文 | 猎云网(ilieyun)张宁
3786 字,约需 10 分钟阅读
企业信息泄露是防不住的,因为错的人不在你,而是那些别有用心、虎视眈眈的窥视者。
在互联网江湖上,每天都在上演一场场无形的攻防战,那里是互联网企业与黑客们的角斗场。黑客们,像一只非洲草丛中的猎豹,隐匿而嗜血,靠着金钱的诱惑,他们疯狂的向互联网企业发动一次次撞库、拖库,为雇主窃取信息。
而进攻的策动者,则是利益熏陶的金主—竞争对手、广告主、诈骗集团,黑客在他们眼中,是撞开财富宝库大门的攻城重器,用完即扔。
曾经,盗取企业用户信息,是一个一本万利、无需担当风险的掘金地。但随着法律量刑出台,畅通无阻的舞台,变得满地荆棘。
互联网企业、黑客、雇主,这场没有炮火声的战争还将持续,只是天枰略有倾斜。
用户被骗 33 万,互联网企业城池频频陷落
“我现在一分钱都没有,生活开销都是跟朋友借的”,石女士,北交硕士、管理咨询顾问、某互联网金融公司战略部高级研究员、金融从业多年,光鲜的标签支撑着她的北漂梦,“生活是美好的,有奔头。”然而十月初,一个自称京东客服的电话,把石女士小确幸的生活撕得稀巴烂。
“被骗了 33 万,骗子到底怎么知道我在京东上的订单信息”,电话沟通的那一头,石女士言语沮丧,充满着阵阵愠怒。毫无疑问,京东订单信息的泄露,是撞开她警惕线的一记重锤,“以后不敢在在京东买东西了。”
其实企业信息泄露,早已老生常谈,并不稀奇。
2017 年月 8 日,美国三大征信局艾可菲,被黑客盗走1. 43 亿美国消费者的个人信息;同年 3 月,京东因内鬼监守自盗, 50 亿条个人信息流向黑产; 2016 年 12 月,京东被曝12G的用户数据包在黑产市场买卖; 2015 年,网易 163、 126 邮箱被曝漏洞,近 5 亿邮箱账号、密码数据泄露; 2014 年 12 月, 超过 13 万条的 12306 网站用户信息在互联网上疯传;同年年,小米论坛遭黑客拖库, 800 万用户注册信息遭泄露……
互联网公司阵地频频失手,个人用户信息大量外泄。而攻城拔寨、功绩彪炳的则是活跃在无形战场上的黑客,“安全工程师的薪酬待遇比较高,做内鬼不值当”,百度安全负责人黄正向猎云网表示,互联网企业真正的威胁来自外部的黑客进攻。
在网络世界里,他们是草原霸主,无所忌惮、无孔不入,大肆攻击互联网企业,盗取用户信息。即便是网络安全专家也未能幸免。“有一次我去国外,连接过公共WIFI,结果被别人克隆出跟我一摸一样的QQ号,冒充我向我的朋友借钱”,向猎云网回忆时,资深安全专家大Z不免寒栗。
拖库、撞库,黑客獠牙
黑客的武器库中,十八般兵器,但撞库与拖库是黑客攻陷企业城防的两大攻坚利器。
拖库简单粗暴,入侵网站后,直接获取数据库中用户的全部数据,在黑客面前,企业的城防如此薄弱。“只要我在里面的厕所蹲上一个礼拜,我就能把这些格子间的信息全部拿到”,谈到网络入侵,某互联网企业技术负责人指着SOHO办公楼,不无得意,“有点像狙击手,要潜伏等待,扣动扳机,一击致命。”
攻破城防的核心在于获取获取管理员权限,因此多数黑客寻找漏洞,植入病毒、建立伪基站等方式,取得管理员权限,查看源码。“黑客们只需建造伪基站,挟持流量,从流量中就能分析出用户的账号、密码”,黄正指出拖库的进攻线路,只要获取管理员权限就能看到整个网站的密码,企业用户信息就这样被黑客玩弄于鼓掌。
拖库看似直插企业命门、深不可测,其实并非顶级黑客的独门秘籍。“拖一个数据库,只需要几万块钱,不论数据库的规模”,黑客爱好者小M向猎云网介绍到。
对信息安全防护不重视,系统老旧,为黑客攻击大开城门。据猎云网了解,艾可菲数据库被黑客攻破,主要是因为系统老旧,黑客从网上找到相应托库工具,“很多系统都用通用拖库工具,拖库没有想象的那么富有技术。”
如果说拖库是一剑封口的精准点杀,那么撞库则黑客们的地毯轰炸,利用用户在其他网站上已经泄露的账号密码,去各个网站上登陆验证。“黑客从其他渠道获取信息,比如之前已经泄露的信息,或是小网站的账号密码,在利用这些数据去撞库”,黄正指出。
2017 年 7 月,百度网盘遭受黑客撞库攻击,部分用户网盘数据被清空,用户账号、密码信息泄露; 2016 年 7 月,黑客用撞库方法在大麦网上购买商品,试试欺诈, 39 名用户被骗近 150 万; 2015 年 3 月,黑客实施撞库,窃取用户信息,用户被骗……
“多数用户比较懒,账号密码都是同一个,成功率相当大”,对于撞库,小M颇为自信,屡试不爽,原因是多数用户对个人信息不重视。为此,为加固城防,防止黑客大规模撞库,互联网公司纷纷加入验证码,识别网络请求的发起方是人类,而不是机器。“验证码是对机器访问,撞库攻击,暴力破解非常好的一种抵御方式”,某安全专家表示。
但魔高一丈,黑客们要么利用系统漏洞,绕开验证码校验,要么与打码平台合作,黑客将账号密码信息输入撞库软件,发动登录请求,撞库软件将受到验证码图片发送给打码平台,并将图片信息转化为文字信息。
