论文部分内容阅读
摘要:12306用户数据大量泄露事件,导致个人信息不安全。本文分析12306事件过程,及其使用的攻击手段:“撞库攻击”,并分析事件特点,提出应对措施。
关键词:12306;数据泄露;撞库攻击;个人信息
中图分类号:D920.4文献标识码:A文章编号:1671-864X(2016)09-0065-01
一、数据泄露事件
2014年12月25日上午10:59,乌云网发布漏洞报告称,大量12306用户数据在网络上疯狂传播。本次泄露事件被泄露的数据达131653 条,包括用户账号、明文密码、身份证和邮箱等多种信息,共约14M数据。这不是12306网站第一次发生用户信息泄露事件了,但是最大的一次。
二、数据泄露分析
(一)数据盗取方式:撞库攻击。
是以技术含量最高、最为隐蔽的职业黑客为主,他们通过攻击系统安全漏洞,编写木马实施入侵,获取数据,这一过程可分为3个阶段:拖库、洗库和撞库。拖库也被称为“脱库”,是黑色产业的一个术语,黑客利用漏洞入侵有价值的网站,盗走目标数据库。2014年5月,小米官方论坛800万用户的账户信息被拖库。拖库成功后,黑客接着会进行洗库工作,即利用技术手段清洗、筛选数据资料,提炼出有价值的用户数据,以便将来用于变现。通过拖库、洗库得到用户数据资料后,一些黑客拿着这些用户数据在其他网站尝试登录,称为撞库。因为不少人习惯于在不同的网站使用相同或相似的用户账号和密码进行注册,这就为用“撞库”的方式获得更多的数据提供了可能。
(一)第三方数据泄露问题。
第三方数据泄露是指在一些企业中,某些系统软件平台的开发、运行、维护等多项工作常常外包给第三方完成,或者与多个第三方合作完成,由于第三方数据管理不当和系统漏洞而造成的數据泄露。第三方数据泄露也分为有意识和无意识地的泄露,有意识泄露,即指第三方运营人员以营利为目的,从数据库中窃取大量客户信息进行倒卖,如某技术公司承担着为陕西某电信企业提供手机资费计算系统软件平台开发、维护等工作,其中某员工倒卖用户信息谋取利益。大数据时代,使得越来越多的企业委托第三方进行数据存储和管理,数据共享也日益成为企业之间合作的主要内容之一,因而导致接触企业数据的人员增加,数据泄露风险无形增大。2008 年Verizon 数据泄露调查报告中指出,39% 的泄露涉及受害者的合作伙伴,30%涉及多方合作。
(三)电商数据泄露将成为新的泄露重点。
2012 年 11 月 1 号店客户信息遭其员工泄露、美第二大团购网站遭黑客攻击5 000万用户信息或泄露等等,除此之外,电商网站账户泄露或盗号的事情更是频繁出现。近两年内包括京东、1 号店、苏宁和支付宝等在内的电商集团,以及美电商巨头 Ebay 都曾出现过客户数据泄露事件。电商数据真正体现了大数据的多样化,不仅涉及个人信息、消费记录、购买周期等文本信息,还涉及浏览记录、兴趣偏好、点击量等多媒体信息。
(四)数据泄露重复发生。
在这些数据泄露案件中,数据的反复泄露值得重视。索尼公司泄露高达三次,第三次黑客攻击损失或超 10 亿美元,谷歌、当当网、塔吉特等公司的数据也曾重复泄露。
三、应对措施
(一)应对撞库攻击。
在口令设置上要允许一般站点重复使用弱口令。在这些非重要站点上避免浪费过多的精力,才能保证更好地记住那些复杂独特的口令并运用在重要的账户设置上。同时,应当注意避免在重要站点上重复使用弱口令。比如,涉及用户钱财的网上银行账户、支付宝账户,关系个人切身利益的购票网站、邮箱账号等,必须独立设置复杂独特的口令。如此,才能有效防范黑客的“撞库攻击”。
(二)应对第三方泄露。
此次12306个人信息泄露事件就属于第三方数据泄露问题。对于此类数据泄露,第三方组织能否像数据所有方一样重视数据,规范管理,保证数据安全至关重要。如果不能,最基础的应做到权责明晰,与各第三方签署协议,加强评估与管理,本着谁泄露谁负责的原则,划清责任范围,减少数据泄露风险,降低损失。
(三)应对电商数据泄露。
