《中國經濟周刊》 孫冰 | 北京
(本文刊發于《中國經濟周刊》2024年第49期)
Struts 2漏洞事件
2024年Struts 2漏洞事件,是互聯網領域最大的網絡安全事故之一。Struts是Apache基金會的一個開源項目,廣泛應用于大型互聯網企業、政府、金融機構等網站建設,并作為網站開闢的底層模板採用。
但在2024年,Struts官方做了一個過錯的決意:在自己的官網上公布其發明的高危漏洞,并且娛樂城送現金在公告中直接把漏洞代碼貼了出來,這使得大量原先沒有那麼高專業才幹的外行,也可以借助傻瓜化的工具對技術網站進行數據竊取,這極大地放大了漏洞造成的不佳后果。
撞庫 拖庫 洗庫
撞庫拖庫洗庫都是黑客術語。撞庫是指黑客將得到的一個網站的賬戶暗碼在其他網站上進行嘗試登錄。拖庫是指黑客入侵有價值的網絡站點,把注冊用戶的資料數據庫全部盜走的行為。洗庫是指對數據庫中的資本進行層層利用,把里面的資本進行全方面的剝奪利用。
最近有幾條可能會讓許多人感覺焦急,由於它們都與數據泄露和個人信息安全有關。先是京東被爆出有12G的用戶數據在暗盤被叫賣;接著,有親自實踐,僅僅花了700元就買入到了同事的個人足跡等11項紀實;很快,又有稱國家電網官方APP已出現數據泄露,涉及用戶規模過份萬萬級……
看來,就在我們調侃希拉里是由於沒有做好數據安全工作而丟掉了美國總統的時候,數據泄露也正在成為我們每一個人頭上的陰云。大數據很美,但數據安全怎麼保障?我們在享受互聯網帶來的種種便利通博娛樂城app評價的同時,個人信息在裸奔嗎?
雖是虛驚,但裸奔風險不小
12月10日,有自媒體爆料稱,有一個12G的數據包正在暗盤進行叫賣,該數據包來自京東,此中包含有用戶名、暗碼、郵箱、號、電話號碼、地位證等多個維度,數據多達數萬萬條……由于這個數據包被Q8娛樂城首存優惠打上了京東的標簽,叫賣代價高達數十萬元。
一出,觸發了極大的關注,畢竟電商數據與金錢聯系緊密。依據之前截圖只能判定出是2024年之前注冊的用戶,該數據源于2024年Struts 2的安全漏洞疑問,那時內地幾乎所有互聯網公司及大批銀行、政府機構都遭受了陰礙,導致大批數據泄露。至于這個流傳的數據包是否全部是京東的數據,以及是否只是白色產業鏈打著京東旗號做買賣的噱頭,我們還在查訪,需要贏得完整的數據包之后才能做結論。京東集團相關擔當人通知《中國經濟周刊》。
該擔當人表示,從2024年至今,都沒有接到任何用戶因賬戶信息泄露而受到損失的教導。由於我們實在在Struts 2的安全疑問發作后,就趕快完工了系統修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,那時受此陰礙的絕大部門用戶都對自己的賬號進行了安全升級。他說。
不過,這個事件固然陰礙面很大,但現在來看造成的傷害并不大。同樣由於Struts的公然性,各大網站和機構及時進行了彌補。3年來,實在并未真正因此產生過惡性進攻事件。
12月13日,有知戀人士爆料稱,國家電網推出的掌上電力、電e寶APP正在出現數據泄露,涉及用戶規模已經過份萬萬級,而且部門數據可能已經流入白色產業鏈,危害連續擴大。對此,國家電網即日在官方微博回應稱:經再次查證,在推廣掌上電力、電e寶APP過程中不存在泄露大批客戶信息的場合,并已經下架關閉了涉嫌違規開展相關代辦業務的商家。
固然兩起泄密事件好像都是虛驚一場,可是親測700元就買到同事足跡等11項紀實的,還是再次證實了一件事:販賣數據的白色產業鏈確切存在,你會不會被賣?沒人敢打包票說不會。沒有被保障安全的數據,無異于互聯網時代的裸奔。
一年經濟損失高達915億元
