在一家貿易公司負責國內業(yè)務(wù)的劉昊，最近倍感困擾。

　　由于工作需要，他在不少網(wǎng)站和 APP 應用上都有自己的賬號，然而不久前，順豐和華住等企業(yè)先后傳出上億條用戶(hù)數據遭泄露之后，他被同事的“忠告”嚇得把十幾個(gè)平臺上的所有登錄密碼都修改了一遍，而且每個(gè)平臺的用戶(hù)名和密碼都修改為完全不同。

　　“IT 部門(mén)的哥們兒說(shuō)，只要黑客拿到一個(gè)平臺上的用戶(hù)密碼，就會(huì )用撞庫的方法在其它網(wǎng)站上進(jìn)行登陸嘗試。”他對此非常無(wú)奈，無(wú)論這些事件最終調查的結果如何，都要先改一下所有的登錄密碼才覺(jué)得安心。畢竟有不少賬號密碼，與自己的支付密碼是相關(guān)的。

　　尤其是朋友告訴他，以后自己這些重要的應用不要使用同一個(gè)登錄密碼，最好是一個(gè)應用使用一個(gè)密碼，不要重樣。這可讓他費勁了腦汁。

　　實(shí)際上，近幾年無(wú)論是國內還是國外的互聯(lián)網(wǎng)企業(yè)、服務(wù)機構，在用戶(hù)信息方面都屢屢出現重大泄露事件，幾乎可以說(shuō)沒(méi)有一位用戶(hù)的信息是絕對安全的。而那些在網(wǎng)上高價(jià)兜售的用戶(hù)數據，更是奇貨可居，一旦出現就會(huì )被高價(jià)收購。到底是誰(shuí)在盯著(zhù)我們每個(gè)人的數據隱私?

　　用戶(hù)信息泄露首先是“人”的問(wèn)題

　　“(用戶(hù))數據被盜已經(jīng)不是第一次了，我們也很苦惱。”

　　吳勝強在一家互聯(lián)網(wǎng)公司擔任運營(yíng)總監。兩年前，他所在的這家企業(yè)研發(fā)并運營(yíng)了一款新車(chē)評測的視頻類(lèi)應用。之后，他們就一直在與用戶(hù)隱私數據安全做著(zhù)不懈“斗爭”。

　　由于這款應用涉及評測和購車(chē)話(huà)題，注冊用戶(hù)也被視作購車(chē)、養車(chē)的潛在客戶(hù)，因此數據庫常常成為網(wǎng)絡(luò )黑客重點(diǎn)“光顧”的對象。應用上線(xiàn)初期，幾乎每個(gè)月都會(huì )發(fā)生一、兩起數據庫被攻擊的事件。

　　黑客通過(guò)攻擊數據庫，導出部分用戶(hù)數據的行為，被稱(chēng)之為“拖庫”。為了杜絕類(lèi)似的事件發(fā)生，公司的技術(shù)團隊做了不少防護措施，包括修復漏洞，加強防火墻，設置多級加密等。

　　“但類(lèi)似的用戶(hù)信息泄露問(wèn)題依舊還會(huì )出現，有的時(shí)候感覺(jué)是防不勝防。”他告訴懂懂筆記，盡管數據庫安全系數增加了不少，但隱患始終沒(méi)有排除。

　　有時(shí)候，部分泄露信息還是在用戶(hù)投訴后，技術(shù)團隊才得以發(fā)現。因此，吳勝強和技術(shù)主管開(kāi)始懷疑，在公司內部出現了盜竊用戶(hù)數據的內鬼，但是在缺乏證據的情況下，他們一時(shí)難以鎖定目標。

　　“如果真的拿到真憑實(shí)據，對于內鬼也只能悄悄開(kāi)除。”吳勝強透露，不少企業(yè)都發(fā)現了內鬼的存在，但在部分信息泄露之后都不敢公開(kāi)，甚至不敢報警。究其原因，還是為了維護品牌以及企業(yè)的名聲。除非是大面積信息泄露被媒體報道，相關(guān)企業(yè)才會(huì )做出回應，或者交由警方處理。

　　據《財經(jīng)》雜志報道顯示，有 80% 的數據泄露是企業(yè)內鬼所為，黑客和其他方式僅占 20%。對于這樣的比例，可能很多企業(yè)高管會(huì )感到驚訝，自己在技術(shù)上的投入防的了黑客卻防不住人心。

　　“企業(yè)在不斷加強通過(guò)技術(shù)防御過(guò)程中，往往疏忽了‘人’才是安全攻防的本質(zhì)與核心。”聊到這個(gè)話(huà)題，在知名信息安全企業(yè)任高級分析師的韓昊晟也表示，一些企業(yè)在加強了數據安全技術(shù)防護措施之后，的確能夠減少因漏洞被黑客攻擊所產(chǎn)的生數據泄露事件。但是這些舉措無(wú)法阻止因企業(yè)內部培訓、監督、管理缺失，導致監守自盜，泄露用戶(hù)隱私信息的行為。

　　或許，無(wú)論是加強技術(shù)防護門(mén)檻，還是加強對相關(guān)人員的監察，都只能是在一定程度上盡量杜絕數據泄露的發(fā)生。畢竟想要獲取這些數據的灰產(chǎn)或者黑客，對于海量真實(shí)用戶(hù)數據的貪婪是我們難以想象的。原因很簡(jiǎn)單，出售這些數據能夠帶來(lái)巨大的財富。

　　那么，那些泄露出去的用戶(hù)隱私的數據，是被什么人買(mǎi)走了?

