八成數據泄漏因為內鬼 優質資訊售價驚人

圖片來源：視覺中國

在一家貿易公司負責國內業務的劉昊，最近倍感困擾。

由於工作需要，他在不少網站和APP應用上都有自己的账號，然而不久前，順豐和華住等企業先後傳出上億條用戶數據遭泄露之後，他被同事的“忠告”嚇得把十幾個平台上的所有登錄密碼都修改了一遍，而且每個平台的用戶名和密碼都修改為完全不同。

“IT部門的哥們兒說，只要黑客拿到一個平台上的用戶密碼，就會用撞庫的方法在其它網站上進行登陸嘗試。”他對此非常無奈，雖然事件有了進展，例如日前華住集團官網針對5億條用戶數據泄漏事件發布聲明，表示根據警察機構的最新消息，案件已告破，在暗網上試圖兜售數據的犯罪嫌疑人已經被緝拿歸案，其企圖之交易未果。但他對此仍然感到不放心。

尤其是朋友告訴他，以後自己這些重要的應用不要使用同一個登錄密碼，最好是一個應用使用一個密碼，不要重樣。這可讓他費勁了腦汁。

實際上，近幾年無論是國內還是國外的互聯網企業、服務機構，在用戶資訊方面都屢屢出現重大泄露事件，幾乎可以說沒有一位用戶的資訊是絕對安全的。而那些在網上高價兜售的用戶數據，更是奇貨可居，一旦出現就會被高價收購。到底是誰在盯著我們每個人的數據隱私？

用戶資訊泄露首先是“人”的問題

“（用戶）數據被盜已經不是第一次了，我們也很苦惱。”

吳勝強在一家互聯網公司擔任運營總監。兩年前，他所在的這家企業研發並運營了一款新車評測的影片類應用。之後，他們就一直在與用戶隱私數據安全做著不懈“鬥爭”。

由於這款應用涉及評測和購車話題，注冊用戶也被視作購車、養車的潛在客戶，因此數據庫常常成為網絡黑客重點“光顧”的對象。應用上線初期，幾乎每個月都會發生一、兩起數據庫被攻擊的事件。

黑客通過攻擊數據庫，導出部分用戶數據的行為，被稱之為“拖庫”。為了杜絕類似的事件發生，公司的技術團隊做了不少防護措施，包括修複漏洞，加強防火牆，設定多級加密等。

“但類似的用戶資訊泄露問題依舊還會出現，有的時候感覺是防不勝防。”他告訴懂懂筆記，儘管數據庫安全系數增加了不少，但隱患始終沒有排除。

有時候，部分泄露資訊還是在用戶投訴後，技術團隊才得以發現。因此，吳勝強和技術主管開始懷疑，在公司內部出現了盜竊用戶數據的內鬼，但是在缺乏證據的情況下，他們一時難以鎖定目標。

“如果真的拿到真憑實據，對於內鬼也只能悄悄開除。”吳勝強透露，不少企業都發現了內鬼的存在，但在部分資訊泄露之後都不敢公開，甚至不敢報警。究其原因，還是為了維護品牌以及企業的名聲。除非是大面積資訊泄露被媒體報導，相關企業才會做出回應，或者交由警方處理。

據《財經》雜誌報導顯示，有80％的數據泄露是企業內鬼所為，黑客和其他方式僅佔20％。對於這樣的比例，可能很多企業高管會感到驚訝，自己在技術上的投入防的了黑客卻防不住人心。

“企業在不斷加強通過技術防禦過程中，往往疏忽了‘人’才是安全攻防的本質與核心。”聊到這個話題，在知名資訊安全企業任高級分析師的韓昊晟也表示，一些企業在加強了數據安全技術防護措施之後，的確能夠減少因漏洞被黑客攻擊所產的生數據泄露事件。但是這些舉措無法阻止因企業內部培訓、監督、管理缺失，導致監守自盜，泄露用戶隱私資訊的行為。

或許，無論是加強技術防護門檻，還是加強對相關人員的監察，都只能是在一定程度上盡量杜絕數據泄露的發生。畢竟想要獲取這些數據的灰產或者黑客，對於海量真實用戶數據的貪婪是我們難以想象的。原因很簡單，出售這些數據能夠帶來巨大的財富。

那麽，那些泄露出去的用戶隱私的數據，是被什麽人買走了？

用戶資訊被循環出售，買家背景複雜

“只要驗證資訊是真實的，他們就會收。”

曾從事資訊灰產的汪海（化名）在交流中透露，無論是專門攻擊數據庫的黑客，還是盜竊企業數據的內鬼，除了個別的會自己去暗網上匿名兜售，大多情況下，都是整套賣給類似他這樣的“中盤”，再通過社交網絡分銷出去。

“中盤”根據資訊內容中，所涉及的職業、所在地、消費能力等資訊進行分類、篩選、梳理成一套套有行業針對性的用戶資訊資料。而這個分類、篩選、梳理的過程，也被稱為“洗庫”。之後，這些用戶資訊，就成了可以銷售的“成品”了。

“用戶資訊的買家，三教九流、形形色色什麽人都有。”汪海表示，諸如小區業主、車主、高消場所顧客、網購達人等用戶資訊，要價最高，每萬條資訊甚至可以賣出幾千上萬元的價格。

他透露，高價值用戶數據的買家，或來自一些地產企業、投資理財機構，也會有一些商業銀行和保險機構。購買這些數據的目的，主要是希望通過這些用戶資訊，推銷拓展與房產、投資、理財等相關的業務。

