澳门尼威斯人网站(中国)有限公司

解决方案 文档加密 信息防泄漏三重保护 移动存储管理 终端安全 上网行为管理 安全产品 文档加密系统 敏感内容识别 终端安全管理系统 准入网关 安全网关 安全U盘 TDRMS 系统架构 服务与支持 常见问题 服务网点 澳门尼威斯人网站 数据防泄漏大讲堂 澳门威尼斯 合作夥伴 关于澳门尼威斯人 新闻中心 资质与荣誉 人才招聘 联系我们 公司简介

数据防泄漏大讲堂

澳门尼威斯人网站

威斯尼斯人官方网站|美尔雅期货博易大师|警惕!疑似约45亿条国内个人信息被泄露

  步入数字经济时代ღღ✿,个人信息的重要价值不言而喻美尔雅期货博易大师ღღ✿。随着互联网技术的快速发展ღღ✿,隐藏在水面之下的“暗网”ღღ✿,由于其隐蔽性ღღ✿、非常规性的特点ღღ✿,正逐渐成为个人信息泄露的“温床”ღღ✿,成为网络黑产交易等不法行为的暗角ღღ✿。

  日前威斯尼斯人官方网站ღღ✿,有网传消息称ღღ✿,疑似约45亿条国内个人信息在“暗网”被泄露ღღ✿,包括真实姓名ღღ✿、电话与住址等ღღ✿,引发各界关注ღღ✿。受访专家表示ღღ✿,近年来侵犯公民个人信息ღღ✿、危害信息数据安全的行为呈现高发多发态势ღღ✿,API接口ღღ✿、供应链上的中小企业或成为易受攻击的薄弱环节ღღ✿。相关企业应重视供应链整体安全ღღ✿,不断完善数据合规建设ღღ✿。

  2月12日晚ღღ✿,Telegram各大频道突然大面积转发某隐私查询机器人链接ღღ✿。网传消息称该机器人泄露了国内45亿条个人信息,数据包大小达435GBღღ✿,疑似电商或快递物流行业数据ღღ✿。用户仅需输入手机号,即可通过该机器人查询到姓名ღღ✿、手机号和详细的收货地址等隐私信息ღღ✿。

  21世纪经济报道记者在昨日上午10时至下午17时多次验证时发现ღღ✿,目前该隐私查询机器人已停用ღღ✿。网络安全专家冰尘(化名)在接受采访时表示ღღ✿,自己经过测试ღღ✿,通过该接口查到了个人信息ღღ✿,包括姓名ღღ✿、手机号以及多个家庭住址ღღ✿。“2021年11月份ღღ✿,我从武汉搬到了北京ღღ✿,最近一段时间也刚搬家ღღ✿,通过反馈的数据可以看到我在武汉ღღ✿、北京两个地方的地址威斯尼斯人官方网站ღღ✿,”冰尘说道ღღ✿,“以此分析ღღ✿,数据泄漏的时间不早于2021年11月份ღღ✿,最晚不晚于2022年12月份ღღ✿。”

  “Telegramღღ✿,通常也称电报或TGღღ✿,是国外一款即时加密通讯工具ღღ✿,类似于国内的QQ和微信ღღ✿,其加密性强ღღ✿、安全性高ღღ✿,难以被破解ღღ✿,同时因为法律难以管辖ღღ✿,平台上存在着大量色情ღღ✿、赌博ღღ✿、诈骗等信息ღღ✿,慢慢地就演化成为黑产的一部分ღღ✿。”

  “这次其实就是在电报上创建频道 ღღ✿,类似于国内的公众号ღღ✿,通过公众号自动回复便可以查询到个人相关信息ღღ✿。”冰尘介绍ღღ✿,频道背后的不法分子ღღ✿,其实是将泄露的用户数据整合分析ღღ✿、集中归档到 “社工库”ღღ✿,通过社工库便可以获得相关信息ღღ✿。

  “比如ღღ✿,我经常使用某购物平台购买生鲜ღღ✿,考虑到和快递员比较熟悉ღღ✿,会请他直接放在冰箱ღღ✿。在这次我查到的地址中ღღ✿,也出现了‘放冰箱里’这四个字ღღ✿。”他说ღღ✿。

  冰尘还透露ღღ✿,正常情况下ღღ✿,可能只是某个企业的数据泄露ღღ✿,但此次的数据泄露较为广泛ღღ✿,类型较多ღღ✿,涉及多家平台的相关快递信息ღღ✿。由于信息泄露规模庞大ღღ✿,暂时无法判断其泄露具体原因ღღ✿。

