山體滑坡堰塞湖規劃（深觀察撞庫挖開信息堰塞湖）

2023-10-15 23:13:21 2

山體滑坡堰塞湖規劃?「華住數據疑似洩露」事件引發廣泛關注8月28日，有科技機構在網上爆料，並傳出一張黑客出售疑為華住酒店集團客戶數據的截圖，其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息，我來為大家講解一下關於山體滑坡堰塞湖規劃?跟著小編一起來看一看吧!

山體滑坡堰塞湖規劃

「華住數據疑似洩露」事件引發廣泛關注。8月28日，有科技機構在網上爆料，並傳出一張黑客出售疑為華住酒店集團客戶數據的截圖，其中涉及姓名、身份證號、家庭住址、開房記錄等眾多敏感信息。

有媒體記者對已流傳出的信息做了隨機測試，在16人中，有1人電話為空號，3人表示數據與本人不符，5人表示信息基本一致，7人電話未打通。這份天量級別的個人信息包是從哪裡洩露的？目前，上海長寧警方已介入調查，希望能夠全面查清此案。

其實，發生類似的事件並非偶見，相反，近年各大網站、應用乃至醫療等機構的信息洩露不斷，用戶的信息一再「被裸奔」：

——2014年12月，12306上的超13萬條用戶數據，在網上被傳播售賣，包括帳號密碼、身份證、郵箱等。

——2015年，線上票務營銷平臺大麥網被發現存在安全漏洞，600餘萬用戶帳戶密碼遭到洩露。

——2015年，網易163/126郵箱數億帳號信息洩漏。

——今年6月，著名二次元網站AcFun承認，受黑客攻擊致用戶數據外洩。

這並不是中國所獨有的問題，而是大數據時代全球的尷尬：

——2016年，3200多萬個Twitter用戶登錄信息被放到「暗網」上叫賣。

——2017年3月至7月期間，美國凱悅集團旗下11個國家的41家凱悅酒店支付系統被黑客入侵，大量客戶信息洩露。

——今年7月，新加坡政府公開承認，黑客入侵了新加坡保健服務集團(SingHealth)的系統，盜取了150萬名患者的個人信息，其中甚至包括總理李顯龍的個人信息。

「撞庫」挖開了「信息堰塞湖」

洩露信息數量從萬級到千萬級，再到億級，受害者從平民百姓到一國總理，誰都不能免疫於無妄之災。為什麼洩露頻率越來越高，數量越來越大，犯罪越來越猖狂呢？

大數據時代，信息即資產，商業巨頭們用戶群體廣泛，匯集大量用戶信息，進行客戶特徵畫像、精準營銷。網際網路寡頭高度集中，他們手中掌握著億級的用戶信息，形成了一個個「信息堰塞湖」，也成為不法分子的首選。

另一方面，當下以「撞庫」為主要手段的盜號方式，使信息洩露像原子鏈式反應，瞬間呈指數型增長。

在早些年，盜取他人帳號主要靠植入木馬，密碼字典則靠軟體生成，能夠盜取的個人信息數量相當有限，針對木馬的防範也相對比較簡單。但是，近幾年頻繁出現網站資料庫洩漏事件，使「撞庫攻擊」成為主流。

何謂「撞庫」？黑客入侵A網站後拿到的用戶名、密碼等數據，再去B網站嘗試登錄，這是因為很多人在不同網站、信箱會使用相同用戶名、密碼。而且黑客還會把盜取的數據進行「拖庫」，把數據存到自己的所謂「社工庫」裡，在暗網上出售、交流，這樣黑客們掌握的公民個人信息越來越多，「撞庫」也就越來越方便。

事實上，每天都有數以萬計被盜QQ號流入黑灰產業鏈，這些QQ號關聯著海量應用帳號；2011年，專業IT網站CSDN600萬用戶數據洩漏，成為網站資料庫洩漏的第一聲「芝麻開門」；2015年，網易郵箱數億帳號洩漏……這些都給黑客提供了充分的「子彈」去「撞庫」。

