5天6億3000 萬數據泄露，怎麼做才能跑贏騙子？

昨天，一則「陌陌 3000 萬數據暗網僅售 200 元」的消息在網上不脛而走。

陌陌回應暗網售賣數據：匹配度低

據微博用戶 @lxghost 透露，陌陌有約 3000 萬條數據在暗網出售——這批數據是 2015 年 7 月 17 日被寫入的，總條數 3161 萬條，包含手機號和密碼兩個欄位。根據暗網的賣家介紹，「數據中密碼有空白項，但這部分所佔比例不到 1%，就算去掉 100 萬條，還有 3000 萬條」，並申明，「本數據不保障現時有效性，只適合撞庫等用」。

賣家還特別警告稱，「本人未有大批測試能力，故無法確保數據能登錄陌陌或者可搜索到陌陌賬號的概率，這一點敬請諒解。」

經過網路的大肆傳播和報道之後，一時之間，熱議聲甚囂塵上。對此，陌陌官方在消息披露的當晚緊急調查表示，消息不可信！

陌陌方面稱，網上流傳的報道中所謂的三年多前通過撞庫得來的數據，跟陌陌用戶的匹配度極低，測試結果都是錯誤信息。此外，陌陌採用高強度單向散列演算法對用戶密碼加密，任何人都無法直接從陌陌資料庫中獲取用戶明文密碼。最後還提到，陌陌採用包括密碼驗證、設備驗證等多重校驗機制，他人根本無法僅憑手機號和密碼就登錄用戶陌陌賬號。

對於陌陌的緊急公關聲明，網友們的態度仍顯得十分存疑，很多人質疑「匹配度極低難道就等同於安全嗎？」、「所謂的測試是指什麼？」、「仍有泄露風險嗎？」......但是截至目前，已經沒有更大的水花了。不過可喜的是，據北京時間今日凌晨消息，經曆數據泄露傳聞的陌陌周一股價大漲，截至收盤漲幅達 5.52%——事實證明，所謂的數據泄露疑雲似乎沒有給陌陌帶來任何的不良影響。

無獨有偶，Quora 1 億用戶數據也慘遭泄露

巧的是，前有「沉冤得雪」的陌陌，後有「負荊請罪」的 Quora。

據外媒路透社當地時間 3 日報道，美國的知識問答類網站 Quora 系統遭「惡意第三方入侵」，波及了 1 億名用戶。Quora 在其官方網站表示，這些用戶的姓名、電子郵件地址、密碼及相關鏈接數據等賬戶信息安全都受到了威脅，黑客還獲取了諸如提問、回答、贊、踩等操作的信息。

目前，為防止進一步損失，Quora已將所有用戶賬號強制登出。「我們正在通知信息安全受到威脅的用戶」，Quora 公司聯合創始人兼首席執行官亞當·德安格洛說，暫未影響匿名提問與回答的用戶，此外「調查仍在進行中，我們將進一步改善安全保障措施。」值得一提的是，成立於2009 年的Quora 網站，其創始人德安格洛和查理·切沃均為前 Facebook 員工——而後者仍處於今年初爆發的「劍橋分析公司數據泄露醜聞」陰影下。

為什麼近年來泄露案件密集爆發？

事實上今年以來，數據泄露的事件就頻繁發生，且涉及規模都十分龐大。

除去今年 3 月的 Facebook 事件，還有很多大規模的泄漏事件歷歷在目：6 月，圓通 10 億條快遞數據在暗網上打包出售，數據信息包括寄（收）件人姓名、電話、地址等；8 月，因華住公司程序員將資料庫連接方式上傳至 GitHub 導致其泄露，華住旗下多個連鎖酒店開房信息數據泄漏，總數接近 5 億；乃至上周的 11 月 30 日，萬豪酒店資料庫遭到入侵，5 億名顧客的數據也遭到泄露，包括顧客的姓名、出生日期、電話號碼、護照號碼、通信地址、電子郵箱和其他一些個人信息......

