在一家貿(mào)易公司負責(zé)國內(nèi)業(yè)務(wù)的劉昊，最近倍感困擾。

　　由于工作需要，他在不少網(wǎng)站和 APP 應(yīng)用上都有自己的賬號，然而不久前，順豐和華住等企業(yè)先后傳出上億條用戶數(shù)據(jù)遭泄露之后，他被同事的“忠告”嚇得把十幾個平臺上的所有登錄密碼都修改了一遍，而且每個平臺的用戶名和密碼都修改為完全不同。

　　“IT 部門的哥們兒說，只要黑客拿到一個平臺上的用戶密碼，就會用撞庫的方法在其它網(wǎng)站上進行登陸嘗試。”他對此非常無奈，無論這些事件最終調(diào)查的結(jié)果如何，都要先改一下所有的登錄密碼才覺得安心。畢竟有不少賬號密碼，與自己的支付密碼是相關(guān)的。

　　尤其是朋友告訴他，以后自己這些重要的應(yīng)用不要使用同一個登錄密碼，最好是一個應(yīng)用使用一個密碼，不要重樣。這可讓他費勁了腦汁。

　　實際上，近幾年無論是國內(nèi)還是國外的互聯(lián)網(wǎng)企業(yè)、服務(wù)機構(gòu)，在用戶信息方面都屢屢出現(xiàn)重大泄露事件，幾乎可以說沒有一位用戶的信息是絕對安全的。而那些在網(wǎng)上高價兜售的用戶數(shù)據(jù)，更是奇貨可居，一旦出現(xiàn)就會被高價收購。到底是誰在盯著我們每個人的數(shù)據(jù)隱私?

　　用戶信息泄露首先是“人”的問題

　　“(用戶)數(shù)據(jù)被盜已經(jīng)不是第一次了，我們也很苦惱。”

　　吳勝強在一家互聯(lián)網(wǎng)公司擔(dān)任運營總監(jiān)。兩年前，他所在的這家企業(yè)研發(fā)并運營了一款新車評測的視頻類應(yīng)用。之后，他們就一直在與用戶隱私數(shù)據(jù)安全做著不懈“斗爭”。

　　由于這款應(yīng)用涉及評測和購車話題，注冊用戶也被視作購車、養(yǎng)車的潛在客戶，因此數(shù)據(jù)庫常常成為網(wǎng)絡(luò)黑客重點“光顧”的對象。應(yīng)用上線初期，幾乎每個月都會發(fā)生一、兩起數(shù)據(jù)庫被攻擊的事件。

　　黑客通過攻擊數(shù)據(jù)庫，導(dǎo)出部分用戶數(shù)據(jù)的行為，被稱之為“拖庫”。為了杜絕類似的事件發(fā)生，公司的技術(shù)團隊做了不少防護措施，包括修復(fù)漏洞，加強防火墻，設(shè)置多級加密等。

　　“但類似的用戶信息泄露問題依舊還會出現(xiàn)，有的時候感覺是防不勝防。”他告訴懂懂筆記，盡管數(shù)據(jù)庫安全系數(shù)增加了不少，但隱患始終沒有排除。

　　有時候，部分泄露信息還是在用戶投訴后，技術(shù)團隊才得以發(fā)現(xiàn)。因此，吳勝強和技術(shù)主管開始懷疑，在公司內(nèi)部出現(xiàn)了盜竊用戶數(shù)據(jù)的內(nèi)鬼，但是在缺乏證據(jù)的情況下，他們一時難以鎖定目標(biāo)。

　　“如果真的拿到真憑實據(jù)，對于內(nèi)鬼也只能悄悄開除。”吳勝強透露，不少企業(yè)都發(fā)現(xiàn)了內(nèi)鬼的存在，但在部分信息泄露之后都不敢公開，甚至不敢報警。究其原因，還是為了維護品牌以及企業(yè)的名聲。除非是大面積信息泄露被媒體報道，相關(guān)企業(yè)才會做出回應(yīng)，或者交由警方處理。

　　據(jù)《財經(jīng)》雜志報道顯示，有 80% 的數(shù)據(jù)泄露是企業(yè)內(nèi)鬼所為，黑客和其他方式僅占 20%。對于這樣的比例，可能很多企業(yè)高管會感到驚訝，自己在技術(shù)上的投入防的了黑客卻防不住人心。

　　“企業(yè)在不斷加強通過技術(shù)防御過程中，往往疏忽了‘人’才是安全攻防的本質(zhì)與核心。”聊到這個話題，在知名信息安全企業(yè)任高級分析師的韓昊晟也表示，一些企業(yè)在加強了數(shù)據(jù)安全技術(shù)防護措施之后，的確能夠減少因漏洞被黑客攻擊所產(chǎn)的生數(shù)據(jù)泄露事件。但是這些舉措無法阻止因企業(yè)內(nèi)部培訓(xùn)、監(jiān)督、管理缺失，導(dǎo)致監(jiān)守自盜，泄露用戶隱私信息的行為。

