近日,关于网易邮箱数据泄漏事件闹得沸沸扬扬。该邮箱辟谣称自身系统并未被攻破,但消息发布方乌云漏洞平台也言之凿凿。不论是被攻破,还是其余网站失守致殃及网易,不可否认的是,大面积网民的个人信息,确实被泄漏了。为什么中国网民的“内裤”如此易扒,被窥探隐私有何风险,作为网民之一的你,还安全吗?
信息早泄漏多时,突然爆出是榨干最后利益
网易邮箱被爆出数亿用户个人信息与密码泄露,这一事件在今天内由于某匿名人士在国内最大的Web安全漏洞上报平台“乌云”上提交曝光,而在一瞬间内引爆了整个我国网络圈与各大媒体;然而有趣的是,安全业内圈子对此事却反应平静,并没有大厦将倾、世界末日的惊恐景象。
事实上,该邮箱有一个库在外面小范围流传,早就是安全圈内心知肚明又无从考证的一个“真实的流言”,大量发生的其代理的某网游盗号事件以及部分用户的网上支付产品被盗用事件不断从侧面映证着这一点。
直到频发的iPhone手机被远程锁定以勒索机主钱财的网络犯罪案件,才将这个事实推到前台。因为我国的苹果用户们很多都习惯于使用网易邮箱来注册Apple ID以使用苹果所提供的各种设备与云服务,所以大量的Apple ID被通过网易邮箱的密码进行登录或将设备远程锁定以敲诈勒索了。这无疑是一种极为高调的行动,所带来的结果就是:大家纷纷修改自己的密码,而这个库也将在被隐秘利用了许久之后失去自己的价值。
但换个角度来看,这恰恰说明这份数量庞大的邮箱信息数据库其实已经存在了太久,久到其真实价值已经被“黑色产业圈”榨取殆尽(反复“洗库”),因此才会在它生命周期的最后一刻疯狂利用一把,然后在事件被人揭破以后彻底公开,于是这个“真实的流言”功成身退,鞠躬下台。
“黑色产业圈”产出“社工库” 专欺普通网民
网络空间既然有诸多明面上的生意之道,自然也有不能见光的阴暗交易,这种交易随着我国互联网的发展而蓬勃生长,已经成为了年产值数十亿的巨大而完整的产业链。
安全学术界将自己所从事的领域由原有的“网络安全”逐渐进化为“信息安全”,这又从侧面说明了“黑色产业”也罢、个体攻击者都将关注点放在了“信息”本身上。因为在任何时代,信息才是最有价值的无形资产。入侵重要组织,如政府部门、银行证券业等,固然可以快速带来巨大利益,但也同样带来较高的技术难度以及被抓风险,对“黑色产业圈”的“生意人”们来说不符合生意之道;于是他们将目光转向你我,互联网时代的普通网民,不懂网络安全技术,取得敏感身份信息简直容易至极。虽然个体价值有限,但胜在数量巨大,聚沙成塔,其总体价值足以养活一个巨大的产业圈。
“大数据时代之下,个人隐私早已无所遁形”,这句话已经被重复过无数次。“社工库”正是大量聚集用户隐私的地方。“社工”者,社会工程学也,实质是黑客技术之外综合利用情报学、心理学甚至骗术等知识的总称而已。无数的“社工库”里充满着海量的用户注册邮箱、登录ID、QQ号、常用密码、银行账号、真实姓名、手机号码等个人敏感信息。
“社工库”个人信息从何而来?
一方面由大量网民们自行贡献:点击木马、访问登录钓鱼网站、设置简单登录口令等;另一方面由信息服务的提供方泄露而出:“拖库”(网站数据库被黑客全部下载)事件以及XSS(跨站注入)导致的用户权限劫持或密码明文被盗取事件,以及内外勾结主动出售用户个人信息事件等。互联网用户日常所需要使用的网络应用如此之多,而个人敏感信息的内容种类与泄露方式也如此之多,体积与数量巨大的“社工库”存在也就不足为奇了。
以下几类常用信息,常常是“社工”们窃取隐私的“重点照顾对象”。
一是网名或注册ID。作为网络用户首要的识别符号,一般人都会在选择的时候注重唯一性与可识别性,这反而为攻击者提供了方便,他们可以简单地通过网名或者注册ID将分散在不同平台上的各种相关信息关联起来,形成属于该个体的全面完整数据库。
接下来是QQ号。社工库中历来将QQ号作为重要的数据指标:结合外泄的QQ群信息库导致无数曾在同学同事群中使用实名标注群名片的用户真名曝光。同时,QQ邮箱在各大社交网站、移动互联网应用注册时的广泛使用,足以将各大网站的用户行为数据、社会关系等与其真实姓名联系起来了。
然后是真实姓名、手机号码、银行账号等线下信息。我们做不到在网上给电话充值的时候不留手机号码;也做不到在网上订机票时不留下自己的真实姓名与身份证号码。但当骗子操着广东话直呼你名字,叫你明天到他办公室一趟的时候,才发现整个互联网就是一片黑暗森林。
整片由无数信息所组成的黑暗森林,其根基是电子邮件服务。电子邮件服务是当前唯一无需提交其他凭证即可随意申请的主流互联网服务,也是使用互联网用户服务的第一个入口。甚至可以夸张一点说,谁取得了电子邮件服务的控制权,谁就掌握了互联网用户的生命线。
信息泄露危害财产安全 谁该担责?
此次事件最要命的一点是,国内使用该邮箱的人不在少数,并且不少网民的支付宝账号、网游账号、网上银行、Apple ID等关联着大额甚至巨额资金的账号与其绑定,故增强了网民的愤慨,集体指责其邮箱安全系统。那么,这次事件的责任方,究竟在谁?
首先,防御措施不足导致用户数据外泄的责任,该网站是必然需要承担的。
其次,泄漏数据的邮箱有没有做过基本防护?据目前公开信息,此次曝光数据是2012年的该邮箱部分用户数据(确实被隐秘利用了三年),这些数据是已经过了MD5算法进行换算存储的,而现在的其早已使用MD5+SALT的形式来对用户数据进行强度更高的防护。
另外,作为互联网用户的我们也同样要承担责任:我们使用各种简单好记的口令;使用同一个邮箱绑定了许多关键应用;重复使用同样的ID与密码,这些隐私意识薄弱的行为,为盗取信息的“社工”打开了方便之门。
最后,整个社会,包括所有使用互联网信息系统以及政府机关、企业与组织机构,对自身信息系统防护的刻意忽视,对公民与用户敏感信息安全的漠不关心,对内部人员的信息安全管理、信息安全审计与问责机制的缺失,都是造成当前互联网上“社工库”泛滥的罪魁祸首。
这次邮箱安全事件其实正是一声响亮的警钟,敲给所有的网民和信息安全管理部门。应提高自己的信息安全意识与防护能力,否则此类事件将会一次又一次、越来越严重地继续爆发下去。
