近日,有微博网友爆料,陌陌3000万数据在暗网上以50美金的价格出售。卖家11月30日贴出的交易截图显示,这些数据包括用户的手机号、密码,写入时间是2015年7月17日。卖家透露,这是三年前撞库而来的,不保障现有时效性,且一经售出,谢绝退款。
事件
3年前撞库数据再度被出售
据微博博主lxghost透露,陌陌的约3000万条数据在暗网出售,有多个卖家都有相关资源,价格仅为200元,但不保证数据的有效性。
一个约2600万条的在售数据包括手机号和密码。据卖家介绍,这批数据的来源是3年前撞库而来。数据规模总共3161万行,包括手机号加密码或者仅手机号,其中含密码的数据是2592万行。
卖家还特别警告称,“本人未有大批测试能力,故无法确保数据能登录陌陌或者可搜索到陌陌账号的概率,这一点敬请谅解。”
截图显示,这些陌陌账号和密码被整理成一个GVIM文档,在截图的20个手机号码中,仅有3条无对应密码,其余在手机号后都标有密码。
另一个3000万条数据库的介绍显示,这批数据是2015年7月17日被写入的,总条数3161万条,包含的字段有手机号和密码。卖家介绍称,“数据中密码有空白项,但这部分所占比例不到1%,就算去掉100万条,还有3000万条。”并申明:“本数据不保障现时有效性,只适合撞库等用”。
验证
密码不正确或陌陌号不存在
不过据验证,这些数据的有效性存在很大问题,北青报记者随机验证了几个账号发现,多个账号显示“该陌陌号不存在”,还有的显示“账号或密码错误”。
例如数据中的136xxxx9535,在登录时显示“用户名或密码错误,是否找回密码?”在找回密码时则需要通过手机号码进行验证,他人无法直接进行登录;而152xxxx0634则显示“该陌陌号不存在”,说明数据库数据存伪。
为何会有密码错误或账号不存在的问题?据猜测,一种可能是因为数据库本身有问题,由于暗网是一个匿名网站,上面的数据可能存在捏造等情况,而这些数据是用于出售的,因此很可能是有人捏造数据库而骗取钱财;另一种可能是,三年前存在类似数据库,但陌陌方面已经进行一些措施,提示用户修改密码或在此期间部分用户注销等,目前来看这批数据的利用价值已经不大。
追访
数据库泄露事件缘何时有发生
在信息化、数据化的今天,数据泄露事件并非个案。11月30日,万豪酒店集团披露,旗下喜达屋酒店的一个顾客预订数据库遭到入侵,有约5亿顾客的信息可能遭到泄露。被泄露的信息包括姓名、生日、电话号码、护照号码甚至包括支付卡号码及有效日期。
据业内人士介绍,万豪事件是被“拖库”了,在黑客术语里面,“拖库”是指黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为。而陌陌事件中提到的“撞库”,是黑客将一个网站的数据库尝试在其他网站进行登录,由于很多用户喜欢使用相同的用户名和密码,黑客就可以用之前的数据库登录新的网站,盗取用户在新网站的财产和资料。
“用户要避免在不同的网站使用相同的用户名和密码,以避免被撞库”,一位安全专家表示,“当然,贩卖和购买公民信息是违法的,这些售卖和购买数据库的网友也将承担相应的法律责任。”大安全时代,数据泄露事件并不是单一厂商的密码泄露,而是一直以来或明或暗的安全事件——个人、信息安全行业、公司实体都无法置身事外,需要建立一个协同联动的机制和体系。
一份汇总分析了84个国家的《2017年的数据泄露调查报告》显示,数据泄露原因方面,62%的数据泄露与黑客攻击有关;81%的数据泄露涉及到撞库或弱口令。导致数据泄露的主要手段分为技术手段(黑客入侵、软件漏洞、恶意木马)、非技术手段(内部人员泄密、非有意识泄密)。
最新消息
陌陌回应:他人无法仅凭手机号和密码登录用户账号
昨日晚间,陌陌公开回应了关于用户数据安全一事。
陌陌称本着对用户数据和隐私安全负责的态度,现就此事说明如下:第一,这个所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低。多家媒体测试验证的情况显示,返回的也都是错误信息。第二,陌陌采用高强度单向散列算法(用户密码被单向加密成密文,但不能通过密文还原为明文)加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。