而那些普通消費類用戶資訊，諸如酒店預訂、電商購物、商場積分等等，“中盤”會整理好資訊後，在美妝、鞋服、數位、旅遊、培訓等細分領域出售給相應的企業。

這一類數據的價格比較便宜，每萬條售價數百元到千元，而且常常會多次、重複銷售。甚至有一些買家在利用完這部分資訊進行產品推廣後，還會通過更低級別的資訊販子，轉手出售給一些小規模的房產中介、網貸公司。

“至於那些缺少標簽，無法分類的個人資訊，往往會跟著多次回收的二手資訊一起，低價賣給詐騙份子。”汪海透露，一些詐騙電話、簡訊之所以能夠知道用戶曾經的消費記錄、購物資訊，有針對性的進行詐騙，都是參考自這些廉價、且自帶多重消費行為標注的隱私數據。

如此算來，一套擁有數千萬個用戶資訊的數據，能夠給黑客、資訊販子帶來的直接收益，就足夠驚人。而在這些資訊買賣的過程中，不少資訊販子為了掩人耳目，在交易時是使用購買來的身份證件、銀行卡去收款，甚至會使用虛擬幣進行交易，以規避被有關部門查處的風險。

有不少網友表示，個人資訊泄露事件層出不窮，自己已經見怪不怪了。若資訊只是賣給商家、騙子，那麽遇到銷售、詐騙電話和簡訊，頂多不接不看就是。不接觸，對日常的生活影響也就不大，所以自己完全並沒有必要過分擔憂。

那麽，個人隱私資訊泄露的危害，真的只是如此嗎？

平台账號密碼泄露，資金也有風險

“為了方便，我很多账號密碼都設定一樣的。”

前不久，從事客服工作的賈彤發現郵箱账號被盜，而她只是簡單修改替換了郵箱密碼。然而接下來的幾天，她有不少平台的账號在異地被頻繁登錄。就連手機中的支付應用，也經常提示账號異常。

賈彤趕緊上網搜索解決方法，發現有不少網友都在谘詢類似的情況。

由於跨平台账號密碼設定一致，導致用戶只要有一個账號被盜，黑客就會利用這一账號資訊頻繁嘗試登錄其他平台，以竊取更多的用戶資料和價值資訊，而這種“撞庫”的成功率據說相當高。

“如果密碼都會設定不一樣，經常會搞混或者忘記，設定一樣的話，又怕一個平台發生資訊泄露，其他平台都被破解。”同樣懷疑自己遭遇“撞庫”的大學生黃宇告訴懂懂筆記，不久前，他的遊戲账號就發生了被盜、無法登陸的現象。

在花了兩天時間將账號申訴回來之後，他卻無奈發現，遊戲中的大量裝備，都被“轉讓”一空了。這讓他不禁想起了事發前，某知名網站被爆大量用戶資訊泄露的新聞。

“雖然不是很肯定這之間有關係，但還是擔心別的账號也被盜號。”小心起見，黃宇不得不將所有的平台密碼都改了一遍。甚至還將支付寶、微信支付中的銀行卡全部解綁，以確保資金的安全。

那麽，黑客通過通過“撞庫”是否能盜取、轉走用戶支付應用中的資金呢？

“是否能轉走用戶資金，屬於撞庫攻擊後具體的操作，這也涉及到相關支付平台的安全措施和安全等級。”知名資訊安全企業高級分析師韓昊晟告訴懂懂筆記，撞庫攻擊是一種通用的攻擊方法，轉走用戶資金是一些具備該功能的平台被攻擊後，黑客進行的另一種操作，這兩者之間並不是同一個概念。

韓昊晟強調，如果用戶在使用金融相關應用的過程中，開啟了諸如動態密碼、簡訊驗證碼等多重驗證措施，可以大幅提高應用支付時的安全系數，同時減少撞庫攻擊後自己資金被轉走的風險。

他同時強調，不同账戶設定不同的密碼，是保障用戶數據安全的重要方式之一。針對個人密碼的設定，建議養成良好的密碼習慣，字母大小寫+數字+符號的16位密碼，“不要使用生日、手機號等作為常用密碼，並且養成定期更改的習慣，重要账號密碼需單獨設定。”

最為重要的是，當出現重大數據泄露事件且涉及到自身安全隱私時，用戶應該盡快去修改相關账戶密碼。同時及時查看自己是否在其它站點、應用、金融或銀行業務使用了同一密碼，如果有的話也應該立即修改。

處身於網絡時代，我們每個人的數據資訊都有可能淪為灰產牟利的工具，實際上這也暴露了當前網絡安全防護的脆弱性。我們可以說不在意自己在網上已經是“透明人”，但是這些資訊很可能不僅被不法分子用於謀取商業利益，還可能用於危害公共資訊安全，操縱社會輿論，這樣的後果更是細思極恐。

今年初，國家標準《資訊安全技術個人資訊安全規範》發布後，就有行業人士呼籲，對於那些擁有海量個人數據資訊的企業，如果繼續漠視用戶利益，甚至違法違規，這部《規範》應該會成為其巨大的負擔和追責依據，只有這樣才能引發那些野蠻生長的行業進行反思。

作為個人用戶，我們希望整個行業都能守土有責，資訊安全已經不是個人的事情，也希望那些掌握海量數據的企業，能在技術和人這兩方面，負起真正的責任。

【鈦媒體作者介紹：文/懂懂筆記】

更多精彩內容，關注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App