|
美国三大征信机构之一Equifax,在5月中旬到7月之间发生了数据库遭攻击,公司称它们于7月29日制止了此次攻击,但此次产生了1.43亿客户信息泄露。Equifax作为3家大型老牌征信企业,它掌管8亿人的信用、保险记录,除了美国的用户外,还有英国和加拿大的用户受到了影响。被黑的信息包括消费者的姓名,生日,社会安全号SSN,地址,驾照号。美国总人口为3.2亿,这也就意味着,每两个人中,就有一个人的信息被盗用! 目前美国的主要和个人打交道的机构,如银行、医院等,验证身份的主要方式是姓名、社安号、住址和生日进行比对,也就是说,只要这四个信息一致,那么任何人都可以随时被冒名顶替,然后不法者就可以为所欲为。例如随意冒名进行银行开户、信用卡提现等,这将导致暴露在此次泄漏事件中的个人将面临巨大的潜在金融风险。不久的将来,这些受害者或将面临身份盗用以及财务欺诈的可能性。 Equifax最初仅透露称,网络罪犯利用了一个“美国网站应用”中的漏洞来获取文件。初步认定该应用是Apache Struts——很多顶级企业用来创建Web应用的一个框架。9月13日,Equifax在其专门为该网络安全事件开设的网站上发布了更新,确认CVE-2017-5638就是攻击者利用的Apache Struts 2漏洞。该公司没能在关键漏洞公布后的2个多月里打上补丁,是本次数据泄露事件的主要原因。Struts 2给网络安全带来了严峻的威胁,但要替换掉它们却需要大量的工作,非一夕之功能完成。此外,还有大量的第三方Web框架,甚至是各家公司自己研发的Web代码里也经常引入各种高危安全漏洞,比如SQL Injection, XSS, CSRF等等。 芝加哥大学计算机教授赵燕斌认为,“Equifax受到攻击我并不惊讶,我惊讶的是黑客攻击的时长竟然持续了两个月,而且公司竟然花了那么久才察觉到。要知道1.43亿人的信息需要花很久才能下载下来。很显然,公司对于外来入侵以及网络异常的侦察系统已经失效。”Equifax事后的危机处理让民众感到非常不满,目前受害者已提出高达700亿巨额的集体诉讼。 从美国转回来国内,大多数人对以下几种情况一定不陌生:刚买完房,手机会接到多家开发商、中介机构的电话或短信;孩子刚出生,推销婴幼儿产品的广告纷至沓来;车险一到期,各大熟知你信息的保险机构就开始“轮番关怀”…… 《中国个人信息安全和隐私保护报告》曾指出,公民个人信息遭受侵害的程度令人触目惊心。在对全国100多万份调查问卷进行分析研究后,该报告披露,超过70%的人认为个人信息泄露问题严重;81%的人收到过熟知个人信息的陌生来电;53%的人因网页搜索、浏览泄露了个人信息;因租房、购房、购车、考试和升学等泄露个人信息后,受到营销骚扰或诈骗的高达36%。在2016年4月初,被告人杜天禹通过植入木马等方式,非法获取2016年山东省高考考生个人信息64万余条,并向陈文辉出售考生信息10万余条。陈文辉利用购买的上述信息实施电信诈骗,造成临沂市罗庄区高考考生徐玉玉死亡。 “我不是我,我只是我的数据制造机”。每一个清晨,从我们拿起手机的那一刻起,从起床智能穿戴设备上传睡眠数据;到出门上班手机预订出租车;通勤路上,随手在旁边的早餐店用支付宝扫一下用二维码付款等等,数据就被不断的生产和记录。购物网站,资讯聚合软件,我们每个人看到的首页,都是不一样的。我们在生产数据,数据又反过来成为一个路标,让形形色色的推送能够找到我们。 世界从未变得如此数据驱动。诈骗只是个人数据的一种小范围用途。在大家都在谈论人工智能、个性化推荐、精准营销的现在,世界从未如此渴望知道“你”是谁;从金融,到医疗,广告到电商,各行各业从未像现在这样对数据充满渴求。短短几年,随着市场爆发出的需求量,中国已经催生出市值21亿元的新三板数据服务商数据堂。可以毫不夸张的说,我们身处的正是楚门的世界。 数据可以轻易给每个人“画像”。一位行业内人士透露,为了描述一个用户画像,阿里巴巴构建了741个纬度,来收集数据。“弱数据甚至更多。所有的数据,你买过什么,购买频率和价格,你住在哪,银行里有多少钱,它全知道。”今年,大公司之间为了争夺数据,爆发了前所未有之多的争斗。6月初,阿里系估值500亿元的物流平台菜鸟,和顺丰因为数据掐起来了;新浪微博诉脉脉过渡攫取用户数据;腾讯控诉华为Magic手机侵犯用户隐私……过去则少有这样的情况。而两年前,马云说阿里巴巴要做数据公司、未来最大的能源是数据时,还稍显空洞。 大数据时代,所行所思、消费习惯、行程安排、关系网络,数字巨头比你更了解你自己,获取便利的同时也签署条约共享个人信息。同时,个人数据不仅仅是各大公司的宝藏,也吸引着不法者的目光,个人信息泄漏事件频发,背后是两种主要形式:黑客攻击和安全人员疏漏。光缆的尽头是宝藏,数据引来贪婪的窥探者。 大型互联网公司约等于一个又一个肥美的大型数据库,盗取和贩卖隐私则是个产业。面对大规模的信息泄漏事件,无论是旋涡中的当事人,还是掌握着大量个人信息的大中小企业,都不应该袖手旁观,觉得此事于己无关。这次美国的巨额集体诉讼为我们敲响了安全的警钟,国内的网络安全法更是犹如利剑高悬,时刻提醒着企业安全防护的重要性。 扫一扫,与小编一起探讨CCIE安全那些事儿~ |
|
|
