2015.10.20 第1723期

为何中国网民的“内裤”如此易扒?

导语: 近日,关于网易邮箱数据泄漏事件闹得沸沸扬扬。该邮箱辟谣称自身系统并未被攻破,但消息发布方乌云漏洞平台也言之凿凿。不论是被攻破,还是其余网站失守致殃及网易,不可否认的是,大面积网民的个人信息,确实被泄漏了。为什么中国网民的“内裤”如此易扒,被窥探隐私有何风险,作为网民之一的你,还安全吗?

信息早泄漏多时,突然爆出是榨干最后利益

  网易邮箱被爆出数亿用户个人信息与密码泄露,这一事件在今天内由于某匿名人士在国内最大的Web安全漏洞上报平台“乌云”上提交曝光,而在一瞬间内引爆了整个我国网络圈与各大媒体;然而有趣的是,安全业内圈子对此事却反应平静,并没有大厦将倾、世界末日的惊恐景象。


  事实上,该邮箱有一个库在外面小范围流传,早就是安全圈内心知肚明又无从考证的一个“真实的流言”,大量发生的其代理的某网游盗号事件以及部分用户的网上支付产品被盗用事件不断从侧面映证着这一点。


  直到频发的iPhone手机被远程锁定以勒索机主钱财的网络犯罪案件,才将这个事实推到前台。因为我国的苹果用户们很多都习惯于使用网易邮箱来注册Apple ID以使用苹果所提供的各种设备与云服务,所以大量的Apple ID被通过网易邮箱的密码进行登录或将设备远程锁定以敲诈勒索了。这无疑是一种极为高调的行动,所带来的结果就是:大家纷纷修改自己的密码,而这个库也将在被隐秘利用了许久之后失去自己的价值。


  但换个角度来看,这恰恰说明这份数量庞大的邮箱信息数据库其实已经存在了太久,久到其真实价值已经被“黑色产业圈”榨取殆尽(反复“洗库”),因此才会在它生命周期的最后一刻疯狂利用一把,然后在事件被人揭破以后彻底公开,于是这个“真实的流言”功成身退,鞠躬下台。


“黑色产业圈”产出“社工库” 专欺普通网民

  网络空间既然有诸多明面上的生意之道,自然也有不能见光的阴暗交易,这种交易随着我国互联网的发展而蓬勃生长,已经成为了年产值数十亿的巨大而完整的产业链。


  安全学术界将自己所从事的领域由原有的“网络安全”逐渐进化为“信息安全”,这又从侧面说明了“黑色产业”也罢、个体攻击者都将关注点放在了“信息”本身上。因为在任何时代,信息才是最有价值的无形资产。入侵重要组织,如政府部门、银行证券业等,固然可以快速带来巨大利益,但也同样带来较高的技术难度以及被抓风险,对“黑色产业圈”的“生意人”们来说不符合生意之道;于是他们将目光转向你我,互联网时代的普通网民,不懂网络安全技术,取得敏感身份信息简直容易至极。虽然个体价值有限,但胜在数量巨大,聚沙成塔,其总体价值足以养活一个巨大的产业圈。


  “大数据时代之下,个人隐私早已无所遁形”,这句话已经被重复过无数次。“社工库”正是大量聚集用户隐私的地方。“社工”者,社会工程学也,实质是黑客技术之外综合利用情报学、心理学甚至骗术等知识的总称而已。无数的“社工库”里充满着海量的用户注册邮箱、登录ID、QQ号、常用密码、银行账号、真实姓名、手机号码等个人敏感信息。


“社工库”个人信息从何而来?

  一方面由大量网民们自行贡献:点击木马、访问登录钓鱼网站、设置简单登录口令等;另一方面由信息服务的提供方泄露而出:“拖库”(网站数据库被黑客全部下载)事件以及XSS(跨站注入)导致的用户权限劫持或密码明文被盗取事件,以及内外勾结主动出售用户个人信息事件等。互联网用户日常所需要使用的网络应用如此之多,而个人敏感信息的内容种类与泄露方式也如此之多,体积与数量巨大的“社工库”存在也就不足为奇了。


