【原】华住、facebook等用户数据泄露事件频发，这“锅”企业该背

8 月 28 日，华住集团旗下酒店 5 亿条用户信息数据被泄露，成为了最近几年规模最大的数据泄露事件。其实这并不是个案，从 2017 年的“永恒之蓝”勒索病毒全球爆发，到 Facebook 用户数据泄露……信息安全事件频频发生，技术上我们能做些什么？企业数据安全应该反思什么？如何从体制和管理上加强保护？

知道创宇北京研发总监潘少华

为此，TGO 鲲鹏会专门采访了大数据情报分析及反欺诈专家、知道创宇北京研发总监潘少华，请他来聊一聊十多年来，网络信息安全不可忽视的问题。

信息泄漏下的网络诈骗和黑产：更精准，更广泛

在以往的数据泄露事件中，很大一部分都是来自酒店，在潘少华看来，一方面酒店的人流量大数据多；另一方面，每位客人入住酒店时，都要联网进行身份证、电话号码等敏感个人信息数据的登记。信息一旦泄露，给用户带来的最直接影响，就是个人信息被贩卖，从而有可能被用于精准诈骗。随之而来的是个人信息被仿冒，数据被利用注册账号或者是用于骗贷。此外，还会对生活造成困扰，像平时生活中接到的各种诈骗电话、骚扰电话等等，就是信息泄露带来的后果。

随着互联网的发展，信息泄漏下的网络诈骗和黑产也有了一些新的特点。潘少华以自身的从业经验来看，网络黑产一方面由诈骗个人到后面开始转向企业，比如黑客利用用户身份信息骗贷，而用户会莫名其妙收到欠款短信。其次，诈骗的领域和业务跟整个互联网发展是一致的，朝阳产业、红海领域都是黑产几集中的地方。

在互联网刚兴起的时候，游戏装备最值钱，那时候的黑客都盗 QQ 号；到 2007、2008 年电子商务和淘宝开始占据市场，在线的银行支付也逐渐多了起来，那时候的网络黑产就集中在电商；再往后是移动支付、O2O 互联网金融、P2P 现金贷，到现在的区块链。最后，网络诈骗和黑产也越来越精准，比如很多黑客拿到用户的姓名、手机号、地理定位、车牌号码后，就能实施精准的诈骗。潘少华举了一个例子，比如小 A 开车刚到望京 soho，就收到一条短信，说车牌号 XXXX 在某个路口有交通违停，点击地址查看违章详情，如果点进去就会直接中病毒。

“网络黑产和诈骗会有几种手段，第一种手段是广撒网，比如说伪基站在某个区域，把消息发给整个区域的人。 第二种是精准投放，比如手机中了病毒，病毒会把通讯录好友姓名、手机号全部倒出来进行消息发送，称呼用的是通讯录里存储的昵称，这种类型的诈骗成功率也会高很多。”

潘少华在 2008 年加入知道创宇后，一直在做一些跟网络黑产相关的对抗工作。10 年来，最让潘少华感觉到自豪的事情是，在 2015 年和无锡公安、无锡电信做的反诈骗项目。当时，知道创宇联合运营商做了拦截，再经过大量的机器学习和数据库更新后，系统会识别是否为诈骗短信，是否为欺诈网站。如果居民访问的是欺诈网站，就会直接被阻断了，页面也会弹出“无锡公安提醒您，您访问的是一个病毒网站”。这一年，整个无锡地区的发案率下降 88%。

个人信息频频泄露，企业要“背锅”

根据已知的各种信息，潘少华认为，华住事件之所以会发生，最根本原因是企业安全管理研发生产流程存在着非常大的漏洞：

1. 企业数据安全意识不够

至于为什么会发生，潘少华觉得首先是企业自身对这个数据安全不重视，一方面从企业到普通用户，对个人的隐私没有很强烈的感知；另一方面在国内，很多企业都在忙着生产忙着发展，不会去考虑信息泄露的事情，所以，企业对于安全信息相关投入也都是滞后的。

