由于最近一系列围绕“数字身份盗窃”的数据泄露事件发生,隐私方面的担忧正成为增加支出的催化剂。比如今年7月,新加坡150万公民医保记录遭到泄露,其中甚至包括总理李显龙的个人数据;纽约创业者兼
加密货币投资者Michael Terpin起诉美国电信运营商AT&T,指控其欺诈并存在重大过失,导致个人账户中的加密货币丢失,并希望索赔2.24亿美元。
一项最新研究显示,自去年以来,数据泄露造成的经济损失已超过6%,而现在数据泄露的平均成本为386万美元。Juniper Research预测,2023年将有超过330亿条个人记录将通过犯罪数据泄露事件曝光,比今年的120亿条记录同比上升175%。未来5年,网络犯罪分子将窃取超过1460亿条记录。2019年,隐私问题将推动安全服务市场需求至少增加10%,身份和访问管理(IAM)、身份治理和管理(IGA)、数据损失预防(DLP)等领域需求将得到明显提升。
身份数据“木桶效应”显现 传统技术已无法阻挡黑客脚步
更为要紧的是,传统身份技术已经无法阻挡黑客的攻击。近日,Reddit宣布,6 月份的一个信息安全漏洞导致攻击者入侵了该公司内部系统的某些部分。值得注意的是,这次攻击绕开了Reddit通过短信实现的双因子认证(Two-Factor Authentication)系统,这也给仍在使用短信来部署双因子认证的互联网服务敲响了警钟。
其实,全球普遍采用的双因子认证系统非常脆弱,黑客先使用伪基站获取用户手机号,再通过网上泄露的数据库,根据手机号码反查用户的姓名、身份证号、银行账号等信息。然后在某些网站启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。
通过短信验证码登录账号后,黑客可以获取用户的快递地址、消费记录、通讯录等隐私信息,还可以通过“撞库”、“拖库”等方式,就像拼图一样集齐用户的姓名、身份证、银行卡号等信息。
在黑客术语里面, “拖库”是黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。在取得大量用户数据之后,黑客会通过一系列技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客收获颇丰。
黑色产业链攻击会考虑性价比,根据目标价值采用相应的技术手段,对于用户来说,从隐私数据入手,依然是最廉价的。简单的密码基本没什么用,都在黑客的密码字典里。密码绝大部分是加密存储,有一个秘文,通过解密算法也无法得到明文,但此前有些网站的数据库明文加密文一起泄露,而明文和密文构成一张表,这就是黑客的密码字典。早在几年前,信息泄露的数据量以亿计算,黑客手中掌握的社工库数据有上百亿条。除非特别复杂、个性且经常更换的密码,否则基本都在黑客的密码字典里。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
