免费看在线a黄视频|99爽99操日韩毛片儿|91停婷在线无码观看|日韩三级片小视频|一级黄片免费播放|欧美成人视频网站导航|亚洲日韩欧美七区|国产视频在线观看91|人成视频免费在线播放|国产精品成人在线免费观看

在網(wǎng)絡(luò)安全領(lǐng)域從業(yè)13年，面對個人信息泄露，盧圣龍多次提到“無力感”。

他是一家網(wǎng)絡(luò)安全公司安全實驗室的負責(zé)人，工作之一是作為授權(quán)黑客，測試一些單位或公司的網(wǎng)絡(luò)安全，他們經(jīng)常輕易拿到很多企業(yè)的內(nèi)部數(shù)據(jù)；他的個人信息遭遇過泄露；我們習(xí)慣將個人信息交付給各個APP和小程序，但“大家對于數(shù)據(jù)的流向沒有知情權(quán)”。

對此，他有一種深深的無力感：我很注重隱私安全，想保護隱私，但我的信息在很多企業(yè)的服務(wù)器里，你還得寄期望于存放數(shù)據(jù)的這些公司能保護好它們。

聊天過程中，盧圣龍在五秒鐘之內(nèi)查到了我的身份證信息，以及一個十年前的、詳細到門牌號碼的住址。“剛才我沒有花精力調(diào)查你，沒有花錢查詢，我就做了一個檢索。因為有人將之前所有泄露過的信息進行收集，免費或付費提供查詢服務(wù)，甚至泛濫到包括很基礎(chǔ)的信息。”

我們是如何在不經(jīng)意間成為一個透明人的？是誰偷走了我們的隱私？個人信息如何成為地下論壇的商品？背后是怎樣一個龐大又隱秘的市場？

以下為盧圣龍的講述：

“黑產(chǎn)團隊對深度偽造的利用，可能是會爆發(fā)的一點”

從業(yè)經(jīng)歷中，我印象最深的信息泄露事件是發(fā)生在2011年的CSDN數(shù)據(jù)泄露。

有兩個原因。首先，這件事和我的生活和工作強相關(guān)，它是一個技術(shù)論壇，用戶都是像我一樣的IT人。當(dāng)時，我的信息也被泄露了，對我的生活有很大影響，那段時間，我瘋狂改密碼、改賬戶昵稱、更換郵箱。

第二個原因是，黑產(chǎn)團隊發(fā)現(xiàn)，原來數(shù)據(jù)有這么大價值，后續(xù)引起了一連串?dāng)?shù)據(jù)泄露事件。

我個人認為，數(shù)據(jù)泄露開始泛濫就是從“CSDN事件”開始，至今過了14年，我可以從影響層面對數(shù)據(jù)泄露的現(xiàn)狀做一個概括。

第一，規(guī)模越來越大。CSDN泄露的數(shù)據(jù)有數(shù)百萬，后來天涯論壇信息泄露時，有數(shù)千萬的數(shù)據(jù)，國外一些機構(gòu)甚至涉及上億數(shù)據(jù)泄露。

2016年，京東數(shù)據(jù)泄露，有12G左右的一個壓縮包流通售賣，包括用戶的名稱、電話號碼、注冊郵箱、密碼，有些有身份證信息，還有購買商品的收件人信息。這是一件影響非常惡劣的事情，直到今天，你在很多所謂的“開盒”工具里能查到個人信息，可能很多就來自于當(dāng)初的京東數(shù)據(jù)泄露事件。（注：開盒是指公開曝光他人隱私的行為，是一種網(wǎng)絡(luò)暴力。）

第二，頻率在增加，幾乎每年都有多起數(shù)據(jù)泄露的事件被曝光。

第三，泄露的方式越來越多樣化了。剛開始，主要是黑客攻擊，后來擴展到內(nèi)部人員作案，現(xiàn)在還發(fā)展出一些新的攻擊手法，比如通過公鏈攻擊獲取數(shù)據(jù)。

第四，危害程度和影響范圍也越來越大。比如京東的數(shù)據(jù)泄露更多受影響的是個人，后來擴展到企業(yè)層面，比如針對企業(yè)的勒索攻擊；現(xiàn)在很多機構(gòu)甚至政府單位，也會面臨數(shù)據(jù)泄露的問題。大量的信息泄露，危害和影響范圍就會上升到社會層面，增加社會治理成本，削弱公眾對社會機構(gòu)的信心。

