受用户增长红利的同时,并没有足够的意识去保护用户隐私。

在2017年施行的《网络安全法》中,明确提出了“谁收集、谁负责”的原则,也就是说信息收集方要承担起保障数据安全的义务,但至今国内尚无让广大公司意识到数据安全严峻性的标志性案件出现。

 

谁在滥用你的个人数据信息

这些泄露的信息到底用在了何处,这些数据泄露的背后,到底隐藏这怎样的黑色产。首先是数据被留转到暗网上拍卖,暗网通常是指那些存储在网络数据库里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。暗网里的交易没有第三方担保,一切行为责任均自负。

 

在暗网上有许多网络黑产交易, 这些信息泄露于电商,P2P平台以及各种社交平台和视频网站,每个打包的数据量级均在千万以上,一般用比特币和美金进行交易。

这些数据已经不是一手数据,大都经过反复倒卖。例如,优酷2016年被拖库的数据,以及陌陌曾被泄露的3000万用户信息,仍然在暗网上被叫价售卖,单价只要10美元,另外还赠送100份手持身份证照片。

由于价格并不昂贵,所以黑色产业越来越猖獗。用户信息被多次转手买卖泄漏,对个人造成反复性的永久性伤害,而这并不会影响平台的利益。据国内媒体道,截至2017年年中,中国网络黑产从业人员已超过150万,市场规模高达千亿。

除了黑产行业,企业也想方设法获取用户数据攫取利益。一家数据公司,非法窃取5000万Facebook用户资料后用算法进行大数据分析,预测他们的政治倾向,进行个性化的新闻推送,然后在不知不觉中影响他们的选票。

而收集数据的平台方,则直接利用平台杀熟,很多携程用户表示,同样的房间,不同的手机下单价格并不相同。同样,也有网友反映,在滴滴上打车,老用户也要支付比新用户更多的车费。

 

初创公司安全防护几近裸奔

据IDC报告显示,我国信息安全投入占IT整体投入的比重较低,仅为1%-2%,远低于欧美市场8%-12%的比例。反映到企业本身,不仅是企业安全团队配置的匮乏,还有数据管理与采集的混乱。

安全研究人员表示说:“ 初创公司在产品上线初期虽然都号称很安全,但在数据保护上几近裸奔,没有投入。不仅不会保护用户的隐私安全,自身的网络安全更加没有保障。”

一位资深开发人员也表达了相同的观点。去年,他入职了一家在风口上的明星公司。但工作不久后,他便发现公司在安全防护方面上的支出几乎为零,就连购买基本的云服务都无法做到。而拿数据采集来说,许多初创公司则对数据采集呈现出无比饥渴的状态,APP隐私协议形同虚设。

一名专注网络黑产调查的自媒体人士则透露,“有些APP甚至会联合共用采集到的用户信息做画像,指望APP保护个人隐私几乎是不可能的。”

除了过度采集,即便用户注销账号后,企业仍会保存用户隐私信息。“过去企业会因为预算问题,定期删掉服务器上的一些数据,现在即便短期用不到,企业也会保留数据。” 一家数据云服务平台表示。

目前,相比国外在数据上的监管,很多公司并没有为他们过度收集和泄漏用户隐私的行为付出代价。根据欧洲去年5月发布的《通用数据保护条例》(GDPR),违反数据保护条例的公司可能面临最高2300万美元或占其全球年收入的4%的罚款。

2018年Facebook用户信息的大量泄露,差点面临16亿美元的罚款。而出海不久的抖音海外版,已经尝到苦头,其收购的Musical.ly由于在未征得父母同意之前非法收集了13岁以下儿童的姓名、电子邮件地址和其他信息,支付了近3812万人民币的和解金。

在这种情况下,用户更应格外留意自身隐私的保护。网络安全专家建议:“ 用户在使用产品时,应当留意其获取的授权包括哪些、开启仅在使用期间获取功能、及时关闭不需要的授权。”

处在这样一个网络时代,全球公民的信息估计被泄露的都有一大半了,公民个人信息很重要,企业公司应做好网络安全措施,避免受到攻击者的攻击,导致信息的泄漏,同时也要保护好公司信息安全避免不必要的损失。

江民数据保护与防泄密系统整合身份认证、文件全生命周期管理、数据实时同步备份及设备管控技术,保护数据整个生命周期安全,建从主动防御到阻止、追踪信息流转,再到数据信息备份容灾的全方位数据安全解决方案。