其中包含:
- 940萬(wàn)乘客的姓名、生日、電話(huà)、郵箱、地址、身份證、護照號及飛行記錄等詳細個(gè)人敏感信息;
- 403張信用卡賬號,27張無(wú)安全碼信用卡賬號;
- 86萬(wàn)個(gè)護照號碼,24萬(wàn)5千個(gè)香港身份證號碼……
不禁讓人想起在九月一度被華住酒店數據泄漏支配著(zhù)的恐懼--
- 1.23億條華住官網(wǎng)注冊資料,包括用戶(hù)的姓名、手機號、郵箱、身份證號、登錄密碼等,數據規模共53GB。
- 1.3億入住人登記身份信息,包括住客的姓名、身份證號、家庭住址、生日、內部ID號,共22.3GB。
- 2.4億條酒店開(kāi)房記錄,包括內部ID號,同房間關(guān)聯(lián)號、姓名、卡號、手機號、郵箱、入住時(shí)間、離開(kāi)時(shí)間、酒店ID號、房間號、消費金額等,共66.2GB。
5億余條包含姓名、身份證號、手機號、密碼、家庭住址等詳細信息的數據泄漏,使得“華住事件”成為近5年國內最大、最嚴重的個(gè)人信息泄露事件。
雖然直至目前,國泰航空、華住兩次事件的官方聲明均宣稱(chēng)沒(méi)有相關(guān)信息被攻擊者利用的情況發(fā)生,但是如此龐大而詳細的個(gè)人數據遭到泄漏,后續而來(lái)的潛在安全風(fēng)險就仍然如同一把達摩克利斯之劍,在每一個(gè)牽連者頭上高懸。
以利用已知賬號密碼嘗試登陸其他平臺的撞庫攻擊為例,一旦黑客利用已經(jīng)泄漏的數據進(jìn)行撞庫攻擊,那么,受影響的可能就不僅僅是網(wǎng)友戲言的“家庭關(guān)系”了……
1、 撞庫到底是什么?
所謂“撞庫”,就是黑客界的“以一當百”。
當黑客透過(guò)入侵竊取或從黑色產(chǎn)業(yè)鏈購買(mǎi)獲得大量賬號密碼之后,就可以此嘗試入侵受害者的其他網(wǎng)絡(luò )賬號。利用“許多用戶(hù)都會(huì )在不同網(wǎng)站上重復使用相同的登錄名及密碼”的行為弱點(diǎn),黑客可以相對輕松地黑入用戶(hù)在其他網(wǎng)站上的賬號,進(jìn)而一舉網(wǎng)獲大量賬號為其所用。
9月在英國倫敦舉辦的第21屆Information Security Conference (ISC2018)信息安全會(huì )議上進(jìn)行的一項調查顯示,居然有45%的與會(huì )安全人士重復使用相同的密碼,專(zhuān)業(yè)人士尚且如此,更不用說(shuō)是一般用戶(hù)了。
截至今日,2018年黑客已經(jīng)在網(wǎng)絡(luò )上發(fā)布超過(guò)14億筆已外泄的賬號密碼查詢(xún)系統,并且大多提供了可以用比特幣購買(mǎi)完整資料庫的渠道。事實(shí)上,僅2017年全球外泄數據的筆數就高達78億筆,其中包含大量賬號和密碼相關(guān)數據,為撞庫攻擊的進(jìn)行提供了充足的彈藥準備。
2、為什么撞庫?
簡(jiǎn)而言之,利益二字。
以華住事件為例,黑客以8個(gè)比特幣(約38.3萬(wàn)元人民幣)或520門(mén)羅幣(約36.5萬(wàn)元人民幣)的打包價(jià)在暗網(wǎng)叫賣(mài)5億華住集團客戶(hù)的個(gè)人數據,千條信息不足1元;但該信息若被用于撞庫,并挾持到用戶(hù)的其他網(wǎng)站賬號,尤其是電商、網(wǎng)銀等賬號,那一人身上可以得到的商業(yè)價(jià)值至少也能以百元計數。
不僅如此,隨之而來(lái)的敲詐勒索才是黑產(chǎn)利益的更大來(lái)源。擁有大量用戶(hù)的平臺,如航旅酒店、電商、網(wǎng)銀更是感受到威脅甚巨,一旦被撞庫成功、遭遇敲詐勒索,部分企業(yè)為了避免事態(tài)不斷惡化造成難以估計的負面影響,會(huì )傾向于先向攻擊者提供金錢(qián)來(lái)解決問(wèn)題。
因此,也就不難理解為什么許多犯罪分子明知盜取信息、撞庫盜號是違法行為,但仍前赴后繼了。然而,面對黑客廣泛利用自動(dòng)化攻擊工具模擬合法用戶(hù)操作,并利用大量跳板快速更換IP的新型攻擊手段,企業(yè)毫無(wú)招架之力,傳統基于特征比對及行為規則的防護機制幾乎束手無(wú)策。
3、我們怎么辦?
對個(gè)人:
既然撞庫攻擊的基本原理就是以一套賬號密碼去嘗試登陸不同平臺,那么“換密碼”就成了對個(gè)人而言最傻瓜卻也最有效的應對方式。
但是,經(jīng)常有人吐槽“不要重復使用相同的賬號密碼”這句話(huà)在實(shí)際操作中實(shí)在有些難度。這里就介紹瑞數小編設置密碼時(shí)常用的一個(gè)小方法--“固定+變化”模式,容易記、不重復。比如在River@2018這個(gè)基本密碼之上,固定的就是“River@”,變化的就是“2018”,如果是新浪就設置為“River@Sina”,如果是百度就設置為“River@Baidu”,以此類(lèi)推。
當然,這種方式的密碼設置也是基于一定規律,仍然容易被升級版的撞庫工具識破,因此小編只是在此拋磚引玉,實(shí)際設置時(shí)大家還是可以在字母大小寫(xiě)、字母符號替換(如以!換i、以@換a)、順序上做文章,避免密碼的重復。
對企業(yè):
雖然使用多因素認證或者兩階段驗證可以大幅降低撞庫的風(fēng)險,但全面實(shí)施這類(lèi)安全措施的推廣過(guò)程還需要克服重重的內外部阻礙,同時(shí)這也會(huì )增加用戶(hù)登錄過(guò)程的額外負擔,所以目前仍然只有少數大型網(wǎng)站支持這類(lèi)安全機制。
為了有效克服傳統安全機制在對抗撞庫攻擊的重大挑戰,必須要用新方法來(lái)解決老問(wèn)題。改變傳統的被動(dòng)式安全防護策略,唯有創(chuàng )新的主動(dòng)防御才可有效阻擋撞庫及其他各類(lèi)自動(dòng)化攻擊。
瑞數信息的動(dòng)態(tài)安全解決方案以“動(dòng)態(tài)技術(shù)”為核心,可以高效甄別偽裝正常行為的已知和未知自動(dòng)化攻擊,防止數據泄漏,防止黑客利用已經(jīng)泄漏的用戶(hù)信息及密碼進(jìn)行批量登陸,并嘗試獲取可登錄賬號,全面保障企業(yè)的數據安全和賬戶(hù)安全,讓航旅企業(yè)和游客一同安心。