因為「撞庫」用的是真實的用戶名和密碼，廠家應對難度被迫提升：真假唐僧都會念緊箍咒，怎麼來識別？廠家往往通過手機驗證、驗證碼（字母扭曲、漢字識別、移動滑塊），識別是網絡攻擊，還是用戶「自然人」在使用，其實是一個簡單的圖靈試驗。

結果道高一尺，魔高一丈，網絡黑灰產業鏈又繁衍出一個亞行當——「碼工」專門人工通過驗證碼來「撞庫」。今年6月，全國首例「撞庫打碼案」在杭州宣判，此案中犯罪分子盜取大量用戶名和密碼之後，又僱傭了上百名「碼工」對圖片驗證碼進行打碼，從而盜入他人的淘寶帳號。

「撞庫」的黑灰產業龐大到什麼程度呢？有報告稱，2016年機器人流量佔全網流量的51.8%，而惡意機器人流量佔據了全網流量的28.9%！甚至全球有近百萬人充當「碼工」，以人肉「撞庫」為生。而且從全球攻擊流量去向來看，截至2017年3月，中國佔了67.62%，美國佔據了27.12%，可以說，中國是「撞庫攻擊」的重災區。

一次海量的「撞庫」成功，可能引爆另一次天量的撞庫；大規模的個人信息洩露，預示著下一次的規模更大。信息洩露，像生物繁殖的邏輯斯蒂曲線一樣，一路飆升。反覆迭代衍生的「撞庫」，像是打開了潘多拉魔盒，對責任的溯源卻越來越模糊。

信息安全常識應成為「生存技巧」

空泛地喊一兩聲網絡安全意義不大，針對天量的網絡灰產，需有足夠強力手段和精準的保護。

首先，應該認識到「撞庫」問題的嚴重性，公民要關注自己的信息安全。就像進入汽車時代要關注交通安全一樣，大數據時代裡，信息安全常識應成為必要的「生存技巧」，網民首先要學會「自救」。

佔到全網流量的28.9%的惡意機器人，很多幹的就是「撞庫」勾當。但是，破解「撞庫」說簡單也很簡單，只需用戶在不同網站、APP、電子郵箱，特別是電子銀行之間使用不同的密碼。那種一套密碼走天下的小白思維，會成為撞庫的「神助攻」。

在近年各家網站、應用屢屢發生千萬級信息洩露的情況下，你的個人信息已被出賣，其實是一個大概率事件，所以說網民要學會止損，在網絡應用上打「密碼隔水艙」。

其次，保護個人信息安全，不僅是企業的社會責任，更是法律義務。網絡安全，不僅關乎財產權，還直接關乎公民的生命安全，「徐玉玉案」就直接緣於當地的高招信息被洩露。《網絡安全法》規定，「網絡運營者在發生或者可能發生個人信息洩露、毀損、丟失的情況時，應當立即採取補救措施」；《消費者權益保護法》也規定：經營者要「確保信息安全，防止消費者個人信息洩露、丟失」。今後強制性的信息保護規範，必須成為企業的硬性標配，全面構建信息安全社會。

第三，對於網絡盜取公民信息、「撞庫」的社會危害性，法律應有充分認識。當個人信息數據達到億級時，它就不是商業安全問題，而是社會安全問題。但是，目前《刑法》規定的「非法獲取計算機信息系統數據罪」等罪名都量刑較輕，甚至有時比醉駕還要輕。

結果，不少技術宅只為了逞強好奇，就強行攻破資料庫，結果打開了潘多拉魔盒，自己還不知道。比如，前述的全國首例「撞庫打碼案」中，三名被告人最終都只被判處了緩刑。

大數據時代，賽博空間已然降臨，它不是存在於科幻小說當中，而是深深地嵌入了我們的生活。原子鏈式反應式的「撞庫攻擊」，短時間內會愈演愈烈，治本之道是在全球範圍內徹底剷除網絡黑灰產業，強化對盜取網絡信息犯罪的嚴懲，強化企業的網絡安全責任；但對公民個人來說，還得趕快「自救」改密碼！