2.2億條B站用戶數據僅值7萬元?數據泄露事件頻發,專家:沒有絕對的安全
2.2億條B站用戶數據僅值7萬元?數據泄露事件頻發,專家:沒有絕對的安全
本文來源:時代財經 作者:王瑩嶺
你在互聯網上是“透明”的嗎?
7月6日,據南方都市報報道,B站用戶信息疑似泄露,其中包含用戶賬號(UID)和手機號共2.2億余條。在網傳截圖中,一名黑客在暗網上將這些數據以0.5比特幣或17.72以太幣的價格出售。
截至發稿,1比特幣價格為138,255.77元,這代表2.2億余條數據僅被叫賣69127.5元。
無獨有偶,近日,學習通App疑數據泄露也引起了強烈關注,其中疑似泄露的數據達1億7273萬條,#學習通數據庫疑發生信息泄露#話題一度沖上熱搜。
“按照《個人信息保護法》,數據泄露一旦發生,可能造成危害,企業有責任第一時間告知用戶。”中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲指出。何延哲曾參與國家標準《個人信息安全規范》、《個人信息安全影響評估指南》等的起草。
近年來,數據安全事件層出不窮。據國盛證券研報,自2021年7月開始,滴滴、貨拉拉、知網等多家知名互聯網企業均被卷入數據安全事件中。
事實上,自2021年以來,《數據安全法》、《關鍵信息基礎設施安全保護條例》、《個人信息保護法》等法律法規密集發布并實施。據Gartner預測,到2023年全球80%以上的公司將面臨至少一項以隱私為重點的數據保護法規。
數據安全問題為何頻出?是否“避無可避”?數據泄露對個人而言有哪些潛在風險?用戶如何保護自己的信息安全?
在何延哲看來,沒有絕對的安全。他認為,安全是一個概率問題,其投入也不會立竿見影,企業容易產生一種僥幸心理,“企業一定是要投入的,不投入肯定會出事。”
何延哲認為,個人信息涉及的環節比較多,從數據的生命周期來看,從收集到存儲到使用,還有對外傳輸,都有泄露的可能。一旦發生泄露事故,個人需要保持警惕、及時修改名下賬戶密碼。
“當然,對于合理的數據收取,也不必談‘數’色變。為了安全風控,用戶是需要適當出讓一些信息的。”何延哲進一步指出,目前,科普工作做得遠遠不夠,相互不信任阻礙了安全行業的發展。“不要悲觀地認為人們是在‘裸奔’。”
圖片來源:圖蟲創意
圖片來源:圖蟲創意
“沒有絕對的安全”
時代財經:在大數據時代,數據安全問題頻發,是否避無可避?
何延哲:說實話,確實沒有絕對的安全,如果我是公司的CTO(首席技術官),都不敢說自己有充足的信心可以保證安全問題百分百可控。
有時候企業往往有一種觀念,認為信息安全的投入“差不多就行了”,效果不能被看見。有時候企業在安全防護上投資了很多,確實沒有出現安全問題,會認為“是不是不投也不會出事”,但如果投資了還出現了安全問題,可能又會認為“投了錢也出事,我還不如不投”。
時代財經:這是一種僥幸心理嗎?
何延哲:是的,但是我們知道安全它是一個概率問題。
投入了、重視了,雖然不能保證萬無一失,但是概率一定是低的,所以我們希望用更科學的眼光來看待。
時代財經:那數據安全隱患容易出現在哪些環節?企業應該如何避免?
何延哲:個人信息涉及的環節比較多。從數據的生命周期來看,從收集到存儲到使用,還有對外傳輸,都有數據泄露的可能。
第一,收集。數據收集之時可能就會有泄露,如果收集的鏈路不安全,或者收集端本身已經被嵌入了木馬,那相當于是“小偷”和正常的收集端在一起,“小偷”把正常收集的信息全都拿走了。之前也有過一些案例,收集的同時把相關的信息直接發送到了另一家公司,導致了個人的銀行卡和身份證號泄露。
第二,保存。數據收集上去之后往往會保存在數據庫里,數據庫就像更龐大、更復雜、數據量也更多的表單。如果數據庫本身不安全,或者說被外部黑客惡意破解了,后果就會非常嚴重。我們有一個詞叫“拖庫”,類似于把數據庫里的個人信息全拖下來、把數據庫里的數據全拿走,這種泄露的影響非常大。
對于數據“拖庫”的安全措施,企業自身應該具備一些數據庫防泄露的技術能力。如果是自身能力不足,也有責任用相關的安全產品來保障安全。不能敷衍了事,看似采取了安全措施,但是簡直就像拿小學生的方法來防社會上的“流氓”。
第三,使用。這個階段比較復雜,不光涉及到數據收集的企業,還有使用環節中的各個角色。比如健康碼的數據泄露,有時候不一定是源頭有問題,可能是工作人員在使用過程中出現人為的泄密或濫用。這種安全措施主要靠訪問控制,通俗說就是“一把鑰匙開一把鎖”,明確審計和控制每一個操作的人員。
第四,共享。企業間的數據共享,其關鍵在于數據接口的安全。大量數據的傳輸不像簡單的聊天發送信息,而是靠數據接口(簡稱API)來傳輸數據,這非常關鍵。
最后一個數據公開的環節,主要是管理的問題,簡單來說就是不能把需要保密的公開。這個案例比較多,比如企業需要公布一批名單,結果把身份證號泄露出去了,這就屬于隱私的泄露。
用戶需保持警惕,不要成為“易騙人群”
時代財經:對于用戶自身,得知自己使用的app發生數據泄露后需要做什么?
