网络第5域

我的隐私只能卖一分钱 因为它泄露太多次了

字号+作者: 来源:果壳 2023-04-20 15:09 评论(创建话题) 收藏成功收藏本文

一个大洋彼岸的美国人被捕,你也脱不了干系。2023年3月15日,康纳·布莱恩·菲兹帕特里克(ConorBrianFitzpatrick)在纽约被FBI逮捕。年仅21岁的他,运营着世界'...

一个大洋彼岸的美国人被捕,你也脱不了干系。2023年3月15日,康纳·布莱恩·菲兹帕特里克(ConorBrianFitzpatrick)在纽约被FBI逮捕。年仅21岁的他,运营着世界上最大的黑客论坛BreachForums。osV品论天涯网

黑客们聚集于此,贩卖手头来路各异的数据。2022年7月,就有一名黑客ChinaDan在BreachForums上声称,自己取得了近10亿个人资料,并以10比特币(当时约合140万元人民币)的价格出售。osV品论天涯网

这些数据包含了近10亿公民的姓名、地址、出生地、身份证号码、手机号码等关键的个人隐私信息。osV品论天涯网

不同化名的人在下方跟帖,讨论着数据的新鲜程度,是否包含人脸信息,还有人要求发帖者提供样本,以验证数据是否真实。osV品论天涯网

这其中,会不会有你的数据?osV品论天涯网

黑客都是怎么卖信息的?osV品论天涯网

通常,黑客成功盗取你的信息后的第一步(后面会讲他们是如何盗取的),是清点其中有价值的数据,包括姓名、电话号码、住址、身份证、财务信息等,并将它们录入到数据库中。osV品论天涯网

他们首先会私下交易这些数据。当线下交易到达瓶颈时,就会在黑客论坛上发布,寻找更多买家。osV品论天涯网

通过搜索引擎,你可以很轻松地进入类似BreachForums这样的公开黑客论坛——是的,它就摆在明面上任由每个人进入(但目前BreachForums已关停)。也有一些更隐蔽的入口,比如所谓的暗网,需要通过洋葱浏览器这类匿名工具才能进入。osV品论天涯网


osV品论天涯网

互联网多得是你还不知道的地方|wikimediacommonsosV品论天涯网

为了保证交易的公平,菲兹帕特里克制定了一整套交易规则,例如不能出售本来就公开的数据库;必须说明数据的来源是买来的还是自己盗取的;必须提供至少十个明文样本——即使在黑客论坛这种地下交易中,钱货两讫、买卖公平的原则也是不变的。osV品论天涯网

在任何国家,大规模偷取公民信息并转卖的行为都是违法的。这也是为什么论坛上的大部分交易都使用比特币来结算的原因——虽然比特币的所有交易记录都是透明的,但你只能知道某个地址的交易情况,而不知道地址背后的人是谁。同时,一个人还能拥有很多地址。osV品论天涯网

数据都是怎么定价的?osV品论天涯网

整体而言,个人信息越完整,价格也就越高——毕竟后续买家实施诈骗也就更方便。osV品论天涯网

比如黑客ChinaDan后续又卖了一次数据,这次它将数据分为了公民数据、交易记录数据等不同的数据库,获取全部数据库的价格为9万美元,其中公民数据库的单独标价是7.5万美元。osV品论天涯网

后来这个数据库更新了个人电话号码信息,打包价格涨到了14万美元。osV品论天涯网


osV品论天涯网

非法数据交易还能促销|网页截图osV品论天涯网

非法数据的定价也遵循供需关系的原则。2015年,由于美国大量的个人信息被盗,每个公民的信息价格从4美元降到了1美元。当一个数据库卖得足够多时,它就无限趋近于免费,因为随手就可以通过搜索引擎获得。osV品论天涯网


osV品论天涯网

2005-2020,美国数据泄漏和曝光记录统计|PBSosV品论天涯网

买卖还遵循“嫌贫爱富”的原则。通过地理位置、网购记录、银行账户等信息,可大致描绘出一个用户画像,其中越富裕的用户能够榨取的利益越多。根据安全公司Armor2019年的的黑市调查报告,美国地区的数据为30-40美元/人,意大利为20-25美元/人,而墨西哥仅为15-20美元/人。osV品论天涯网


osV品论天涯网

亚洲地区的数据也便宜|Armor2019osV品论天涯网

买家都拿这些数据干嘛?osV品论天涯网

有卖家自然就有买家。在数据黑市交易中,买家通常会拿这些信息进行电信网络诈骗,例如“购物退款”、冒充“公检法”、“交通违章提醒”等。由于买家已经掌握了你的很多基本信息,这类诈骗会显得相当可信。osV品论天涯网

一些注册备案的正规公司也是泄漏信息的买家。由于通过正规渠道打广告获客成本相对较高,黑市的数据交易可以有效降低成本。根据《证券时报》2021年的报道,百度竞价排名的获客成本在60-80元/人左右,而通过地下黑市购买用户数据,可以将这个成本缩减十分之一。osV品论天涯网