目前部分黑客已经为撞库进攻加入AI技术,今年 9 月,浙江警方查封打码平台“快啊”,“快啊”是黑市市场上最大的打码平台,能够识别市面上98%的验证码,在查封时,警方截获了 10 亿余组公民个人信息。
其实,与黑客的搏斗,并非想象中的你死我活、炮火连天,而是悄然无声的暗夜杀人。黑客,就像狩猎前的猎豹,隐匿于无形,寻找企业服务器漏洞,“根本没有惊心动魄的攻防战,他要攻击你,你都不知道什么时候”,看着手头的工作,黄正感叹。
发现漏洞、利用漏斗,是黑客信息盗取的前提,就像古代武林高手对决,心有杂念、稍不留神的一方必败无疑。
企业、广告、诈骗,利益熏陶,黑产罪源
黑客虽然无影无踪,但他仅仅是攻破企业城防的重锤,真正可怕的购买用户数据的买家。
竞争对手、广告主、诈骗集团组成的买家,它才是数据黑市的始作俑者:提供需求、支付费用,而黑客、交易商,游戏的所有参与者都为其服务。在这里,买家是一切非法行为的源头,任何的黑客行为都会被贴上价格,只要有钱,就可以做任何事情。
为了干掉竞争对手,企业无所不用其极,利用黑客进攻对手,赢得战争屡见不鲜。
2016 年 2 月,拉勾网员工通过黑客技术破解BOSS直聘所使用的企业邮箱管理员密码,该员工在腾讯企业邮箱后台、苹果App开发者后台,申请App store官方删除了Boss直聘APP,恶意操作导致产品下架。
金三银四,招聘黄金月,在App Store搜索“Boss直聘”时,索结果却为“Boss在线”,而“BOSS在线”为拉勾网开发,与“Boss直聘”无任何关系。在黑客的进攻导致BOSS招聘损失惨重,“重建了家园,努力降低损失,努力服务好正处于招聘求职旺季的用户”,BOSS招聘官方回应。
而对互联网创业公司来说,信息安全更为重要,不但关系输赢,更关乎生死。与大企业相比,创业者更愿意把钱花在营销和研发上,而不愿再安全上过多投入,但安全上的抠门,也可能成为创业公司的死穴。“某个创业公司老板,雇佣黑客,把竞争对手的数据库删得一干二净,原本势均力敌的关系瞬间打破”,某公司创始人透露。
搞掉对手仅是买家意图的一角,有盗取的资料信息快速变现,催生买家的欲望,就像寻着血腥味而来的野狼。“外泄的个人用户数据,主要用于广告推送和电信诈骗”,火绒网联合创始人马刚向猎云网表示。
而BAT因信息量大、价值高,成为黑客重点“照顾对象”。 7 月,百度网盘遭受黑客频繁撞库攻击,战斗在一线的黄正承受外界攻击的压力,“百度每天都会面对黑客的攻击。”
百度账号只能捆绑一个手机号,靠大量注册百度账号刷量,提高贴吧、百科等级成本太高,为此,犯罪团伙雇佣黑客,通过其他渠道收集到的信息频繁撞击百度网盘数据库。一旦成功,这些账号会被犯罪团伙用于刷帖等,从中牟利。
“个人信息保护最核心的是要弄清楚,黑客侵入的真正目的是什么”,与黑客反复的较量博弈,黄正有着自己的心得体会,在他看来网络安全,不是软件与软件的战争,背后的主导则是人与人的打斗。
据中国互联网协会发布的《中国网名权益保护调查报告2016》显示:2016 年,数据黑市交易的个人信息达到 65 亿条次,因诈骗短信、信息泄露等受害者达6.88 亿,造成的经济损失约为915 亿元。
网络威胁面前没有幸存者,饱受黑客攻击的互联网企业,纷纷成立行业组织,抱团取暖。今年云栖大会上,阿里联合 17 家企业,共同推动“数据安全合作伙伴计划”; 9 月 24 日,网信办、工信部等部委发起,阿里巴巴、腾讯、百度等互联网企业签订《个人信息保护倡议书》; 360 推出威胁情报共享工程,开放自己的数据和能力……
量刑出台,战争仍将继续
黑客与数据买主的肆意妄为,则是之前法律监管的缺失。“以前信息安全犯罪,只要不出人命,通常是缓刑”,对于盗窃用户信息量刑过小,网络安全从业者小G愤愤不平。
高收益、低风险,利益诱惑,诈骗团伙等买家,寻着血腥而来,雇佣黑客,一次又一次发动高频进攻。但随着开房记录数据泄露、徐玉玉因欺诈身亡、校园贷裸照外流……公众将矛头直指个人信息安全。
2016 年 11 月,《中华人民共和国网络安全法》发布; 2017 年 3 月,最高人民法院审判委员会全体会议通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对非法买卖个人信息做出量刑处罚。
同时,公安部重拳出击,对数据公司、黑产交易方严查死打:出售行踪轨迹、通信、财产、征信等信息五十条以上,处以三年以下有期徒刑;因个人信息泄露,造成被害人死亡、重伤、精神失常或者被绑架等严重后果,处以三年以上,七年以下有期徒刑。
在这场攻击与防守的较量中,信息泄露量刑出台,胜负的天枰修正了轨迹,偏向了互联网企业。天气虽已变,黑客将不再像以往那样无所忌惮,但两者买主、黑客与互联网企业的角斗仍将持续。