  梆梆安全服务中心相关负责人告诉记者ღღ✿,实际上ღღ✿,个人信息被泄露贩卖的情况长期存在ღღ✿,而随着信息技术的快速发展ღღ✿,可利用的信息类型和数量日益增加ღღ✿,交易也从“地下”逐渐浮出水面ღღ✿,侵犯公民个人信息ღღ✿、危害信息数据安全的行为呈现高发多发态势ღღ✿。

  “作为网络安全从业者ღღ✿,平时我们会进行埋点测试ღღ✿,就我个人而言威斯尼斯人官方网站ღღ✿,在使用各平台时会使用不同的名字和号码威斯尼斯人官方网站ღღ✿,如果发生了信息泄露的情况ღღ✿,能够做出区分ღღ✿。据我们分析ღღ✿,如果App的接口权限过大ღღ✿,或者安全架构设计得过于复杂ღღ✿,就可能会产生薄弱点ღღ✿,出现漏洞导致数据泄露ღღ✿。”上述负责人表示威斯尼斯人官方网站ღღ✿。

  据冰尘介绍ღღ✿,常见的数据泄露主要出于四个原因ღღ✿,一是API接口数据泄漏ღღ✿,二是运维不当或者内部管理不严ღღ✿,导致包含密钥或源代码泄露ღღ✿,三是内鬼泄露数据ღღ✿,四是企业内部的数据库被打穿ღღ✿。

  “随着网络安全发展迭代ღღ✿,渗透或者攻击的成本在逐渐增加ღღ✿,整个内网被打穿从而导致数据泄露的情况逐渐减少ღღ✿,但通过接口类的逻辑漏洞导致的数据泄露却在逐渐增多ღღ✿。”冰尘进一步分析道ღღ✿,正常情况下ღღ✿,Web网页或者应用App可以通过对应的功能API接口调取数据ღღ✿。接口常暴露于外网ღღ✿,若此时没有对请求该API接口的数据限制查询数据类型及方式ღღ✿,即可进行一些“看起来合法”的数据越界请求ღღ✿。

  “因这类请求中无任何攻击语句ღღ✿,一般情况下很难被发现ღღ✿,除非通过专业的日志比对才可察觉ღღ✿。相关技术人员通过接口不断发送请求ღღ✿,数据通过滚动查询ღღ✿,一段时间下来美尔雅期货博易大师ღღ✿,便得到了相关数据ღღ✿。”他说ღღ✿。

  从多年网络安全红队(攻击方)的视角来看ღღ✿,冰尘特别提示ღღ✿,需重点关注大企业解决方案中供应链上的中小企业ღღ✿。在多数情况下ღღ✿,中小企业的安全成本投入较低美尔雅期货博易大师ღღ✿,数据安全往往难以得到完善的保障ღღ✿,但他们本身却是供应链中的关键一环ღღ✿。随着大企业愈发重视安全建设ღღ✿,攻击方的攻击成本也在增加ღღ✿,攻击往往会转向供应链上的中小企业来寻求突破ღღ✿。“需要重视供应链的整体安全ღღ✿,因为你不知道其中的哪个薄弱环节会出问题ღღ✿。”

  记者梳理发现ღღ✿,近年来ღღ✿,在“暗网”售卖个人信息的事件时有发生ღღ✿,大量个人信息被“明码标价”ღღ✿。北京ღღ✿、南通ღღ✿、盐城ღღ✿、兰州等地都曾出现过通过“暗网”非法倒卖个人信息的案件ღღ✿。

  今年2月ღღ✿,甘肃省公安厅发布“净网2022”十大典型案例ღღ✿,其中之一是兰州新区“詹某某黑客攻击案”ღღ✿。在此案中ღღ✿,兰州市公安局网安支队侦查发现ღღ✿,网民詹某某在“暗网”打包售卖包含银行储户ღღ✿、学生学籍ღღ✿、出行数据等在内的12类公民个人信息ღღ✿。专案组最终查清詹某某利用黑客技术ღღ✿,大肆窃取公民个人信息进行贩卖的整个犯罪过程ღღ✿,并在广州将另一名同案犯抓捕到案ღღ✿,现场查获全国20余个省份的10亿余条公民个人信息ღღ✿。