　　用戶(hù)信息被循環(huán)出售，買(mǎi)家背景復雜

　　“只要驗證信息是真實(shí)的，他們就會(huì )收。”

　　曾從事信息灰產(chǎn)的汪海(化名)在交流中透露，無(wú)論是專(zhuān)門(mén)攻擊數據庫的黑客，還是盜竊企業(yè)數據的內鬼，除了個(gè)別的會(huì )自己去暗網(wǎng)上匿名兜售，大多情況下，都是整套賣(mài)給類(lèi)似他這樣的“二道販子”，再通過(guò)社交網(wǎng)絡(luò )分銷(xiāo)出去。

　　“二道販子”根據信息內容中，所涉及的職業(yè)、所在地、消費能力等信息進(jìn)行分類(lèi)、篩選、梳理成一套套有行業(yè)針對性的用戶(hù)信息資料。而這個(gè)分類(lèi)、篩選、梳理的過(guò)程，也被稱(chēng)為“洗庫”。之后，這些用戶(hù)信息，就成了可以銷(xiāo)售的“成品”了。

　　“用戶(hù)信息的買(mǎi)家，三教九流、形形色色什么人都有。”汪海表示，諸如小區業(yè)主、車(chē)主、高消場(chǎng)所顧客、網(wǎng)購達人等用戶(hù)信息，要價(jià)最高，每萬(wàn)條信息甚至可以賣(mài)出幾千上萬(wàn)元的價(jià)格。

　　他透露，高價(jià)值用戶(hù)數據的買(mǎi)家，或來(lái)自一些地產(chǎn)企業(yè)、投資理財機構，也會(huì )有一些商業(yè)銀行和保險機構。購買(mǎi)這些數據的目的，主要是希望通過(guò)這些用戶(hù)信息，推銷(xiāo)拓展與房產(chǎn)、投資、理財等相關(guān)的業(yè)務(wù)。

　　而那些普通消費類(lèi)用戶(hù)信息，諸如酒店預訂、電商購物、商場(chǎng)積分等等，“二道販子”會(huì )整理好信息后，在美妝、鞋服、數碼、旅游、培訓等細分領(lǐng)域出售給相應的企業(yè)。

　　這一類(lèi)數據的價(jià)格比較便宜，每萬(wàn)條售價(jià)數百元到千元，而且常常會(huì )多次、重復銷(xiāo)售。甚至有一些買(mǎi)家在利用完這部分信息進(jìn)行產(chǎn)品推廣后，還會(huì )通過(guò)更低級別的信息販子，轉手出售給一些小規模的房產(chǎn)中介、網(wǎng)貸公司。

　　“至于那些缺少標簽，無(wú)法分類(lèi)的個(gè)人信息，往往會(huì )跟著(zhù)多次回收的二手信息一起，低價(jià)賣(mài)給詐騙份子。”汪海透露，一些詐騙電話(huà)、短信之所以能夠知道用戶(hù)曾經(jīng)的消費記錄、購物信息，有針對性的進(jìn)行詐騙，都是參考自這些廉價(jià)、且自帶多重消費行為標注的隱私數據。

　　如此算來(lái)，一套擁有數千萬(wàn)個(gè)用戶(hù)信息的數據，能夠給黑客、信息販子帶來(lái)的直接收益，就足夠驚人。而在這些信息買(mǎi)賣(mài)的過(guò)程中，不少信息販子為了掩人耳目，在交易時(shí)是使用購買(mǎi)來(lái)的身份證件、銀行卡去收款，甚至會(huì )使用虛擬幣進(jìn)行交易，以規避被有關(guān)部門(mén)查處的風(fēng)險。

　　有不少網(wǎng)友表示，個(gè)人信息泄露事件層出不窮，自己已經(jīng)見(jiàn)怪不怪了。若信息只是賣(mài)給商家、騙子，那么遇到銷(xiāo)售、詐騙電話(huà)和短信，頂多不接不看就是。不接觸，對日常的生活影響也就不大，所以自己完全并沒(méi)有必要過(guò)分擔憂(yōu)。

　　那么，個(gè)人隱私信息泄露的危害，真的只是如此嗎?