有些黑產(chǎn)團隊已經(jīng)在使用AI做數(shù)據(jù)的關(guān)聯(lián)和分析。比如通過AI打標(biāo)簽、出詐騙劇本。另外的一種可能，是通過AI發(fā)現(xiàn)安全漏洞，但我感覺在短期內(nèi)還不太可能發(fā)生，可能未來有這個趨勢。

對于黑產(chǎn)團隊來說，AI目前主要是提高效率，技術(shù)手段還沒有特別多的創(chuàng)新。但黑產(chǎn)團隊對深度偽造的利用，可能是會爆發(fā)的一點，如果黑產(chǎn)團隊有你的人臉信息，和其他足夠多的數(shù)據(jù)，可以生成足夠逼真的視頻或音頻詐騙。

當(dāng)然，技術(shù)的發(fā)展也會驅(qū)動網(wǎng)絡(luò)安全的AI化建設(shè)，可以相應(yīng)提高安全防護水平。在我們領(lǐng)域，相信魔高一尺道高一丈。有一句話叫沒有絕對安全的系統(tǒng)，網(wǎng)絡(luò)攻防的對抗，本質(zhì)是成本的對抗，我們建設(shè)網(wǎng)絡(luò)安全體系，目的不是保證系統(tǒng)100%安全，是阻止那些低水平的攻擊者，繼續(xù)投入，就能阻止中水平的攻擊者。我們投入防守，是去提高攻擊者的攻擊成本。

最容易被盯上的四類人群

泄露的個人信息大概可以分為五類。

最常見的是基礎(chǔ)信息，姓名、地址、身份證等；其次是應(yīng)用數(shù)據(jù)，有很多企業(yè)會對用戶做分析打標(biāo)簽，比如喜歡吃什么食物、消費水平怎么樣、有怎樣的資產(chǎn)，這些標(biāo)簽數(shù)據(jù)就屬于應(yīng)用數(shù)據(jù)。還有設(shè)備信息，比如手機設(shè)備的數(shù)據(jù)；還有網(wǎng)絡(luò)信息，包括IP信息；還有就是關(guān)聯(lián)出來的家庭、好友圈信息等。

個人信息在買賣環(huán)節(jié)是明碼標(biāo)價的，價格高低在于它的價值、數(shù)據(jù)完整程度，以及新鮮度等。

帶有行業(yè)屬性的信息比較值錢。金融數(shù)據(jù)有很高價值；投資網(wǎng)站泄露的信息，價格也會高一些，比較新的數(shù)據(jù)一條可能賣到幾塊錢。你肯定有錢才想去投資，對于詐騙的人來說，是比較好的目標(biāo)。

另外就是外賣或者快遞數(shù)據(jù)，因為含有地址信息。大多數(shù)的信息注冊需要姓名、身份證、手機號，但不需要住址，所以這個信息相對來說比較稀缺。

地址有很多應(yīng)用場景。比如說催收需要你的地址信息，網(wǎng)絡(luò)暴力需要地址信息，詐騙也需要地址信息。之前有一種詐騙，中秋節(jié)給你寄一張蟹卡，需要掃碼綁定一些信息，然后把你的錢轉(zhuǎn)走。

如果單純是姓名、身份證等基礎(chǔ)信息，就不太值錢，黑產(chǎn)團隊需要對這些數(shù)據(jù)進行深度挖掘才能拿來所用，這樣的數(shù)據(jù)幾萬條可能就幾塊錢。

我曾經(jīng)見到過一份來自貸款網(wǎng)站的數(shù)據(jù)，它包含了姓名、身份證正反面，手持照片人臉識別的認證視頻，包括念數(shù)字認證的聲音。這種數(shù)據(jù)賣得貴一些，一條可能要十幾二十塊。每個人的聲紋和人臉是具有唯一性的生物數(shù)據(jù)，他們可能會利用AI技術(shù)做人臉替換。

一個是營銷，比如我們買房后收到裝修電話。

還有詐騙，冒充你的領(lǐng)導(dǎo)讓你轉(zhuǎn)錢。詐騙的很多場景是基于泄露的數(shù)據(jù)做的畫像構(gòu)造，然后設(shè)置劇本，這樣的話成功率要高很多。

第三是競爭對手；第四是個人，比如“人肉開盒”，對應(yīng)的是網(wǎng)絡(luò)暴力。

從信息泄露的主體來看，企業(yè)數(shù)據(jù)泄露是最多的，包含了我們常用的互聯(lián)網(wǎng)工具的公司；醫(yī)療機構(gòu)、教育機構(gòu)信息泄露相對來說也比較多；還有第三方的服務(wù)提供商。之前，有一份大概上億條的外賣訂單地址的數(shù)據(jù)泄露，泄露的源頭就是第三方的配送商。