陌陌最后表示,“请陌陌用户放心,陌陌采用包括密码验证、设备验证等多重校验机制,以保护用户信息安全,任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号。”
文章来源:灰产圈
陌陌方面的回应:
今天,网传一份自称是三年多前撞库得来的包含手机号和明文密码的陌陌用户数据,数据写入时间为2015年7月17日。本着对用户数据和隐私安全负责的态度,现就此事说明如下:
1、这个所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低。多家媒体测试验证的情况显示,返回的也都是错误信息。
2、陌陌采用高强度单向散列算法(用户密码被单向加密成密文,但不能通过密文还原为明文)加密存储用户密码,因此任何人无法直接从陌陌数据库中直接获取用户明文密码。
3、请陌陌用户放心,陌陌采用包括密码验证、设备验证等多重校验机制,以保护用户信息安全,任何人在其他设备上仅用手机号和密码试图登录陌陌账号,都会触发短信验证码等多种信息验证措施,他人根本无法仅凭手机号和密码就登录用户陌陌账号。
陌陌回应好像很苍白,数据泄露事件却在近期频频出现。上一次如此大规模的数据泄露事件就发生在刚刚过去不久的8月,华住集团5亿条开房信息遭泄露,并且用户信息同样遭到出售。
这些都是被曝光的较大规模的信息泄露,在我们看不见的地方,还有许多这样的勾当在发生。尽管有关部门和相关企业加大了打击这条黑色产业链的力度,但大规模的隐私泄露事件仍屡禁不止,究竟原因何在呢?
华住旗下酒店包括:汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、怡莱、海友。数据包括酒店用户的姓名、手机号、邮箱、身份证号、登录密码、消费金额、房间号等信息。数据标价8个比特币,大约价值37万人民币。 数据售卖方提供了10000条数据用作测试,经相关研究人员对泄露出的数据进行测试,数据真实性极高,并且大部分数据可能是最新泄露出。
2018年3月令人震撼的Facebook数据泄露丑闻,有报道称,一家名为Cambridge Analytica的数据分析公司通过一个应用程序收集了5000万Facebook用户的个人信息,该应用程序详细描述了用户的个性、社交网络以及在平台上的参与度。尽管Cambridge Analytica公司声称它只拥有3000万用户的信息,但经过Facebook的确认,最初的估计实际上很低。今年 4月,该公司通知了在其平台上的8700万名用户,他们的数据已经遭到泄露。
2013年10月,国内安全漏洞监测平台"乌云网"披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。数天后,一个名为"2000w开房数据"的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。信息不但包括姓名、身份证号、手机号,还包括户籍地址、开过房间。
2016年,优步遭到黑客攻击,5,700万用户数据泄露。当时,为避免负面新闻蔓延,优步竟向黑客支付十万美元的赎金,让其删掉这些数据,并将消息一直瞒到了2017年底。
雅虎2016年12月表示在该公司超过30亿个账户在2013年的黑客事件中被黑。这起雅虎史上最大的信息盗窃事件迫使雅虎削减了其核心互联网资产的售价,从而得以售予Verizon。据雅虎称,所有的账户均受到了影响。它还称,调查显示被窃的信息并不包括明文密码、付款卡数据或银行账户信息。但有专家表示,保护这些信息的加密技术当时已经过时,非常容易攻破。
2016年11月,美国成人交友网站Friend Finder Network发生了大规模的数据泄露事故,导致超过4.12亿帐号的信息泄露。此次事件影响了 AdultFriendFinder.com 的3.39亿个帐号。该公司表示,这是“全球最大的约炮社区”。此外,这其中还涉及超过1500万个“已删除”的帐号。这些帐号信息没有从数据库中清除。在此基础上,还有6200万个来自Cams.com的帐号、700万个来自Penthouse.com,以及该公司旗下其他小网站的帐号被盗。根据 LeakedSource 的报告,此次事件覆盖了该公司规模最大网站长达20年的数据。
