5 天 6 亿 3000 万数据泄露,怎么作才能跑赢骗子?
昨天,一则“陌陌 3000 万数据暗网仅售 200 元”的消息在网上不胫而走。程序员
陌陌回应暗网售卖数据:匹配度低算法
据微博用户 @lxghost 透露,陌陌有约 3000 万条数据在暗网出售——这批数据是 2015 年 7 月 17 日被写入的,总条数 3161 万条,包含手机号和密码两个字段。根据暗网的卖家介绍,“数据中密码有空白项,但这部分所占比例不到 1%,就算去掉 100 万条,还有 3000 万条”,并申明,“本数据不保障现时有效性,只适合撞库等用”。数据库
卖家还特别警告称,“本人未有大批测试能力,故没法确保数据能登陆陌陌或者可搜索到陌陌帐号的几率,这一点敬请谅解。”编程
通过网络的大肆传播和报道以后,一时之间,热议声甚嚣尘上。对此,陌陌官方在消息披露的当晚紧急调查表示,消息不可信!安全
陌陌方面称,网上流传的报道中所谓的三年多前经过撞库得来的数据,跟陌陌用户的匹配度极低,测试结果都是错误信息。此外,陌陌采用高强度单向散列算法对用户密码加密,任何人都没法直接从陌陌数据库中获取用户明文密码。最后还提到,陌陌采用包括密码验证、设备验证等多重校验机制,他人根本没法仅凭手机号和密码就登陆用户陌陌帐号。微信
对于陌陌的紧急公关声明,网友们的态度仍显得十分存疑,不少人质疑“匹配度极低难道就等同于安全吗?”、“所谓的测试是指什么?”、“仍有泄露风险吗?”......可是截至目前,已经没有更大的水花了。不过可喜的是,据北京时间今日凌晨消息,经历数据泄露传闻的陌陌周一股价大涨,截至收盘涨幅达 5.52%——事实证实,所谓的数据泄露疑云彷佛没有给陌陌带来任何的不良影响。网络
无独有偶,Quora 1 亿用户数据也惨遭泄露架构
巧的是,前有“沉冤得雪”的陌陌,后有“负荆请罪”的 Quora。app
据外媒路透社当地时间 3 日报道,美国的知识问答类网站 Quora 系统遭“恶意第三方入侵”,波及了 1 亿名用户。Quora 在其官方网站表示,这些用户的姓名、电子邮件地址、密码及相关连接数据等帐户信息安全都受到了威胁,黑客还获取了诸如提问、回答、赞、踩等操做的信息。编程语言
目前,为防止进一步损失,Quora 已将全部用户帐号强制登出。“咱们正在通知信息安全受到威胁的用户”,Quora 公司联合创始人兼首席执行官亚当·德安格洛说,暂未影响匿名提问与回答的用户,此外“调查仍在进行中,咱们将进一步改善安全保障措施。”值得一提的是,成立于 2009 年的 Quora 网站,其创始人德安格洛和查理·切沃均为前 Facebook 员工——然后者仍处于今年初爆发的“剑桥分析公司数据泄露丑闻”阴影下。
为何近年来泄露案件密集爆发?
事实上今年以来,数据泄露的事件就频繁发生,且涉及规模都十分庞大。
除去今年 3 月的 Facebook 事件,还有不少大规模的泄漏事件历历在目:6 月,圆通 10 亿条快递数据在暗网上打包出售,数据信息包括寄(收)件人姓名、电话、地址等;8 月,因华住公司程序员将数据库链接方式上传至 GitHub 致使其泄露,华住旗下多个连锁酒店开房信息数据泄漏,总数接近 5 亿;乃至上周的 11 月 30 日,万豪酒店数据库遭到入侵,5 亿名顾客的数据也遭到泄露,包括顾客的姓名、出生日期、电话号码、护照号码、通讯地址、电子邮箱和其余一些我的信息......
从万豪酒店数据库被入侵 5 亿信息泄漏、陌陌被撞库数据暗网出售到 Quora 遭黑客入侵 1亿用户数据被盗,从国际酒店、知名社交 App 到全球著名的在线问答社区 Quora——网络技术发展到如今,数据安全应该是全部企业和用户的核心焦点,那为何近年来泄露案件仍然密集爆发?技术上就没有完全防范的方法吗?难道受害者就只能束手就擒?