  以下几类常用信息,常常是“社工”们窃取隐私的“重点照顾对象”。


  一是网名或注册ID。作为网络用户首要的识别符号,一般人都会在选择的时候注重唯一性与可识别性,这反而为攻击者提供了方便,他们可以简单地通过网名或者注册ID将分散在不同平台上的各种相关信息关联起来,形成属于该个体的全面完整数据库。


  接下来是QQ号。社工库中历来将QQ号作为重要的数据指标:结合外泄的QQ群信息库导致无数曾在同学同事群中使用实名标注群名片的用户真名曝光。同时,QQ邮箱在各大社交网站、移动互联网应用注册时的广泛使用,足以将各大网站的用户行为数据、社会关系等与其真实姓名联系起来了。


  然后是真实姓名、手机号码、银行账号等线下信息。我们做不到在网上给电话充值的时候不留手机号码;也做不到在网上订机票时不留下自己的真实姓名与身份证号码。但当骗子操着广东话直呼你名字,叫你明天到他办公室一趟的时候,才发现整个互联网就是一片黑暗森林。


  整片由无数信息所组成的黑暗森林,其根基是电子邮件服务。电子邮件服务是当前唯一无需提交其他凭证即可随意申请的主流互联网服务,也是使用互联网用户服务的第一个入口。甚至可以夸张一点说,谁取得了电子邮件服务的控制权,谁就掌握了互联网用户的生命线。


信息泄露危害财产安全 谁该担责?

  此次事件最要命的一点是,国内使用该邮箱的人不在少数,并且不少网民的支付宝账号、网游账号、网上银行、Apple ID等关联着大额甚至巨额资金的账号与其绑定,故增强了网民的愤慨,集体指责其邮箱安全系统。那么,这次事件的责任方,究竟在谁?


  首先,防御措施不足导致用户数据外泄的责任,该网站是必然需要承担的。


  其次,泄漏数据的邮箱有没有做过基本防护?据目前公开信息,此次曝光数据是2012年的该邮箱部分用户数据(确实被隐秘利用了三年),这些数据是已经过了MD5算法进行换算存储的,而现在的其早已使用MD5+SALT的形式来对用户数据进行强度更高的防护。


  另外,作为互联网用户的我们也同样要承担责任:我们使用各种简单好记的口令;使用同一个邮箱绑定了许多关键应用;重复使用同样的ID与密码,这些隐私意识薄弱的行为,为盗取信息的“社工”打开了方便之门。


  最后,整个社会,包括所有使用互联网信息系统以及政府机关、企业与组织机构,对自身信息系统防护的刻意忽视,对公民与用户敏感信息安全的漠不关心,对内部人员的信息安全管理、信息安全审计与问责机制的缺失,都是造成当前互联网上“社工库”泛滥的罪魁祸首。


  这次邮箱安全事件其实正是一声响亮的警钟,敲给所有的网民和信息安全管理部门。应提高自己的信息安全意识与防护能力,否则此类事件将会一次又一次、越来越严重地继续爆发下去。


往期回顾

comment num点击今日第1930期:部署“萨德”朴槿惠放弃亲中路线了吗?

 问责条例是对纪律和处分条例的一个补充,周永康、令计划、徐才厚、苏荣等大老虎的违法违纪行为...阅读全文>>

发表于 2016-07-22 08:12

comment num点击今日第1929期:问责条例出台 哪些大老虎是反面教材?

 问责条例是对纪律和处分条例的一个补充,周永康、令计划、徐才厚、苏荣等大老虎的违法违纪行为...阅读全文>>

发表于 2016-07-21 09:32

comment num点击今日第1928期:靠谣言来编造阴谋论,爱国能持续吗?

 赵薇启用有争议性的演员、没有及时向观众澄清事实,原本是明星处理“危机公关”的失败案例,但...阅读全文>>

发表于 2016-07-20 08:36

comment num点击今日第1927期:延迟退休来了,谁最高兴?

 关于延迟退休的话题近年来一直不断,而近日更被炒得沸腾异常。人力资源和社会保障部部长尹蔚民...阅读全文>>

发表于 2016-07-19 07:30

comment num点击今日第1926期:为什么法国总是恐袭不断?

 7月14日法国国庆日当晚,法国地中海旅游度假城市尼斯一辆卡车冲进正在观看国庆日烟花表演的...阅读全文>>

发表于 2016-07-18 09:34

comment num点击今日第1925期:中国用和平谈判收回了多少争议领土?