　　或許，無論是加強技術(shù)防護門檻，還是加強對相關(guān)人員的監(jiān)察，都只能是在一定程度上盡量杜絕數(shù)據(jù)泄露的發(fā)生。畢竟想要獲取這些數(shù)據(jù)的灰產(chǎn)或者黑客，對于海量真實用戶數(shù)據(jù)的貪婪是我們難以想象的。原因很簡單，出售這些數(shù)據(jù)能夠帶來巨大的財富。

　　那么，那些泄露出去的用戶隱私的數(shù)據(jù)，是被什么人買走了?

　　用戶信息被循環(huán)出售，買家背景復(fù)雜

　　“只要驗證信息是真實的，他們就會收。”

　　曾從事信息灰產(chǎn)的汪海(化名)在交流中透露，無論是專門攻擊數(shù)據(jù)庫的黑客，還是盜竊企業(yè)數(shù)據(jù)的內(nèi)鬼，除了個別的會自己去暗網(wǎng)上匿名兜售，大多情況下，都是整套賣給類似他這樣的“二道販子”，再通過社交網(wǎng)絡(luò)分銷出去。

　　“二道販子”根據(jù)信息內(nèi)容中，所涉及的職業(yè)、所在地、消費能力等信息進行分類、篩選、梳理成一套套有行業(yè)針對性的用戶信息資料。而這個分類、篩選、梳理的過程，也被稱為“洗庫”。之后，這些用戶信息，就成了可以銷售的“成品”了。

　　“用戶信息的買家，三教九流、形形色色什么人都有。”汪海表示，諸如小區(qū)業(yè)主、車主、高消場所顧客、網(wǎng)購達人等用戶信息，要價最高，每萬條信息甚至可以賣出幾千上萬元的價格。

　　他透露，高價值用戶數(shù)據(jù)的買家，或來自一些地產(chǎn)企業(yè)、投資理財機構(gòu)，也會有一些商業(yè)銀行和保險機構(gòu)。購買這些數(shù)據(jù)的目的，主要是希望通過這些用戶信息，推銷拓展與房產(chǎn)、投資、理財?shù)认嚓P(guān)的業(yè)務(wù)。

　　而那些普通消費類用戶信息，諸如酒店預(yù)訂、電商購物、商場積分等等，“二道販子”會整理好信息后，在美妝、鞋服、數(shù)碼、旅游、培訓(xùn)等細分領(lǐng)域出售給相應(yīng)的企業(yè)。

　　這一類數(shù)據(jù)的價格比較便宜，每萬條售價數(shù)百元到千元，而且常常會多次、重復(fù)銷售。甚至有一些買家在利用完這部分信息進行產(chǎn)品推廣后，還會通過更低級別的信息販子，轉(zhuǎn)手出售給一些小規(guī)模的房產(chǎn)中介、網(wǎng)貸公司。

　　“至于那些缺少標(biāo)簽，無法分類的個人信息，往往會跟著多次回收的二手信息一起，低價賣給詐騙份子。”汪海透露，一些詐騙電話、短信之所以能夠知道用戶曾經(jīng)的消費記錄、購物信息，有針對性的進行詐騙，都是參考自這些廉價、且自帶多重消費行為標(biāo)注的隱私數(shù)據(jù)。

　　如此算來，一套擁有數(shù)千萬個用戶信息的數(shù)據(jù)，能夠給黑客、信息販子帶來的直接收益，就足夠驚人。而在這些信息買賣的過程中，不少信息販子為了掩人耳目，在交易時是使用購買來的身份證件、銀行卡去收款，甚至?xí)褂锰摂M幣進行交易，以規(guī)避被有關(guān)部門查處的風(fēng)險。

　　有不少網(wǎng)友表示，個人信息泄露事件層出不窮，自己已經(jīng)見怪不怪了。若信息只是賣給商家、騙子，那么遇到銷售、詐騙電話和短信，頂多不接不看就是。不接觸，對日常的生活影響也就不大，所以自己完全并沒有必要過分擔(dān)憂。

　　那么，個人隱私信息泄露的危害，真的只是如此嗎?