　　平臺賬號密碼泄露，資金也有風(fēng)險

　　“為了方便，我很多賬號密碼都設置一樣的。”

　　前不久，從事客服工作的賈彤發(fā)現郵箱賬號被盜，而她只是簡(jiǎn)單修改替換了郵箱密碼。然而接下來(lái)的幾天，她有不少平臺的賬號在異地被頻繁登錄。就連手機中的支付應用，也經(jīng)常提示賬號異常。

　　賈彤趕緊上網(wǎng)搜索解決方法，發(fā)現有不少網(wǎng)友都在咨詢(xún)類(lèi)似的情況。

　　由于跨平臺賬號密碼設置一致，導致用戶(hù)只要有一個(gè)賬號被盜，黑客就會(huì )利用這一賬號信息頻繁嘗試登錄其他平臺，以竊取更多的用戶(hù)資料和價(jià)值信息，而這種“撞庫”的成功率據說(shuō)相當高。

　　“如果密碼都會(huì )設置不一樣，經(jīng)常會(huì )搞混或者忘記，設置一樣的話(huà)，又怕一個(gè)平臺發(fā)生信息泄露，其他平臺都被破解。”同樣懷疑自己遭遇“撞庫”的大學(xué)生黃宇告訴懂懂筆記，不久前，他的游戲賬號就發(fā)生了被盜、無(wú)法登陸的現象。

　　在花了兩天時(shí)間將賬號申訴回來(lái)之后，他卻無(wú)奈發(fā)現，游戲中的大量裝備，都被“轉讓”一空了。這讓他不禁想起了事發(fā)前，某知名網(wǎng)站被爆大量用戶(hù)信息泄露的新聞。

　　“雖然不是很肯定這之間有關(guān)系，但還是擔心別的賬號也被盜號。”小心起見(jiàn)，黃宇不得不將所有的平臺密碼都改了一遍。甚至還將支付寶、微信支付中的銀行卡全部解綁，以確保資金的安全。

　　那么，黑客通過(guò)通過(guò)“撞庫”是否能盜取、轉走用戶(hù)支付應用中的資金呢?

　　“是否能轉走用戶(hù)資金，屬于撞庫攻擊后具體的操作，這也涉及到相關(guān)支付平臺的安全措施和安全等級。”360 網(wǎng)絡(luò )安全響應中心安全分析師韓昊晟告訴懂懂筆記，撞庫攻擊是一種通用的攻擊方法，轉走用戶(hù)資金是一些具備該功能的平臺被攻擊后，黑客進(jìn)行的另一種操作，這兩者之間并不是同一個(gè)概念。

　　韓昊晟強調，如果用戶(hù)在使用金融相關(guān)應用的過(guò)程中，開(kāi)啟了諸如動(dòng)態(tài)密碼、短信驗證碼等多重驗證措施，可以大幅提高應用支付時(shí)的安全系數，同時(shí)減少撞庫攻擊后自己資金被轉走的風(fēng)險。

　　他同時(shí)強調，不同賬戶(hù)設置不同的密碼，是保障用戶(hù)數據安全的重要方式之一。針對個(gè)人密碼的設置，建議養成良好的密碼習慣，字母大小寫(xiě)+數字+符號的 16 位密碼，“不要使用生日、手機號等作為常用密碼，并且養成定期更改的習慣，重要賬號密碼需單獨設置。”

　　最為重要的是，當出現重大數據泄露事件且涉及到自身安全隱私時(shí)，用戶(hù)應該盡快去修改相關(guān)賬戶(hù)密碼。同時(shí)及時(shí)查看自己是否在其它站點(diǎn)、應用、金融或銀行業(yè)務(wù)使用了同一密碼，如果有的話(huà)也應該立即修改。

　　處身于網(wǎng)絡(luò )時(shí)代，我們每個(gè)人的數據信息都有可能淪為灰產(chǎn)牟利的工具，實(shí)際上這也暴露了當前網(wǎng)絡(luò )安全防護的脆弱性。我們可以說(shuō)不在意自己在網(wǎng)上已經(jīng)是“透明人”，但是這些信息很可能不僅被不法分子用于謀取商業(yè)利益，還可能用于危害公共信息安全，操縱社會(huì )輿論，這樣的后果更是細思極恐。

　　今年初，國家標準《信息安全技術(shù)個(gè)人信息安全規范》發(fā)布后，就有行業(yè)人士呼吁，對于那些擁有海量個(gè)人數據信息的企業(yè)，如果繼續漠視用戶(hù)利益，甚至違法違規，這部《規范》應該會(huì )成為其巨大的負擔和追責依據，只有這樣才能引發(fā)那些野蠻生長(cháng)的行業(yè)進(jìn)行反思。

　　作為個(gè)人用戶(hù)，我們希望整個(gè)行業(yè)都能守土有責，信息安全已經(jīng)不是個(gè)人的事情，也希望那些掌握海量數據的企業(yè)，能在技術(shù)和人這兩方面，負起真正的責任。
　?。?a href="http://www.cki5.com/">邯鄲網(wǎng)站制作）