你是否接到這樣的陌生電話?他知道你精確的姓名,也能精準地向你推銷產品和服務,比如你剛到中介看了屋子,電話的內容便是你是否需要借貸?你剛買了汽車,就會問你是否要買保險?你剛剛咨詢了一個訓練課程,就有更多的訓練機構給你打電話……
當然,這些僅僅是信息泄露帶來的一些騷擾而已,煩心但不至于有傷害。可是,信息泄露往往也是遇到詐騙的第一步。個人信息無疑是精準詐騙的有力戰器,所以詐騙分子往往不惜高價從暗盤買入數據,以提高詐騙的勝利率。
之所以有人費大福娛樂城點數力冒死地盜取信息,當然是有人會花高價去買入。據了解,黑產的上游是有不法分子利用制作病毒木馬、各種釣魚手段、黑客進攻方式獲取用戶信息;中游是買賣中間商,他們會把獲取的數據進行撞庫拖庫洗庫,精煉篩選整合數據使其更有價值;下游有不法分子則利用這些數據從事非法活動到達變現的目的,比如實施電信詐騙,竊取游戲裝備等虛擬錢幣,盜刷銀行卡、支付寶等進行金融犯法。
依據本年11月發表的《網絡空間安全藍皮書:中國網絡空間安全發展教導(2024)》顯示,從2024年下半年到2024年上半年,網民因個人信息泄露、照片信息、垃圾信息等造成的經濟損失高達915億元。
依據360互聯網安全中央發表的教導顯示,2024年1—9月,360手機衛士共為全國用戶辨別和攔截詐騙電話294億次,平均每日辨別和攔截詐騙電話1089萬次。本年1—9月平臺共接到全國網民舉報網絡詐騙案件14708起,涉案金額高達12億元,人均損失8105元。
保障安全靠共治
黑產方和安全保障方永遠都是魔高一尺、道高一丈的斗爭。12月14日,由公安部刑偵局、遊戲安全主辦的守護者反電信網絡詐騙聯盟大會在京舉行。遊戲公司董事會主席兼首席執行官馬化騰在會上表示,在互聯網環境下,騙子們分工明確,已形成跨平臺、跨行業、集團式的白色產業鏈。傳統的打擊手段已經不能很好地辦理網絡犯法,必要聯盟政府、銀行、運營商、互聯網企業和社會氣力,構建打擊電信網絡詐騙共治體系。
為什麼要共治?馬化騰說,今日我們面臨的黑產已經充分的分工細化,而且是極度成熟的產業鏈,假如我們不用產業鏈合作來對立這些白色產業鏈,我們是沒有設法的。這些黑產的違法犯法人員掌握進步專業極度快,會很快用‘互聯網+’、云算計、大數據的方式來實施詐騙。而我們正義的一方假如還是繼續散開、各自為政的話,那是遠遠抵抗不了這樣的黑產勢力的。
在馬化騰看來,當前整個網絡已經發展到了一片深水區,已經沒有什麼參照物了。中國應該拿出更多的勇氣和創造的精神,為環球網絡安全治理功勞一個具有借鑒意義的中國樣本。他和遊戲呼吁運營商、銀行、網絡服務商等有大批數據的企業,可以通過大數據的方式,與這些黑產分子對立,并發起由國家牽頭搭建具有公信力的第三方平臺,大家把各自的數據放心地放在里面進行處理。
實在,遊戲在本年年頭推出了守護者策劃,平臺先后與公安、銀行、運營商及其他互聯網企業創建了合作關系,摸索出以數據為驅動、通過全行業聯盟、職能聯動形成反詐騙閉環,嘗試用大數包你發儲值據和生態的氣力試探對立網絡黑產的遊戲模式。
遊戲守護者策劃安全團隊一年來,共幫助警方偵破電信網絡詐騙案件110余起,累計為大眾挽回損失過份5億元。遊戲守護者策劃總擔當人朱勁松通知《中國經濟周刊》。
安全小貼士
不要採用公眾地方或他人的免費網絡進行購物和採用網銀
涉及到財產的電商、支付類系統中採用獨特的、安全級別高的用戶名和暗碼,避免被撞庫
不要把敏感信息如銀行卡、地位證等信息隨意曝光在網上,尤其是目前的社交網站
注意保衛個人電腦、手機等信息終端的信息安全,不要讓病毒入侵、植入木馬等
家中Wi-Fi暗碼、路由器控制后臺暗碼,要採用字母加數字的高強度暗碼
短信、郵件、中不明來路的鏈接萬萬不核心擊,避免遇到釣魚