 中国政府以及外交部也在仲裁结果出来之后发表声明,强调通过双边谈判,和平解决领土争端。和平...阅读全文>>

发表于 2016-07-18 09:31

comment num点击今日第1924期:日本天皇有意提前退位 或助安倍修宪?

 13日,日本NHK突然爆料,高龄82岁的日本天皇表示想要“生前退位”,提前让皇太子继承皇...阅读全文>>

发表于 2016-07-14 08:44

comment num点击今日第1923期:南海仲裁法庭和联合国真没关系?

 7月12日,南海仲裁法庭公布了最终的“仲裁结果”,中国对菲律宾单方面提起的仲裁表示“不接...阅读全文>>

发表于 2016-07-14 08:38

comment num点击今日第1921期:民警进驻医疗机构,能防止“医闹”吗?

 民警进驻医疗机构,可以在一定程度上打击暴力伤医的行为,维护就医环境,但缓解医疗纠纷宜疏不...阅读全文>>

发表于 2016-07-14 07:50

comment num点击今日第1919期:安倍赢得参院选举 日本为何全民右倾

 从2012年12月重获政权以来,修宪一直是安倍的执政夙愿,加上自民党和公民党组成的联合执...阅读全文>>

发表于 2016-07-13 08:39

comment num点击今日第1918期:美国真的是“性侵大国”吗

 美国司法统计局今年1月发布的调查,每4个女生中就有1个曾在校园里遭遇性侵犯和性骚扰,而她...阅读全文>>

发表于 2016-07-12 07:42

comment num点击今日第1917期:蓄滞洪区是牺牲小县城保卫大城市吗

 李克强总理5日也奔赴安徽、湖南等地视察防汛工作,在安徽李克强视察的一个地方是阜阳濛洼蓄洪...阅读全文>>

发表于 2016-07-08 11:15

comment num点击今日第1916期:上海垃圾偷运苏州 查了又如何

 目前我国城市生活垃圾已成为公害,大城市垃圾产量惊人,而且处理成本高昂,偷运到外地非法倾倒...阅读全文>>

发表于 2016-07-08 11:10

comment num点击今日第1915期:地震洪水频发 何不为其买保险?

 7月1日,中国城乡居民住宅地震巨灾保险产品正式全面销售,标志着中国城乡居民住宅地震巨灾保...阅读全文>>

发表于 2016-07-08 11:09

comment num点击今日第1914期:武汉看海 百亿排水工程不管用?

 几乎“逢雨必涝”的武汉今年再度开启“看海”模式。7月的一场暴雨过后,城区出现多处严重渍水...阅读全文>>

发表于 2016-07-08 10:56

comment num点击今日第1913期:实习生缘何成了弱势群体

 近日,某报社记者涉嫌性侵女实习生的事件引发了社会的广泛关注,公众在关注嫌疑人定罪、整肃记...阅读全文>>

发表于 2016-07-08 10:43

comment num点击今日第1912期:公共场所猝死 真的救不了?

 6月29日晚,媒体人金波在北京地铁6号线呼家楼站的站台上突然晕倒,随后失去意识,虽经热心...阅读全文>>

发表于 2016-07-01 14:38

comment num点击今日第1911期:死刑犯临刑喊冤就能保命吗

 日前有媒体报道,十多年前,山西一名死刑犯张鸿在临刑前不断喊冤,死刑被紧急中止,暂缓执行。...阅读全文>>

发表于 2016-07-01 14:37

comment num点击今日第1910期:老人免费交通为什么不好

 根据上海市人民政府统一部署,老年综合津贴制度实施后,上海不再实行70周岁以上沪籍老年人免...阅读全文>>

发表于 2016-07-01 14:36

comment num点击今日第1909期:六岁儿童能承担法律义务吗

 十二届全国人大常委会第二十一次会议6月27日开幕。根据两周前委员长会议的建议,本次会议将...阅读全文>>

发表于 2016-07-01 14:34
  • 信息早泄漏多时
  • “黑色产业圈”专欺普通网民
  • “社工库”个人信息从何而来?
  • 谁该担责?

作 者: 水波