2017年3月,58同城全国简历遭泄露,淘宝贩卖3毛一条。有淘宝电商出售“58同城简历数据”,一位淘宝店主表示, “一次购买2万份以上,3毛一条;10万以上,2毛一条。要多少有多少,全国同步实时更新。”,而其他店主则表示700块买一套软件可以自己采集58同城的数据,有效期长达一个月。
2017年公安部破获了一起盗卖公民信息的特大案件,50亿条公民信息遭到泄漏,而嫌疑犯被传是京东网络安全部员工,与黑客长期相互勾结。据公安部披露,犯罪嫌疑人郑某鹏利用京东网络安全部员工这一身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息,包括在京东、QQ上的物流信息、交易信息、个人身份等等。
。。。。
互联网用户数据泄露风险加大,各国重拳阻击
无独有偶,在此前“Equifax”公司的黑客事件中,美国消费者有多达1.43亿个数据被泄露,成为美国企业历史上最严重的个人信息泄露事件。佛罗里达州的数据公司“Exactis”早已指明,在Exactis的服务器上有超过3.4亿条个人数据,任何人都可看到。安全专家Vinny Troia用一种名为“Shodan”的工具发现了这一事实。依据该公司网站的资料,Exactis是全球最大的营销公司,存储有35亿条数据,并从事公司和个人的信息聚合业务。根据Troia的说法,Exactis服务器上的个人信息不仅包括姓名和电话号码,还包括性别、有无儿童、有无宠物、吸不吸烟等各种内容,对有关信用卡信息和收入方面的记述等未说明,但这已是一个非常严重的个人信息泄露事件。
现在,随着广告技术的发展,可精确把握特定的消费层,个人信息泄露事件风险已经越来越大。例如,Google通过搜索、邮件和日历等免费服务,尽可能地吸收了个人信息。据说他们在完成“数据洗钱”之后,已经进入了用AI赚钱的阶段。
欧盟率先以GDPR立法阻击个人信息泄露
欧盟率先以立法形式制定了GDPR(《通用数据保护条例》),以设法阻击个人信息泄露,这在互联网上具有里程碑意义,GDPR关键点如下。
●GDPR的目标:关闭巨型公司的入口
GDPR自2016年颁布以来,就瞄准了巨型企业。当时,欧洲议会议长马丁·舒尔茨讲话中强调:“如果个人信息是21世纪最重要的商品,那么就应强化对个人数据所有权的保护。特别是要反制无需支付任何代价就把个人信息这个‘商品’弄到手的公司。他特别提到谷歌、苹果、亚马逊、Facebook、阿里巴巴等,这些公司不应该破坏个人隐私。GDPR将从源头上抑制个人信息泄露。
●GDPR的历史背景
GDPR在欧洲历史上的作用已由数字监视社会到守护欧盟公民。欧盟并没有终结GDPR,而是为推进创建出以个人做主体的新信息基础设施的政策,这也是一个由美国主导的“下一代互联网”概念。欧盟已经准备提供总共800亿欧元的创新项目资助金,实施“展望2020”项目,它的目标是建设一个数字经济区,提供新的信息基础设施,可以在保护隐私的同时,广泛共享数据。在GDPR中,“AI的隐私”也将涵盖在内。例如,当机器人自动驾驶发生事故时,谁应负责?如果AI完全独立于人的指令,如果出事,应该不是AI本身,那么法律责任和法人是谁?欧盟认为应由法律进行规范。
●欧盟推动数据可移植性权利发展
2018年5月生效的欧盟GDPR定义了“数据可移植性的权利”,在日本引起高度关注。
所谓“数据可移植性”就是某些服务收集和存储的特定用户数据,可以在其他服务中重用,被称为便携式(可移植性)。更具体地说,每个服务用户都可以行使自身的个人数据管理员功能。为了实现这个技术,要对多个服务之间共同可用的数据格式整合,并实现管理员之间数据发送/接收的通用化。如果数据可移植性的权力已经确立,管理员就可以行使这个权力,这将推动格式的标准化。
其实数据可移植性权利问题业界早有探索。例如,早在2017年2月,新西兰隐私委员会主席约翰·爱德华兹便提出在全国创建数据可移植性权利的提案;2017年11月,日本经济产业省和总务省共同举办了“数据可移植性权利研讨会”。
●建立数据可移植权利的背景
