由于最近一系列圍繞“數字身份盜竊”的數據泄露事件發生,隱私方面的擔憂正成為增加支出的催化劑。比如今年7月,新加坡150萬公民醫保記錄遭到泄露,其中甚至包括總理李顯龍的個人數據;紐約創業者兼
加密貨幣投資者Michael Terpin起訴美國電信運營商AT&T,指控其欺詐并存在重大過失,導致個人賬戶中的加密貨幣丟失,并希望索賠2.24億美元。
一項最新研究顯示,自去年以來,數據泄露造成的經濟損失已超過6%,而現在數據泄露的平均成本為386萬美元。Juniper Research預測,2023年將有超過330億條個人記錄將通過犯罪數據泄露事件曝光,比今年的120億條記錄同比上升175%。未來5年,網絡犯罪分子將竊取超過1460億條記錄。2019年,隱私問題將推動安全服務市場需求至少增加10%,身份和訪問管理(IAM)、身份治理和管理(IGA)、數據損失預防(DLP)等領域需求將得到明顯提升。
身份數據“木桶效應”顯現 傳統技術已無法阻擋黑客腳步
更為要緊的是,傳統身份技術已經無法阻擋黑客的攻擊。近日,Reddit宣布,6 月份的一個信息安全漏洞導致攻擊者入侵了該公司內部系統的某些部分。值得注意的是,這次攻擊繞開了Reddit通過短信實現的雙因子認證(Two-Factor Authentication)系統,這也給仍在使用短信來部署雙因子認證的互聯網服務敲響了警鐘。
其實,全球普遍采用的雙因子認證系統非常脆弱,黑客先使用偽基站獲取用戶手機號,再通過網上泄露的數據庫,根據手機號碼反查用戶的姓名、身份證號、銀行賬號等信息。然后在某些網站啟動注冊或交易,并利用和用戶位置相近的特點竊取用戶短信驗證碼。
通過短信驗證碼登錄賬號后,黑客可以獲取用戶的快遞地址、消費記錄、通訊錄等隱私信息,還可以通過“撞庫”、“拖庫”等方式,就像拼圖一樣集齊用戶的姓名、身份證、銀行卡號等信息。
在黑客術語里面, “拖庫”是黑客入侵有價值的網絡站點,把注冊用戶的資料數據庫全部盜走的行為。在取得大量用戶數據之后,黑客會通過一系列技術手段和黑色產業鏈將有價值的用戶數據變現,這通常也被稱作“洗庫”。最后黑客將得到的數據在其它網站上進行嘗試登陸,叫做“撞庫”,因為很多用戶喜歡使用統一的用戶名密碼,“撞庫”也可以使黑客收獲頗豐。
黑色產業鏈攻擊會考慮性價比,根據目標價值采用相應的技術手段,對于用戶來說,從隱私數據入手,依然是最廉價的。簡單的密碼基本沒什么用,都在黑客的密碼字典里。密碼絕大部分是加密存儲,有一個秘文,通過解密算法也無法得到明文,但此前有些網站的數據庫明文加密文一起泄露,而明文和密文構成一張表,這就是黑客的密碼字典。早在幾年前,信息泄露的數據量以億計算,黑客手中掌握的社工庫數據有上百億條。除非特別復雜、個性且經常更換的密碼,否則基本都在黑客的密碼字典里。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