從萬豪酒店資料庫被入侵 5 億信息泄漏、陌陌被撞庫數據暗網出售到 Quora 遭黑客入侵 1億用戶數據被盜，從國際酒店、知名社交 App 到全球著名的在線問答社區 Quora——網路技術發展到現在，數據安全應該是所有企業和用戶的核心焦點，那為什麼近年來泄露案件仍然密集爆發？技術上就沒有徹底防範的方法嗎？難道受害者就只能束手就擒？

帶著種種問題，CSDN（ID：CSDNnews）特別諮詢了 360 網路安全響應中心負責人蔡玉光，他表示，目前安全行業其實普遍有一個共識，沒有攻不破的網路。企業出現安全事件是在所難免的現實，除卻暗網這樣還有一定開放空間的平台，其實還有更多的安全事件沒有被曝光出來。

「近期頻頻曝光的數據泄密事件，除了圍繞著簡單的經濟或情報利益，這些數據在後面環節的被利用是更應該考慮的問題——買家在購買這些隱私數據後是否會有進一步的利用場景，如電信詐騙、金融賬號攻擊、間諜數據等利用場景？這些危害會比直接的數據買賣更具破壞性。」

數據泄露事件大多都是在過了很長一段時間後才曝光出來，攻擊者可能在數分鐘的時間裡就攻破了網路，在數分鐘到小時級就竊取完了企業里留存的用戶隱私數據；但是安全人員可能是在數月或者上年的時間才能發現已經發生了的數據泄露事件。而這些，就需要從數據泄密的流程和主要手段來分析。

數據泄露中攻防失衡的現實

根據 360網路安全響應中心發布的《2017 年度安全報告——數據泄密》顯示，全年數據泄露事件的平均規模上升了 2%，財產損失高達上億。一般而言，數據泄露的流程整個流程可以分為：拖庫、洗庫、撞庫。數據資源一旦被泄露，那麼就會產生一系列的危害。很多用戶由於缺乏安全意識，不能及時的發現自己的數據泄露，只有當自己的財產受到損失才能被感知，所以用戶感知越來越慢，這也是為什麼數據泄露的發現極具延時性。

報告還表示，導致數據泄露的主要手段分為黑客入侵、軟體漏洞、惡意木馬等技術手段，以及內部人員泄密、非有意識泄密等非技術手段。其中，最大來源是意外丟失和因疏忽而使信息暴露的數據。

「攻防失衡問題的改善，除了需要安全行業在技術層面更加的努力，更需要社會在宏觀和個人層面重視信息安全、企業把信息安全管理放在一個戰略高度。」針對日益嚴重的數據安全隱患，蔡玉光說到，企業在品牌建設和自身發展過程中，在擁抱信息化之後，信息安全事件絕對是一個大概率的「灰犀牛」事件。「比如，目前通過網站漏洞攻擊服務提供商拖庫依舊是主要的泄露渠道，相應的，廠商應正視網路安全，定期進行滲透測試，及時對有漏洞的服務打補丁，做好完整可靠的數據安全措施，對密碼加密存儲，杜絕明文密碼存儲，這樣即便被黑也能降低帶來的損失。」

開發者和個人用戶該如何應對？

對於開發者，蔡玉光認為要具備一定的安全意識（可以通過企業內部組織培訓或自身學習）。在架構和研發過程中要配合安全團隊或綜合考慮信息安全管理要素；在實際開發過程中要避開常見安全問題，如上傳 Github、SQL 注入、任意命令執行、緩衝區溢出、水平越權、日誌敏感信息記錄、敏感文件任意存放等問題。

在數據泄露事件發生時，開發者應發揮自身的技術和業務優勢，積極配合安全團隊、法務團隊對事件溯源中所涉及到的業務場景和數據證據，提取固化提供支撐，在很多數據泄露事件溯源中開發者都是最有利的技術支撐，比如數據流程梳理、關鍵日誌提取等。此外，「開發者在配合過程中需要嚴格注意，避免破壞數據完整性。」

而對於個人用戶，不僅需要定期更換並使用較長（10 位以上）的複雜（大小寫字母、數字、特殊字元）密碼，還應該分級管理自身的密碼，如一級金融賬號密碼、二級重要賬號密碼、三級普通網站密碼。遇到數據泄露事件, 應及時修改密碼並同時修改和泄露相關的其他賬號密碼。

當然，「個人用戶也可以使用網站、應用中提供的雙因子驗證機制，如登錄簡訊驗證或手機應用再確認等方式，雙因素機制可以有效提高賬號的安全性。另一方面也可以在擁有指紋或口令保護的智能手機中使用一些公開密碼管理軟體來對自身密碼進行管理，如1Password等。」

數據安全不是個一蹴而就的命題，它需要企業、開發者和個人共同維繫。

2018 中國大數據技術大會

BDTC 2018

BDTC 2018中國大數據技術大會攜主題「大數據新應用」再度強勢來襲。本次大會由華東師範大學副校長、教授周傲英，百度商業智能實驗室主任熊輝，阿里巴巴副總裁李飛飛三位會議主席對大會內容把關，多位兩院院士參與指導，由最了解行業痛點的一線從業者為同行打造。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！