在技术方面,加强自身技术防护,如加强加密防护与权限防护,加密技术能够降低信息被非法获取并访问的风险,适用于保护个体文件或整个存储介质。加强安全基础设施建设,部署包括数据泄露防护、网络安全、端点安全、加密、验证和信誉技术在内的安全防御系统,并实时监测与定点记录。这样既可以主动防御黑客入侵,又可以及时发现自身安全漏洞。
(四)应对数据重复泄露。
数据重复泄露体现对数据管理上的不足。因此,应将数据防护纳入常态化的管理,7×24 小时数据监测、快速反应的应急预案以及其他管理措施都是必不可少的。
四、总结
大数据时代,网络用户在互联网的个人信息、评论、图片、兴趣爱好、交易信息、访问网站等等均被企业记录在案。加上功能强大的数据挖掘技术,使得信息之间相互关联,数据一经泄露,个人信息安全面临极大的威胁。这不仅使个人隐私得不到应有的保护,而且人身安全、财产安全也会受到威胁。对于个人而言,轻则经常受到垃圾短信、电话、推送邮件的骚扰,重则导致诈骗案件、个人名誉受损、存款流失等事件的发生。数据泄露与每个人的切身利益息息相关,影响着个人的生活与社会的稳定。在这个新媒体、大数据快速传播的时代,我们每个人都会在互联网上显山露水,我们的个人信息也都会主动或被动地出现在互联网上。因此,保护好个人信息,是一个重大的时代命题,亟需引起各级政府的高度重视,并身体力行实践之。
参考文献:
[1]董杨慧:大数据视野下的数据泄露与安全管理——基于90 个数据泄露事件的分析。情报杂志。第33卷第11期。154-158
[2]侯林:互联网数据泄露背后的黑色产业链及发展趋势分析。无限互联科技。第20期。35-37
[3]傅国:也谈口令设置那点事儿。信息安全。2015年第1期。50
[4]闫利平:亟需被保护的个人信息。人民公仆。学会与媒体打交道。2015年5月号。65-69
[5]熊璐:从12306网站用户数据泄露看大数据时代的数据风险。科技与创新。2016年第2期。29
[6]杨力:12306网站信息泄露事件的法律对策探讨。信息安全与通信保密。2015.01.46
作者简介:王莹(1994.03-),汉族,女,吉林人,工作单位:国际关系学院。
关键词:12306;数据泄露;撞库攻击;个人信息
中图分类号:D920.4文献标识码:A文章编号:1671-864X(2016)09-0065-01
一、数据泄露事件
2014年12月25日上午10:59,乌云网发布漏洞报告称,大量12306用户数据在网络上疯狂传播。本次泄露事件被泄露的数据达131653 条,包括用户账号、明文密码、身份证和邮箱等多种信息,共约14M数据。这不是12306网站第一次发生用户信息泄露事件了,但是最大的一次。
二、数据泄露分析
(一)数据盗取方式:撞库攻击。
是以技术含量最高、最为隐蔽的职业黑客为主,他们通过攻击系统安全漏洞,编写木马实施入侵,获取数据,这一过程可分为3个阶段:拖库、洗库和撞库。拖库也被称为“脱库”,是黑色产业的一个术语,黑客利用漏洞入侵有价值的网站,盗走目标数据库。2014年5月,小米官方论坛800万用户的账户信息被拖库。拖库成功后,黑客接着会进行洗库工作,即利用技术手段清洗、筛选数据资料,提炼出有价值的用户数据,以便将来用于变现。通过拖库、洗库得到用户数据资料后,一些黑客拿着这些用户数据在其他网站尝试登录,称为撞库。因为不少人习惯于在不同的网站使用相同或相似的用户账号和密码进行注册,这就为用“撞库”的方式获得更多的数据提供了可能。
(一)第三方数据泄露问题。
第三方数据泄露是指在一些企业中,某些系统软件平台的开发、运行、维护等多项工作常常外包给第三方完成,或者与多个第三方合作完成,由于第三方数据管理不当和系统漏洞而造成的數据泄露。第三方数据泄露也分为有意识和无意识地的泄露,有意识泄露,即指第三方运营人员以营利为目的,从数据库中窃取大量客户信息进行倒卖,如某技术公司承担着为陕西某电信企业提供手机资费计算系统软件平台开发、维护等工作,其中某员工倒卖用户信息谋取利益。大数据时代,使得越来越多的企业委托第三方进行数据存储和管理,数据共享也日益成为企业之间合作的主要内容之一,因而导致接触企业数据的人员增加,数据泄露风险无形增大。2008 年Verizon 数据泄露调查报告中指出,39% 的泄露涉及受害者的合作伙伴,30%涉及多方合作。