何延哲:我們當然要以防萬一。例如,學習通被爆出來了,如果自己有學習通的賬號,那就先登錄自己的賬戶查看是否有異常,比如說異地登錄、聊天記錄、瀏覽記錄等。發現這些異常就立即修改密碼,一段時間內不要充值,盡量少用賬戶里的功能,避免損失。
還有很重要的一點是,如果其他的賬戶和被泄露賬戶有同樣的密碼,也要檢查并及時修改密碼。因為如果黑客拿到了一批數據,一般是不會只針對一個系統,而是會用已知的賬戶去試探其他的網站,以實現更大的“變現”,尤其是有金額儲存或者貸款的賬戶。
時代財經:有的網友可能覺得數據泄露的后果無非就是接到幾個詐騙電話,自己多注意就好了,其實這背后有沒有更大的風險?
何延哲:主要怕賬戶被拿去貸款,這就危害比較大了。如果黑客用竊取來的個人信息到一些互聯網小平臺去貸款,相當于用個人信用去套現,最后有嘴都說不清,這是比較嚴重的一種風險。
還有一種情況是親友詐騙,這種和簡單的接到電話詐騙不同,既可以和親友溝通,又能掌握到比較豐富的生活信息,這種損失一般也會比較大。
詐騙分子其實是很狡猾的,他們可以很容易地判斷“易騙人群”,有時候我們接到的詐騙電話并不是為了直接地騙我們,而是詐騙分子在做名單的篩選,一些警惕性比較高的人群他們就直接排除了。
時代財經:這是不是也提醒我們接到電話就要保持警惕,不要讓自己成為“易騙名單”里的人?
何延哲:是的,但是我們更要保護和關心那些可能會被納入“易騙名單”的人,要靠監管部門力量,或者是反詐中心的一些措施,讓這些人得到保護。
保持合理的隱私期待,不必談“數”色變
時代財經:目前各大網絡平臺陸續上線顯示“IP屬地”功能,有的網友會覺得好像讓自己更加“透明”了,這會有風險嗎?
何延哲:可能是會讓用戶更“透明”,但這種透明度尚且還構不成對隱私的侵害。這個IP屬地也只是把原有的信息展現了出來,而不是說多收集了信息。
從網絡安全的角度,對個人其實也是有益的,就像人們一般看到境外的電話就不會接一樣,在網絡上可以看到IP屬地也有助于老百姓去判斷和規避風險。
時代財經:前面提到數據安全落地比較困難,現在也催生了一些數據安全行業,你認為攻克的難點是什么?
何延哲:難點有很多,我就說一個:科普。
從個人信息保護這個角度來說,科普工作是做得遠遠不夠的。一方面導致用戶無法更好地利用法規來保護自己;另一方面導致用戶、企業、監管部門之間的割裂非常嚴重,大家的這種相互不信任會大大阻礙安全行業的發展。
舉個例子,APP的安全風控也是需要收取用戶信息的,比去APP要判斷用戶的賬戶有沒有異常、異地登錄、異常轉賬等等,都需要一定的用戶數據才能加以判斷。但是由于用戶對相關機制的不了解和對企業的不信任,會第一時間想到拒絕。其實,數據在安全保護上也是有利用價值的,一味地阻止企業少收數據,對用戶的安全保護也不一定會有正面影響,不必談“數”色變。
時代財經:但是對于用戶個人來說,是不是也需要一定的判斷門檻,才能判斷出哪些是合理的信息收取、哪些是過度的?
何延哲:是的,所以企業也需要明確地告知用戶。
以前很多企業收這類信息的時候,可能不會說清楚信息的用途,認為少說幾句還能避免用戶的疑心,但《個人信息保護法》要求企業必須清晰地披露信息收取的用途。對于監管部門來說,在過度收取信息這方面也會監管地更加嚴格。企業也需要更合規,才能讓風險在可控范圍內。
用戶自身也需要有一個合理的隱私期待,掌握信息安全的知識和技能,放平心態,可以在自己期待的范圍內提供信息,享受互聯網帶來的便捷。
人們不能悲觀地認定大數據時代就是在“裸奔”,而是要積極尋求隱私保護和數據應用之間的平衡。
相關文章
發表評論
暫時沒有評論,來搶沙發吧~