  所谓“暗网”ღღ✿,是利用加密传输ღღ✿、P2P对等网络等ღღ✿,为用户提供匿名互联网信息访问的一类技术手段ღღ✿,常使用比特币等作为交易货币ღღ✿。由于其具有隐蔽性ღღ✿、去中心化ღღ✿、非常规性等特征ღღ✿,容易滋生以网络为勾联工具的各类违法犯罪ღღ✿。

  有大量的“卖方”ღღ✿,意味着背后存在着“买方”需求ღღ✿。买方的目的可能有哪些?梆梆安全服务中心相关负责人分析ღღ✿,主要包括三大类ღღ✿,一是将信息用于电信网络诈骗ღღ✿,提高诈骗陷阱的真实度ღღ✿;二是依靠数据进行人物画像美尔雅期货博易大师ღღ✿,对特定人群进行“精准钓鱼”ღღ✿;三是将信息用于广告营销推送ღღ✿。

  “网民在使用互联网时ღღ✿,动辄需要提供手机号等个人信息ღღ✿。不法分子利用技术手段获取个人信息的侵权成本很低ღღ✿,而个人发现信息泄露后的维权成本却很高ღღ✿,甚至很难察觉信息是在何时何地被泄露的ღღ✿。这种不对等的情况是个人信息泄露事件持续发生的重要原因之一ღღ✿。”浙江垦丁律师事务所程念律师表示ღღ✿,不法分子通过Telegram机器人等方式进行售卖操作ღღ✿,其背后数据库的拥有者更加隐蔽ღღ✿,犯罪或者侵权主体的锁定更加困难ღღ✿。

  此外ღღ✿,她还指出ღღ✿,目前正规的数据获取途径尚待完善ღღ✿,不少企业因数据监管严格而未将自己掌握的数据发展成数据产品在交易所内上架交易ღღ✿,而需求方也面临着资金ღღ✿、合规等方面的成本压力ღღ✿,因此可能会更倾向于交易所外的交易ღღ✿,这给不法分子非法交易个人信息提供了可乘之机ღღ✿。

  “必须强调的是ღღ✿,技术本身具有中立性ღღ✿,但技术使用行为是需要监管规范的ღღ✿。应警惕暗网成为个人信息泄露的‘温床’ღღ✿,滥用新技术实施个人信息售卖行为的主体需承担相应法律责任ღღ✿。”程念表示ღღ✿。

  根据《中华人民共和国刑法》及《最高人民法院ღღ✿、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关规定ღღ✿,向他人出售或者提供公民个人信息ღღ✿,情节严重的构成侵犯公民个人信息罪ღღ✿。如果售卖的是真实姓名ღღ✿、电话与住址等信息的ღღ✿,达到五千条则构成犯罪ღღ✿。

  如果没有达到入罪标准的ღღ✿,按照《中华人民共和国网络安全法》相关规定ღღ✿,“窃取或者以其他非法方式获取ღღ✿、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款”ღღ✿。

  程念指出ღღ✿,企业需要完善内部规章制度和人员管理ღღ✿,注意防止内鬼行为ღღ✿。采取数据加密等技术措施保障安全ღღ✿,同时对于存在数据往来的合作方的数据使用行为进行必要监督ღღ✿,加强包括合同签署ღღ✿、资质查看ღღ✿、义务履行情况汇报等具体制度的构建ღღ✿。此外ღღ✿,加强与监管部门之间的协同ღღ✿,除采取处置措施外ღღ✿,在必要时应及时上报安全风险ღღ✿。

  梆梆安全服务中心相关负责人也表示ღღ✿,企业一是要做好内控ღღ✿,提升信息化处理相关岗位员工的安全意识ღღ✿,提高应急处置能力ღღ✿,当数据泄露事件发生时ღღ✿,要第一时间做好溯源工作ღღ✿,及时发现和解决问题ღღ✿;二是在外控方面ღღ✿,可以通过组织设备测试ღღ✿、攻防演练等方式ღღ✿,提高查看和修复漏洞的频率ღღ✿,及时优化系统ღღ✿。

  工信领域数据安全保障再加码ღღ✿:完善无线电数据ღღ✿、个人信息保护ღღ✿、数据跨境相关要求返回搜狐美尔雅期货博易大师ღღ✿,查看更多澳门尼斯人游戏电玩网站ღღ✿!威斯尼斯人官方登录ღღ✿,网路安全澳门尼斯人游戏ღღ✿,