2. 安全管理意识传递不到位

企业对员工的安全意识缺乏足够的教育，从已知的信息来看，华住的员工很可能为了工作方便，把公司测试平台的账号密码都发到 GitHub 上，黑客随便找个正常的工具就能下载整个数据。针对这种情况，潘少华建议企业应该设立一些内部管理条例，用无线安全产品或者专业的安全服务厂商。

3. 企业对数据泄露存在规避责任的侥幸心理

国际或者国内有数据安全相关的法律法规、政策指引，比如对于重要的信息系统，都有要求做等级保护，尤其面对巨大的用户信息时。潘少华认为，企业设置安全基础线只能解决安全防护有无的问题，但之后还需要有足够的经营安全专家，把系统用好，真正的对数据负责，不能存在侥幸心理。

在潘少华看来，除企业外，责任主体对泄露事件的监管力度和惩罚力度还不够严厉，这是一种变相的纵容。华住是美国上市公司，在美国法案各方面要求非常严格，如果出现重大信息泄露，企业是需要背负很大的责任。但当前我国制度层面对此类事件的处罚还欠缺具体标准，而欧盟的《通用数据保护条例》（GDPR）则明确规定，对泄漏用户数据的互联网公司最高处罚其全球营业额的 4%。

企业技术安全四步走

在对攻防黑客，应对信息泄漏下的网络黑诈骗和黑产方面，潘少华积累了丰富的经验，在他看来，黑客攻防是互相迭代、互相博弈，不停升级的过程，“我们不存在天生的武术高手，也不存在一步登天的天才”。在国内，有非常多复杂的安全问题会出现，当然也会有相对应的手段进行阻止。

第一步：打白刃战用的漏洞攻防

发现新漏洞后，根据漏洞进行防护，长时间下来，会十分了解漏洞以及黑客用的攻击手段。

第二步：大数据驱动的雷达或者气象卫星

事先检测好网络资源，做一个风险地图，一旦发现新的安全事件，企业或者机构能第一时间主动地去升级修复漏洞，阻止黑客侵入。

第三步：做基于大数据的云防护

所谓云防护，就是把黑客攻击事件日常的防护联动起来做机器学习模型，有新的攻击异常，有新的指标不正常，我们都能够第一时间感知到，这样能够把个人的安全能力变成集体的智慧。

第四步：大数据反欺诈

这一步主要针对企业需求。做大数据训练好的数据，并对其进行建模评分。通过机器学习把数据训练好，模型给企业，赋能加大业务环节，然后企业根据自己的需求去判断。比如说 P2P 企业有新用户注册，我们可以通过用户各方面的行为来进行重点监测，就可以判断用户是否有骗贷倾向。

Q&A

 如何引导黑客？

对于黑客以前是打击不够严厉，安全法出来后有很强的威慑力，让大家都明白网络不是法外之地。第二，可以有一些政策上的引导，可以把有能力有技术的黑客引向正当渠道，比如引导到网络安全公司里。

其实有时候，我们在说黑客时，强调的还是对安全技术有强烈的探索欲望的人，代表着极客精神的存在。

 信息时代每个人都是在“裸奔”，个人该如何自我保护？

很多人说换密码有用，其实只是我们觉得很安全，这些信息、密码想要在网上获取已经不是难事。尽量不连接公用 WI-FI，能用 4G 就用。因为连 wifi 被人劫持被黑客篡改的概率非常高，一个黑客可能通过远程控制了很多咖啡厅的网络，你上网的时候会把信息都记下来。此外，公众 wifi 运营商也不同，做个 wifi 管理系统就可以知道，你通过哪个手机号或者哪个会员账号登录，访问过哪些网站，有什么兴趣取向？就可以去做精准营销。

你对数据泄露有什么看法呢？这个“锅”应该由谁来背？在技术上我们能够做些什么？在留言区中分享一下你的看法吧！

作者 | Bella Wu

责编 | Rainie Liu