京東數千萬用戶數據疑似外泄,人性貪婪催生的“數據黑產”
最近,黑市上出現重磅“炸彈”,一個12G的數據包開始流通,其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,數據多達數千萬條。
而黑市買賣雙方皆稱,“這些數據來自京東。” 京東方對此表示,正在緊急核實數據真偽。
01、數據之迷
最近,因為這12G的數據包,黑產再次被攪動。
一些地下渠道,開始對數據進行明碼標價交易,價格從“10萬到70萬”不等。
外泄數據部分截圖
數據分為幾個維度:姓名、密碼、郵箱、QQ、身份證、電話等
據業內人士稱,數據已被銷售多次,“至少有上百個黑產者手里掌握了數據”。
“數據外泄的時間已比較長了,至于為何現在又流通,原因未明,”業內人士透露,暫且很難確認是“內鬼”還是“黑客盜取”。
業內人士稱,大部分數據外泄后,黑客會先進行洗庫,登錄賬戶將有價值的內容清洗一遍,比如登錄游戲賬戶,將虛擬幣轉走。一般這個清洗過程,需要幾個月甚至更長時間。
第二次“洗庫”,才會將數據出售,“數據價值榨取殆盡了,再給市面上的人來分渣”。
值得注意的是,這些數據的用戶密碼都進行過MD5加密,要通過專業破解軟件,才能得到原密碼。
業內人士稱,一般MD5破解需要一定時間,但有些密碼在數據庫中已被其他人解密過,能瞬間破解,比如123456;如果是一個新密碼,破解時間就較長。
可瞬間破解的賬號,一般只占3-5%。
記者嘗試根據部分用戶名和破解的密碼登陸,確實大部分可登陸京東賬戶。
姚鑫的密碼就可瞬間破解(設計一個復雜密碼是多么重要)
登陸之后,用戶在京東上的訂單、地址、交易等信息都一覽無遺。甚至一本財經記者從數據庫中搜索自己名字,發現信息也早已外泄。
“黑客拿到這些數據,還可進行撞庫操作”,業內人士稱。所謂“撞庫”,是一個黑產的專業術語,即黑客會通過已泄露的用戶名和密碼,嘗試批量登錄其他網站,獲取數據。
這就是人類設計密碼的缺陷,大部分人為了記得住,都會用同一個用戶名和密碼,導致撞庫成功率極高。
傷害值最高最直接的,就是撞進一些金融賬戶,直接將資金轉走。
12月9日,一本財經向京東核實相關情況。截止發稿前,京東給出的最新回應稱,目前正在找技術部門緊急核實,暫時還無法確認數據真偽。
02、絕非孤案
實際上,京東已不是第一次被曝數據外泄。
2015年,京東就被曝出大量用戶隱私信息泄露,多名用戶被騙走金錢,總共損失數百萬。直到一年后,京東才公布調查結果,稱是因為出現“內鬼”。
所謂的“內鬼”,是3位物流人員,通過物流流程,掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息,總數據達到9313條。
而電商平臺,一直是數據泄漏的重災區之一。
2014年年初,支付寶被爆20G用戶資料泄漏。后經調查,此次泄漏是“內部作案”:支付寶前技術員工李明,利用職務之便,多次在公司后臺下載用戶資料。這20G資料,包括用戶個人的實名、手機、電子郵箱、家庭住址、消費記錄等,相當精準。
李明和兩位同伙,將用戶資料按條數出售,價格不等,價值較高的,一條可賣數十元;也有人以500元的代價,購買了3萬條用戶信息。
這個故事中更有意思的部分是,購買這些數據的買家,都是“友商”,比如其他電商平臺。
除了支付寶,早在2012年,1號店被曝網上商城員工與離職、外部人員內外勾結,90萬用戶資料泄露,價格只需500元。
可見“內鬼”是電商信息泄漏的重要原因。除此之外,電商平臺由于自身技術漏洞,被黑客戳中軟肋,盜走數據,也是常見現象。
2014年,是電商平臺安全風險集中爆發的一年。
3月,當當網113位用戶賬戶余額被盜用。
黑客先是盜取用戶登錄信息,然后修改用戶綁定手機、郵箱地址等信息,最后購買電子產品等貴重商品。
當當網在輿論重壓下,宣布給予用戶補償。
同月,烏云漏洞平臺曝光攜程系統存技術漏洞,可導致用戶個人姓名、身份證號碼、銀行卡類別、銀行卡卡號和銀行卡用于支付的6位Bin碼等重要信息泄露。
而攜程隨后發布聲明表示,確認共93人賬戶存安全風險,已通知相關用戶更換信用卡。
年底,中國鐵路購票網站12306的6個子網站存在高危漏洞,致數十萬條用戶數據外泄,包括用戶賬號、明文密碼、身份證、郵箱等敏感信息在內的數據被販售。12306宣布懸賞、號召網友查找漏洞。
不論是內鬼作祟還是黑客攻擊,無非都是利益驅動。
03、數據之痛
地下的龐大數據產業鏈,已然形成。
網民被泄露的信息主要分為兩類:個人信息包括姓名、身份證號、手機號碼、家庭住址、工作單位、郵箱賬號和密碼、網購信息、購車、購房情況、醫療信息等各類信息;
網上活動信息包括通話記錄、網購記錄、網站瀏覽痕跡、IP地址、軟件使用痕跡及地理位置等,涵蓋范圍非常廣泛。
而地下的數據庫,已可以從200多個維度了解一個人——甚至能比你自己更了解你自己。這些泄露的數據,最終以各種方式,成為不法分子獲利的工具。
今年,人民日報發文稱,有78.2%的網民個人身份信息被泄露過,63.4%的網民個人網上活動信息被泄露過;而有82.3%的網民親身感受到了個人信息泄露給日常生活造成的影響。
黑產之手,已延伸到普通百姓生活,到了觸手可及的地步。
僅在2015年一年,中國網民因信息泄露問題,導致的損失是805億人民幣——這只是對外公開的可查數據。
實際上,因為大數據的崛起,各家對數據的渴求度極高,加速了黑產數據的流通。
一本財經在《征信之亂》中曾經調查黑產鏈條,從事數據買賣中間商,多達幾萬人,數據的每一次流轉,價值上萬到百萬不等——地下黑市,恐怕早已形成萬億級別市場。
用戶的隱私和信息,就如此公然成為販賣品,在黑市上肆無忌憚地流動。數據之痛,已讓所有人感同身受。
然而,這個問題,卻不是做好安全工作就能解決的。除了技術,還得防住人性的貪婪。