企業(yè)、醫(yī)療、教育和供應(yīng)鏈，有一個共同點，他們不像金融機構(gòu)、大型互聯(lián)網(wǎng)公司在安全投入方面這么高，甚至有些第三方的服務(wù)提供商，幾乎沒有網(wǎng)絡(luò)安全建設(shè)。

從工作經(jīng)驗來看，有四類人群的個人信息最容易被盯上。

第一類是高凈值人群，對于詐騙團伙或者推銷人員來說，都意味著很高價值。

第二類是在校學(xué)生，個人防護意識和能力比較弱，對于詐騙團隊來說是比較好下手的對象。

第三類是老年人，對應(yīng)保健品推銷和詐騙。老人對于互聯(lián)網(wǎng)技術(shù)了解的不多，容易受騙；也有相當(dāng)?shù)慕?jīng)濟能力。

最后是患者信息，這也是比較高危的信息，因為大家都很在乎身體健康，對于黑產(chǎn)團隊來說，價值就比較高。

個人信息買賣產(chǎn)業(yè)鏈的上中下游

個人信息泄露背后是一門生意，這個產(chǎn)業(yè)鏈條可以分為上游、中游和下游。

上游是黑客和“內(nèi)鬼”。他們以批發(fā)或零售的形式快速獲利。

黑客群體也分三六九等，初級和中級黑客廣撒網(wǎng)，可能一次性攻擊1000家或者1萬家公司，高級黑客就選3到5家有價值的定向攻擊。

還有被業(yè)內(nèi)稱為“腳本小子”的黑客，這些人不懂攻擊原理，也不懂漏洞挖掘，只會用開源工具對一些幾乎沒有防護的網(wǎng)站進行傻瓜式攻擊。“腳本小子”的組成非?；靵y，有社會不良分子，甚至有初中生、高中生，他們對黑客技術(shù)沒興趣，只想掙錢。

現(xiàn)在很尷尬的一點是，有很多以往的安全防護人員，因為一些原因，在做攻擊類型的黑產(chǎn)。我之前團隊的一個兄弟離職之后，去了國外，我從其他渠道獲知，他就在做黑產(chǎn)相關(guān)工作。我當(dāng)時很吃驚，曾經(jīng)身邊很鮮活的一個人，讓我有些捉摸不透。

其實做技術(shù)，多多少少會對技術(shù)有敬畏，你知道什么事做了之后就很難回頭了。

我們常見的很多信息都是內(nèi)部人員泄露的。比如酒店相關(guān)的業(yè)務(wù)人員，有查詢開房記錄的權(quán)限，有可能一次查詢收費大幾百塊、一兩千塊，包括一些可以查資產(chǎn)信息、婚姻信息的人員。

我覺得這些人都不是很高職位，大多來自業(yè)務(wù)一線。我之前看到過新聞，有輔警查個人信息，有車管所的人往外傳遞新車的注冊信息。甚至房產(chǎn)售樓處的人也有可能成為“內(nèi)鬼”，大家買房后經(jīng)常接到各種電話，深受其害。

從行業(yè)上來分，掌握個人信息的行業(yè)里都有可能有內(nèi)部人員做這樣的事情，酒店、外賣、快遞、行政機關(guān)的工作人員等等。根據(jù)經(jīng)驗，酒店行業(yè)“內(nèi)鬼”相對多一些，可能查詢的需求會比較強烈，還有就是有辦法接觸到戶籍信息的行業(yè)。

暗網(wǎng)里面售賣源頭信息的這些人，會提供快查和慢查服務(wù)。慢查基本就是“內(nèi)鬼”去查，他們絲毫不會掩飾“內(nèi)鬼”這件事情，會把“內(nèi)鬼”作為宣傳的手段和獲客能力。

中游分為信息加工者和數(shù)據(jù)分銷者，兩者也可能是一體的，主要賺取信息差。他們將買到的數(shù)據(jù)清洗和整合，提高數(shù)據(jù)的價值，也可能針對下游需求向上游定制數(shù)據(jù)。打個比方，如果上游是菜市場，下游是消費者，中游就是飯館，起到一個烹飪的角色。