(三)电商数据泄露将成为新的泄露重点。
2012 年 11 月 1 号店客户信息遭其员工泄露、美第二大团购网站遭黑客攻击5 000万用户信息或泄露等等,除此之外,电商网站账户泄露或盗号的事情更是频繁出现。近两年内包括京东、1 号店、苏宁和支付宝等在内的电商集团,以及美电商巨头 Ebay 都曾出现过客户数据泄露事件。电商数据真正体现了大数据的多样化,不仅涉及个人信息、消费记录、购买周期等文本信息,还涉及浏览记录、兴趣偏好、点击量等多媒体信息。
(四)数据泄露重复发生。
在这些数据泄露案件中,数据的反复泄露值得重视。索尼公司泄露高达三次,第三次黑客攻击损失或超 10 亿美元,谷歌、当当网、塔吉特等公司的数据也曾重复泄露。
三、应对措施
(一)应对撞库攻击。
在口令设置上要允许一般站点重复使用弱口令。在这些非重要站点上避免浪费过多的精力,才能保证更好地记住那些复杂独特的口令并运用在重要的账户设置上。同时,应当注意避免在重要站点上重复使用弱口令。比如,涉及用户钱财的网上银行账户、支付宝账户,关系个人切身利益的购票网站、邮箱账号等,必须独立设置复杂独特的口令。如此,才能有效防范黑客的“撞库攻击”。
(二)应对第三方泄露。
此次12306个人信息泄露事件就属于第三方数据泄露问题。对于此类数据泄露,第三方组织能否像数据所有方一样重视数据,规范管理,保证数据安全至关重要。如果不能,最基础的应做到权责明晰,与各第三方签署协议,加强评估与管理,本着谁泄露谁负责的原则,划清责任范围,减少数据泄露风险,降低损失。
(三)应对电商数据泄露。
在技术方面,加强自身技术防护,如加强加密防护与权限防护,加密技术能够降低信息被非法获取并访问的风险,适用于保护个体文件或整个存储介质。加强安全基础设施建设,部署包括数据泄露防护、网络安全、端点安全、加密、验证和信誉技术在内的安全防御系统,并实时监测与定点记录。这样既可以主动防御黑客入侵,又可以及时发现自身安全漏洞。
(四)应对数据重复泄露。
数据重复泄露体现对数据管理上的不足。因此,应将数据防护纳入常态化的管理,7×24 小时数据监测、快速反应的应急预案以及其他管理措施都是必不可少的。
四、总结
大数据时代,网络用户在互联网的个人信息、评论、图片、兴趣爱好、交易信息、访问网站等等均被企业记录在案。加上功能强大的数据挖掘技术,使得信息之间相互关联,数据一经泄露,个人信息安全面临极大的威胁。这不仅使个人隐私得不到应有的保护,而且人身安全、财产安全也会受到威胁。对于个人而言,轻则经常受到垃圾短信、电话、推送邮件的骚扰,重则导致诈骗案件、个人名誉受损、存款流失等事件的发生。数据泄露与每个人的切身利益息息相关,影响着个人的生活与社会的稳定。在这个新媒体、大数据快速传播的时代,我们每个人都会在互联网上显山露水,我们的个人信息也都会主动或被动地出现在互联网上。因此,保护好个人信息,是一个重大的时代命题,亟需引起各级政府的高度重视,并身体力行实践之。
参考文献:
[1]董杨慧:大数据视野下的数据泄露与安全管理——基于90 个数据泄露事件的分析。情报杂志。第33卷第11期。154-158
[2]侯林:互联网数据泄露背后的黑色产业链及发展趋势分析。无限互联科技。第20期。35-37
[3]傅国:也谈口令设置那点事儿。信息安全。2015年第1期。50
[4]闫利平:亟需被保护的个人信息。人民公仆。学会与媒体打交道。2015年5月号。65-69
[5]熊璐:从12306网站用户数据泄露看大数据时代的数据风险。科技与创新。2016年第2期。29
[6]杨力:12306网站信息泄露事件的法律对策探讨。信息安全与通信保密。2015.01.46
作者简介:王莹(1994.03-),汉族,女,吉林人,工作单位:国际关系学院。