由于谷歌和Facebook等美国平台事业者的垄断地位不断强化,这不利于市场竞争。推出数据可移植性权利就是为市场竞争创造出良好的市场环境。其实,欧盟委员会在2015年12月公布的数据保护规则中,就阐述了如何让创业公司和小企业访问数码巨头主导的数据市场,并能够通过隐私保护措施吸引更多的消费者。对于使用web服务的各个用户来说,服务选择的自由度增加了。这是它的最大优点。
另外,通过企业之间的竞争,用户直接获得经济利益的机会也扩大了。例如,在移动电话通信服务中,引进携号专网后,运营商为了用户转移到自己网中,纷纷推出优惠措施,从别的运营商中挖用户。此外,人们可以自己管理自己的个人数据,这可能会创造新的商业机会。这就是被称为“信息银行”的机制。日本2015年就创建了个人信息保护法的可行机制。
美国政府加大查处数据泄露力度
据外媒报道,美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和联邦调查局(FBI)等政府机构纷纷加入了对Facebook和咨询公司Cambridge Analytica盗用数据指控的调查。
其中参与美国总统特朗普阵营大选的数字咨询公司Cambridge Analytica非法使用了Facebook多达8700万用户的个人信息,司法部开始进行调查。Facebook的首席执行官马克·扎克伯格在4月的两次美国国会听证会上,就此问题回答。
此外,2018年7月9日,众议院能源和商务委员会主席格雷格·瓦尔登和共和党3个议员致函苹果和谷歌,对其位置数据和智能手机的个人信息处理等问题,向苹果和谷歌的行政部门发了一份调查问卷。调查问卷中指出,“好谷歌(Okay Google)”和“海西里(Hey Siri)”等这些接听功能有可能从用户的交谈中收集呼叫以外的数据。需要指出的是,该数据在不通知用户的情况下会被使用,第三方应用程序也可以访问这些数据。此外谷歌的“Android”和苹果的“iPhone”在未经用户同意的情况下收集用户数据,是否存在影响公民隐私的商业行为?众议院委员会要求谷歌和苹果在2018年7月23日前回复调查问卷,并对委员会成员进行解释。在回答委员会的问题时,谷歌评论说“保护用户的隐私,这些对谷歌来说是最重要的”。目前,苹果公司发言人拒绝发表评论。
数据保护进展迅速
IPv6互联网和物联网时代即将来临,如果信息安全工作跟不上,其后果将是灾难性的。为此,业界纷纷出台措施保障信息安全。
据2018年6月27日日本媒体报道,日本Underworks公司与美国Ensighten公司在对应GDPR的隐私数据管理解决方案方面进行合作,并作为日本市场的总代理,开始进行Ensighten公司GDPR解决方案的销售和售后服务。Ensighten公司的“Privacy GDPR(个人隐私)”和“Privacy Enterprise - total website data governance(企业隐私- 全面的网站数据治理)”两项产品,可以对网站上收集到客户的所有Cookie数据实施集中管理,而且能够安全地收集和使用客户数据。欧洲已正式实施GDPR,要求使用Cookie数据时,必须取得用户同意,基于此进行数据管理,已刻不容缓。
Ensighten公司的GDPR解决方案作为网站上所有Cookie的“守门员”,能够实现在“客户同意之前阻止读取Cookie(零Cookie加载)”、在“客户拒绝使用Cookie时,还能够允许用户继续浏览网站”,这也可以通过使用白名单实现,以“防止通过第四方供应商,泄漏Cookie数据”。Ensighten的隐私数据管理解决方案已被全球25000多个网站使用。
日本媒体反复告诫本国公司,若涉及欧盟个人信息,一定要遵守GDPR规定。NTT数据公司于2018年7月26日发布了“全球安全趋势季度报告”,阐述了2018财年第一季度发生的事件的摘要,重点是虚拟货币问题和GDPR的滥用。网络罪犯很可能会利用GDPR的规则威胁到公司。具体来说,网络攻击者从公司窃取欧盟居民的个人信息,向公司进行讹诈。目前存在着网络钓鱼电子邮件攻击威胁,因此全球的公司都需要谨慎处理公司内部和外包的信息。此外,与GDPR有关的网络钓鱼欺诈和以GDPR为题材的企业电子邮件欺诈也值得关注。
部分文字来自 宋向东
文章来源:皮鲁安全之家资讯