带着种种问题,CSDN(ID:CSDNnews)特别咨询了 360 网络安全响应中心负责人蔡玉光,他表示,目前安全行业其实广泛有一个共识,没有攻不破的网络。企业出现安全事件是在所不免的现实,除却暗网这样还有必定开放空间的平台,其实还有更多的安全事件没有被曝光出来。
“近期频频曝光的数据泄密事件,除了围绕着简单的经济或情报利益,这些数据在后面环节的被利用是更应该考虑的问题——买家在购买这些隐私数据后是否会有进一步的利用场景,如电信诈骗、金融帐号攻击、间谍数据等利用场景?这些危害会比直接的数据买卖更具破坏性。”
数据泄露事件大多都是在过了很长一段时间后才曝光出来,攻击者可能在数分钟的时间里就攻破了网络,在数分钟到小时级就窃取完了企业里留存的用户隐私数据;可是安全人员多是在数月或者上年的时间才能发现已经发生了的数据泄露事件。而这些,就须要从数据泄密的流程和主要手段来分析。
数据泄露中攻防失衡的现实
根据 360 网络安全响应中心发布的《2017 年度安全报告——数据泄密》显示,整年数据泄露事件的平均规模上升了 2%,财产损失高达上亿。通常而言,数据泄露的流程整个流程能够分为:拖库、洗库、撞库。数据资源一旦被泄露,那么就会产生一系列的危害。不少用户因为缺少安全意识,不能及时的发现本身的数据泄露,只有当本身的财产受到损失才能被感知,因此用户感知愈来愈慢,这也是为何数据泄露的发现极具延时性。
报告还表示,致使数据泄露的主要手段分为黑客入侵、软件漏洞、恶意木马等技术手段,以及内部人员泄密、非有意识泄密等非技术手段。其中,最大来源是意外丢失和因疏忽而使信息暴露的数据。
“攻防失衡问题的改善,除了须要安全行业在技术层面更加的努力,更须要社会在宏观和我的层面重视信息安全、企业把信息安全管理放在一个战略高度。”针对日益严重的数据安全隐患,蔡玉光说到,企业在品牌建设和自身发展过程当中,在拥抱信息化以后,信息安全事件绝对是一个大几率的“灰犀牛”事件。“好比,目前经过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道,相应的,厂商应正视网络安全,按期进行渗透测试,及时对有漏洞的服务打补丁,作好完整可靠的数据安全措施,对密码加密存储,杜绝明文密码存储,这样即使被黑也能下降带来的损失。”
开发者和我的用户该如何应对?
对于开发者,蔡玉光认为要具有必定的安全意识(能够经过企业内部组织培训或自身学习)。在架构和研发过程当中要配合安全团队或综合考虑信息安全管理要素;在实际开发过程当中要避开常见安全问题,如上传 Github、SQL 注入、任意命令执行、缓冲区溢出、水平越权、日志敏感信息记录、敏感文件任意存放等问题。
在数据泄露事件发生时,开发者应发挥自身的技术和业务优点,积极配合安全团队、法务团队对事件溯源中所涉及到的业务场景和数据证据,提取固化提供支撑,在不少数据泄露事件溯源中开发者都是最有利的技术支撑,好比数据流程梳理、关键日志提取等。此外,“开发者在配合过程当中须要严格注意,避免破坏数据完整性。”
而对于我的用户,不只须要按期更换并使用较长(10 位以上)的复杂(大小写字母、数字、特殊字符)密码,还应该分级管理自身的密码,如一级金融帐号密码、二级重要帐号密码、三级普通网站密码。遇到数据泄露事件, 应及时修改密码并同时修改和泄露相关的其余帐号密码。
固然,“我的用户也可使用网站、应用中提供的双因子验证机制,如登陆短信验证或手机应用再确认等方式,双因素机制能够有效提升帐号的安全性。另外一方面也能够在拥有指纹或口令保护的智能手机中使用一些公开密码管理软件来对自身密码进行管理,如1Password等。”
数据安全不是个一蹴而就的命题,它须要企业、开发者和我的共同维系。
2018 中国大数据技术大会
◆
BDTC 2018
◆
BDTC 2018中国大数据技术大会携主题“大数据新应用”再度强势来袭。本次大会由华东师范大学副校长、教授周傲英,百度商业智能实验室主任熊辉,阿里巴巴副总裁李飞飞三位会议主席对大会内容把关,多位两院院士参与指导,由最了解行业痛点的一线从业者为同行打造。
扫描下方二维码或阅读原文快速购票。如今购票还有机会得到大数据图书一本(中国科学院院士梅宏主编的《大数据导论》或华中科技大学教授金海主编的《大数据处理》),数量有限!
微信改版了,
想快速看到CSDN的热乎文章,
赶快把CSDN公众号设为星标吧,
打开公众号,点击“设为星标”就能够啦!
CSDN 公众号秉持着「与千万技术人共成长」理念,不只以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件,更有「技术头条」专栏,深度解读行业内的热门技术与场景应用,让全部的开发者紧跟技术潮流,保持警醒的技术嗅觉,对行业趋势、技术有更为全面的认知。
若是你有优质的文章,或是行业热点事件、技术趋势的真知灼见,或是深度的应用实践、场景方案等的新看法,欢迎联系 CSDN 投稿,联系方式:微信(guorui_1118,请备注投稿+姓名+公司职位),邮箱(guorui@csdn.net)。
推荐阅读: