个人信息保护是大数据时代一个非常核心的问题。在倡导数据开放共享的同时,绝不能损害个人信息安全。

有关部门要加强对于数据的保护,数据的共享和保护要齐头并进。从根本上化解这些问题,需要全社会共同努力。

近日,北京市海淀区警方破获一起利用撞库技术非法获取用户账号并从中牟利的案件。

撞库,是指“黑客”通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。近年来,撞库攻击越来越常见,已经成为网络安全重要威胁之一。

撞库攻击门槛低

今年年中,有网友称,其在票务网站大麦网的账号信息被盗,导致被假冒“大麦网客服”的行骗者忽悠转账,骗走现金。

随后,大麦网发布声明称,有些用户在不同网站使用相同的注册信息,因此被不法分子利用,使用撞库的方法在大麦网尝试登录并获取用户购买商品的信息,进而冒充客服人员实施诈骗,导致部分用户遭受了经济损失。

早在2014年年底,就有网友称,12306网站用户信息在互联网上疯传。对此,铁路公安机关迅速介入:经查,嫌疑人蒋某、施某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行撞库,非法获取用户的信息,并谋求非法利益。

阿里云安全团队今年正式对外发布《2015年度云盾态势感知报告》,其中对撞库攻击进行了描述和分析,报告认为,在某邮箱数据库泄露事件之后,撞库这种攻击方式逐渐得到了攻击者的青睐。从撞库检测模型上线之日起,日均检测攻击事件数千起,每起攻击事件平均包括数千次撞库登录请求。进一步统计,在每天发起的攻击事件里,账号密码组合去重后仍有几十万对。更严重的是,这些账号密码组合就像“黑客”的弹药库一样,随着更多的企业被拖库而不断更新迭代。无数用户的个人账号被“黑客”通过撞库偷窃,用于发站内广告和黄色信息,企业的正常业务受到严重影响。

阿里云安全团队对开通了态势感知的受害网站进行统计,在经常遭遇撞库攻击的网站里,排名前三的行业分别为金融(19.68%)、社区论坛(16.03%)、游戏(13.87%),几乎占据了全部攻击的一半,接着为影音娱乐、教育、新闻、广告、旅游等行业。

阿里云首席安全研究员吴瀚清告诉记者,撞库攻击通俗地讲就是“黑客”拿着互联网上所谓的“社工库”(里面包含上亿用户名和登录密码)对网站用户登录界面不停地尝试登录,只要有一次匹配成功,就可以进入用户系统。虽然表面上看像博彩票。实际上,随着“社工库”规模的壮大和精准度的不断完善,成功率较传统暴力破解攻击已有质的提升。

对于撞库攻击越来越常见的原因,吴瀚清分析认为,“撞库攻击简单,无需任何技术门槛,仅仅需要从各种地下论坛下载‘社工库’即可。而且国家法律法规也未明确对这方面的攻击行为进行定性,犯罪成本较低；其次,随着互联网深入到社会的各行各业,个人数据的积累达到了相当可观的规模,为不法分子进行诈骗、数据偷窃创造了机会”。

撞库已发展成黑色业务

随着撞库攻击的兴起,正在成为网络黑色产业链的重要源头。

《2015年度云盾态势感知报告》中称,阿里云安全团队帮助一个云上客户应急响应,查明客户遭受了撞库攻击,网站用户的代金券被攻击者一洗而空。经过进一步的调查,发起攻击的IP有数百个之多,且证据都指向了一个在互联网上经常遭到投诉,从2014年开始扫描代理的服务器。经过取证和分析,发现服务器上存储了近300GB的各类数据,仅仅代理服务器的数据就有90多GB,除了扫描到的代理服务器,还有各类弱口令“肉鸡”数据。回顾整个黑色产业链,从扫描代理、出售代理、收集“社工库”到最终发起撞库攻击,不同的环节由不同的角色来完成,说明撞库攻击早已不是一两个“黑客”兴起玩玩的把戏,已经成为一项发达而成熟的“黑色”业务。

吴瀚清认为,目前的网络黑色产业链的一大特点就是,随着地下产业链日渐成熟,用户数据可以被迅速转变成现金:用户账号中的虚拟货币、游戏账号、装备,都可以通过交易的方式变现,也就是俗称的盗号；金融类账号,比如支付宝、网银、信用卡、股票的账号和密码,则可以用来进行金融犯罪和诈骗；最后一些可归类的用户信息,如学生、打工者、老板等,多用于发送广告、垃圾短信、电商营销。也有专门的广告投放公司,花钱购买这些分门别类的信息。

吴瀚清建议,网络用户要注意保护个人信息,尤其是真实姓名、身份证号、手机号等敏感信息不要随便在网站上填写,对不同的网站应用设置不同的密码,并对个人征信类服务设置不同于社交网络的密码,避免“黑客”利用社交网络密码进行账号登录盗用。

共享保护齐头并进

撞库攻击只是大数据时代个人信息保护的一个问题。

亚太网络法律研究中心主任、北京师范大学教授刘德良认为,个人隐私最大的风险在于数据被滥用。“在进入大数据时代之前,某些商家搜集信息主要用于商业目的,商家并不想知道消费者叫张三还是李四,商家感兴趣的是用户的偏好,以更好地用于营销。商家所希望获取的所有数据都是用于商业目的,除此之外,多余的数据对于商家来说可能还增加了成本。但是在大数据时代,商家与商家可以实现数据的匹配,进而获得消费者更多个人信息。总体来看,不是所有的个人信息都需要保护,关键是个人信息不能被滥用,比如用于打骚扰电话、发垃圾短信之类的”。

“在个人信息保护方面,法律禁止的是滥用行为。比如身份证号码属于个人信息,但实际上生活中很多人也看过我们的身份证。如果假冒他人身份证,并用于某些商业交易,就需要运用法律严格禁止。”刘德良说。

从当前互联网企业的发展态势来看,数据分析变得越来越重要,甚至提出了“格数致知”的理念。

中关村大数据产业联盟秘书长赵国栋说,个人信息保护确实是大数据时代一个非常核心的问题。在倡导数据开放共享的同时,绝不能损害个人信息安全。从目前的情况来看,应该通过技术的发展去解决盗取个人信息等问题。比如区块链技术的应用,对于破解数据被盗取问题就很有帮助。

区块链是一个比较新的概念,目前在金融领域应用较多。

近日,全国人大财经委委员、中国银行前行长李礼辉在第三届大数据金融论坛暨互联网金融诚信洽谈会上说,当前备受关注的区块链技术应用,在理论上具备较强的信息数据保护功能,区块链的非对称加密功能,有利于保护信息数据的私密性。区块链的分布功能,有利于保护信息数据的完整性。

“个人隐私被侵犯是社会发展中一个不可避免的问题,解铃还须系铃人,这一问题的解决有赖于大数据技术的进步和融合。”赵国栋说,“从具体的防范措施来看,一些大数据时代的犯罪现象以及地下产业链,都离不开银行转账这个环节,这一环节可以通过技术手段进一步加强防范。比如在使用信用卡消费时,商家能够通过升级技术手段发现支付方有问题,再进一步打电话确认是不是本人在刷卡,如果不是,就立刻冻结账户。不法分子的资金流向与普通消费者有很大不同,通过技术手段在支付环节加以限定,对于遏制此类犯罪现象会有很大作用。不过这需要银行方面做一些转变,随之带来的成本也会比较高。除此之外,还可以通过新的技术建立一些更广泛的防范机制,比如黑名单。”

“网络犯罪形态也在发生变化,比如说模拟一些场景、通过不同分工去实施诈骗。一方面,对于用户来说,不要迷信天上掉馅饼的事情；另一方面,对于有关部门来说,要加强对于数据的保护,数据的共享和保护要齐头并进。从根本上化解这些问题,需要全社会共同努力。”赵国栋说。