上游隱匿性很強，很難溯源。中游相對來說更好定位，但中游現(xiàn)在基本都是通過數(shù)字貨幣進行分銷，如果反偵察意識足夠高的話，也很難定位到他的信息了。

下游就是信息購買者和使用者，比如常見的詐騙團伙，發(fā)垃圾短信的營銷公司，獲取商業(yè)情報做不正當(dāng)競爭的對手。還有就是個人，主要的目的可能是想追蹤某個人、報復(fù)某個人，或者網(wǎng)絡(luò)暴力。

“大家都在賭，賭我不會被攻擊”

有一種觀點認為，信息泄露和個人或社會層面對隱私的漠視有關(guān)，我是不認同的。以我個人為例，我很注重隱私安全，但是我的信息泄露的也很多，我想去保護隱私，但是我做不到。

我的信息托管在很多公司的服務(wù)器中，自己肯定是自己數(shù)據(jù)的第一責(zé)任人，但是你保護好的同時，還得寄期望于存放數(shù)據(jù)的這些單位或公司。所以說，我有一種無力感。

我在點外賣、寄快遞的時候起一個不是真名的名字，比如京東收件人叫盧京東，淘寶叫盧淘寶，如果有人打電話問是不是盧淘寶，我知道是在淘寶泄露的。有些軟件我也會用小號登錄，其實背后就是一種無奈和無力。

現(xiàn)在APP收集個人信息，我認為是過度收集違規(guī)收集的。我們使用的這些APP，有一個隱私收集協(xié)議，標(biāo)明了會獲取哪些數(shù)據(jù)，那個很長，好多頁，很多人可能不太會去關(guān)注。

個人隱私保護很大的一個痛點，就是大家對于數(shù)據(jù)的流向沒有知情權(quán)，不清楚你的數(shù)據(jù)做什么用了，比如輸入法數(shù)據(jù)，或者一些聊天數(shù)據(jù)可能會被用來做大數(shù)據(jù)的推廣。

關(guān)于信息泄露的治理，其實我們國家一直在出臺一些法律，比如《網(wǎng)絡(luò)安全法》、《個人信息保護法》，還有《數(shù)據(jù)安全法》，包括近兩年數(shù)據(jù)安全的需求也越來越大，總體來看肯定是向好的。

數(shù)據(jù)泄露很難監(jiān)控。比如企業(yè)不會主動上報，不會通知用戶，你不知道他的數(shù)據(jù)泄露了。比如有些數(shù)據(jù)可能在暗網(wǎng)流通，但也有可能沒有到外部渠道，他們內(nèi)部就有流轉(zhuǎn)需求，等數(shù)據(jù)流通出來，可能是兩年或者三、四年之后了。

從企業(yè)安全治理來說，國內(nèi)很多公司對于數(shù)據(jù)安全的投入還不大，很多企業(yè)甚至剛開始做基礎(chǔ)安全，它都沒有安全部門，甚至對于安全漠不關(guān)心。安全是一個成本部門，不是盈利部門，大家都在賭，賭我不會被攻擊，賭我今年不花這錢也沒什么影響。他們的意識也不高，甚至很多企業(yè)會把我們的數(shù)據(jù)當(dāng)做一種商品，拿來售賣或者加工。

這里還要提一下暗網(wǎng)，它是導(dǎo)致信息泄露更泛濫、治理難度加劇的一個重要原因。

伴隨著加密貨幣的興起，交易環(huán)節(jié)開始遷移到暗網(wǎng)。它是匿名化的，想要追蹤交易者的身份，成本很高；它有一定的技術(shù)壁壘；另外，交易很復(fù)雜，可能涉及很多國家，法律監(jiān)管和執(zhí)法協(xié)作相對來說也比較困難。

在我十幾年的從業(yè)經(jīng)歷中，個人信息泄露之后，我從沒有見過維權(quán)的案例。我知道數(shù)據(jù)泄露不好，但也知道沒有辦法，維權(quán)成本太高，就是剛才提到的那種無力感。

現(xiàn)在的生活很智能化，我們的數(shù)據(jù)不停地在各種APP流轉(zhuǎn)。有人提過一個觀點，隱私就是一種幻想，我現(xiàn)在是認可這句話的。大家一定要有意識，不必要的權(quán)限不開，盡量避免太多的信息被收集。我電腦里很多軟件，如果我認為它沒必要聯(lián)網(wǎng)，會用防火墻軟件禁止聯(lián)網(wǎng)；我基本不會把通訊錄授權(quán)給他們。作為個人，只能盡量減少暴露的可能性。