　　平臺賬號密碼泄露，資金也有風(fēng)險

　　“為了方便，我很多賬號密碼都設(shè)置一樣的。”

　　前不久，從事客服工作的賈彤發(fā)現(xiàn)郵箱賬號被盜，而她只是簡單修改替換了郵箱密碼。然而接下來的幾天，她有不少平臺的賬號在異地被頻繁登錄。就連手機中的支付應(yīng)用，也經(jīng)常提示賬號異常。

　　賈彤趕緊上網(wǎng)搜索解決方法，發(fā)現(xiàn)有不少網(wǎng)友都在咨詢類似的情況。

　　由于跨平臺賬號密碼設(shè)置一致，導(dǎo)致用戶只要有一個賬號被盜，黑客就會利用這一賬號信息頻繁嘗試登錄其他平臺，以竊取更多的用戶資料和價值信息，而這種“撞庫”的成功率據(jù)說相當(dāng)高。

　　“如果密碼都會設(shè)置不一樣，經(jīng)常會搞混或者忘記，設(shè)置一樣的話，又怕一個平臺發(fā)生信息泄露，其他平臺都被破解。”同樣懷疑自己遭遇“撞庫”的大學(xué)生黃宇告訴懂懂筆記，不久前，他的游戲賬號就發(fā)生了被盜、無法登陸的現(xiàn)象。

　　在花了兩天時間將賬號申訴回來之后，他卻無奈發(fā)現(xiàn)，游戲中的大量裝備，都被“轉(zhuǎn)讓”一空了。這讓他不禁想起了事發(fā)前，某知名網(wǎng)站被爆大量用戶信息泄露的新聞。

　　“雖然不是很肯定這之間有關(guān)系，但還是擔(dān)心別的賬號也被盜號。”小心起見，黃宇不得不將所有的平臺密碼都改了一遍。甚至還將支付寶、微信支付中的銀行卡全部解綁，以確保資金的安全。

　　那么，黑客通過通過“撞庫”是否能盜取、轉(zhuǎn)走用戶支付應(yīng)用中的資金呢?

　　“是否能轉(zhuǎn)走用戶資金，屬于撞庫攻擊后具體的操作，這也涉及到相關(guān)支付平臺的安全措施和安全等級。”360 網(wǎng)絡(luò)安全響應(yīng)中心安全分析師韓昊晟告訴懂懂筆記，撞庫攻擊是一種通用的攻擊方法，轉(zhuǎn)走用戶資金是一些具備該功能的平臺被攻擊后，黑客進行的另一種操作，這兩者之間并不是同一個概念。

　　韓昊晟強調(diào)，如果用戶在使用金融相關(guān)應(yīng)用的過程中，開啟了諸如動態(tài)密碼、短信驗證碼等多重驗證措施，可以大幅提高應(yīng)用支付時的安全系數(shù)，同時減少撞庫攻擊后自己資金被轉(zhuǎn)走的風(fēng)險。

　　他同時強調(diào)，不同賬戶設(shè)置不同的密碼，是保障用戶數(shù)據(jù)安全的重要方式之一。針對個人密碼的設(shè)置，建議養(yǎng)成良好的密碼習(xí)慣，字母大小寫+數(shù)字+符號的 16 位密碼，“不要使用生日、手機號等作為常用密碼，并且養(yǎng)成定期更改的習(xí)慣，重要賬號密碼需單獨設(shè)置。”

　　最為重要的是，當(dāng)出現(xiàn)重大數(shù)據(jù)泄露事件且涉及到自身安全隱私時，用戶應(yīng)該盡快去修改相關(guān)賬戶密碼。同時及時查看自己是否在其它站點、應(yīng)用、金融或銀行業(yè)務(wù)使用了同一密碼，如果有的話也應(yīng)該立即修改。

　　處身于網(wǎng)絡(luò)時代，我們每個人的數(shù)據(jù)信息都有可能淪為灰產(chǎn)牟利的工具，實際上這也暴露了當(dāng)前網(wǎng)絡(luò)安全防護的脆弱性。我們可以說不在意自己在網(wǎng)上已經(jīng)是“透明人”，但是這些信息很可能不僅被不法分子用于謀取商業(yè)利益，還可能用于危害公共信息安全，操縱社會輿論，這樣的后果更是細思極恐。

　　今年初，國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》發(fā)布后，就有行業(yè)人士呼吁，對于那些擁有海量個人數(shù)據(jù)信息的企業(yè)，如果繼續(xù)漠視用戶利益，甚至違法違規(guī)，這部《規(guī)范》應(yīng)該會成為其巨大的負擔(dān)和追責(zé)依據(jù)，只有這樣才能引發(fā)那些野蠻生長的行業(yè)進行反思。

　　作為個人用戶，我們希望整個行業(yè)都能守土有責(zé)，信息安全已經(jīng)不是個人的事情，也希望那些掌握海量數(shù)據(jù)的企業(yè)，能在技術(shù)和人這兩方面，負起真正的責(zé)任。
　　（邯鄲網(wǎng)站制作）