此外,很多买家会进行所谓的“撞库攻击”:拿A网站的帐号密码,去B网站上尝试登陆。很多用户喜欢在不同的平台使用统一的帐号密码,所以往往一个网站的信息泄漏会暴露用户的整个网络。osV品论天涯网

还有一种广撒网的方式。最典型的例子就是尼日利亚王子诈骗短信。骗子会谎称自己是迪拜/尼日利亚/各种国家的王子,因为政变或者其他原因,他的巨额银行账户被冻结了。只要你汇款几百美元给他解冻账户,他会给你巨额账户金额中的相当一部分作为报答。osV品论天涯网


osV品论天涯网

回复邮件,赢千万巨款|WikipediaosV品论天涯网

这种骗术看起来非常低劣,但正好可以帮骗子筛选出连这类信息的真假都分辨不出来的目标客户。而且这些邮件往往都是群发的——只要基数足够大,就一定会有上当的人。osV品论天涯网

黑客都是怎么偷取这些信息的?osV品论天涯网

在准备对策之前,你需要先知道自己的信息是如何泄漏的。osV品论天涯网

一种常见的手段是暴力破解。假设一个密码只有四位数,那黑客最多只要试9999次,就一定能找到正确的那个。这听起来是一种非常低效的破解方式,但以网民们对自己密码的不上心程度,黑客们可能真的在偷笑。osV品论天涯网

根据密码管理工具NordPass公布的名单,2022年互联网上最常用的密码还是“password”,而排名第二位和第三位的分别是“123456”和“123456789”。不到一秒钟,黑客就能破解这些密码。在全世界最常见的20个密码中,有18个都可以在一秒钟之内被破解。osV品论天涯网


osV品论天涯网

2022年最常用的10个密码|HelpNetSecurityosV品论天涯网

如果使用这些密码的是个人用户还好说,倘若连管理员的密码都如此草率的话,后果不堪设想。例如22端口常用于Linux系统的SSH远程连接服务,黑客可以通过它连接到服务器。如果管理员的密码设置得很简单,黑客便可以轻松破解管理员账户,直接远程登录服务器,获得和管理员相同的权限。osV品论天涯网

实际上,API接口数据泄漏是近年来数据泄露最严重的方式。正常情况下,网页或者app可以通过对应的API接口调取数据。但由于接口常暴露于公网(WAN),若管理员没有对请求API接口的数据作出限制,就会导致一些数据越界请求。例如A向服务器请求用户的电话号码,但服务器不但返回了电话号码,还返回了身份证号码、家庭住址等敏感信息。osV品论天涯网

因为这类请求种没有任何攻击语句,所以很难被发现。osV品论天涯网

腾讯安全把在黑客事件中出现频率比较高的端口划分为高危端口。根据2018年的数据,在3000多个抽样的Web服务器中,开放中的高危端口仍占比36%。osV品论天涯网

另外一种常见的攻击方式是低技术的社会工程学骗局,最典型的例子就是伪装成熟人,诱骗你进入指定页面下载恶意程序,或是输入账户密码等信息。还有一些人习惯把比特币的密钥贴在键盘后面。这个时候,都不需要黑客出马,一个小偷就可以让你欲哭无泪。osV品论天涯网

如果你疑心自己的信息是否已经被泄漏的话,可以到haveibeenpwned.com查看一下。osV品论天涯网

我的500px和京东账户就泄漏了。osV品论天涯网


osV品论天涯网

一些危险|网页截图osV品论天涯网

保护好你自己osV品论天涯网

其实数据是可以被合法交易的,它被称为数字时代的生产要素,合理的利用能产生巨大价值。目前,中国已经先后在贵州、北京、上海等城市设立了大数据交易所。osV品论天涯网

在正规交易中,所有数据都经过脱敏处理,无法反向追溯到个人。osV品论天涯网

而面对防不胜防的非法侵入,首先能保护自己的,还是设定一个“好”密码。osV品论天涯网


osV品论天涯网

为了规避弱密码的风险,安全专家通常建议用户使用包含大小写字母、数字和特殊字符的复杂密码,并且越长越好。osV品论天涯网

随着密码长度的增加,这些字符的组合方式会以指数级别增加。例如,一台每秒可以运算3500亿次的计算机,破解一个6位密码只需要4.08秒;7位密码只需6.47分钟;8位密码需要10.24小时;9位密码需要40.53天;10位密码就需要10.55年了。osV品论天涯网

而macOS内置的密码管理器,默认生成20位的强密码,例如“guhxig-mugca4-tydDon”。暴力破解这个密码所需要的时间,可能比人类的文明史还要长。osV品论天涯网

如果你使用Chrome浏览器的密码管理器的话,它还会提醒你有哪些密码已经被泄漏了。osV品论天涯网


osV品论天涯网

我泄漏的密码|作者提供osV品论天涯网

无论如何,牢记密码安全三原则总是没错:osV品论天涯网

1、使用包含字母、数字和符号的复杂密码osV品论天涯网

2、避免多账号使用同一密码osV品论天涯网

3、定期更换密码osV品论天涯网

好了,我要赶紧去修改我泄露账户的密码了。osV品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]