数据库“裸奔” 个人信息屡被窃后在“暗网”挂售

本篇文章1648字，读完约4分钟

11月2日，《新华每日电讯报》发表了一篇题为《数据库裸奔，个人信息屡遭窃取后挂在“黑网”上出售——犯罪分子利用一些机构保护意识淡薄之机窃取数据牟利》的报道。

在“黑色产业圈”中，拖数据库意味着从机构数据库中窃取重要数据。因为“拖库”的发音类似于“脱裤子”，而且重要数据中包含了大量用户的私人信息，所以这个词也意味着窃取私人信息的用户被剥光了衣服。

今年以来，很多机构的用户数据库都被拖垮了，网上购物商品信息、学生身份信息、个人就业经历甚至开房记录等高度敏感的信息都被挂在“暗网”上出售。许多人问:什么隐私没有被披露？给互联网公司隐私安全吗？

“开门”数据库与黑色产品的狂欢盛宴

“出售集团所有的酒店资料(汉庭、美爵、严、文新、诺富特、美爵、花旗、橙、全季、星威、宜必思、、宜必思、怡来、海友)，测试资料包含在附件中，每份提供1万份资料供大榭测试……”8月28日，一个人通过了

一石激起千层浪，很多人开始在朋友圈里感叹“网络时代没有隐私”，也有人质疑“黑网”上出售的数据不是真实信息。然而，第三方网络安全团队将“黑暗网络”发布的30，000个数据样本确定为“准确的样本数据”。

更可怕的是，在“黑暗网络”上出售数据的地下黑色产品也表示，“上述数据将于2018年8月14日采集，后续数据可免费发送给购买上述数据的买家。”也就是说，地下黑产品入侵数据库不是“一次性”行为，而是获得对数据库的访问权。如果有关方面不采取进一步的补救措施，海报甚至可以在数据库中“来去自由”。

“一些组织认为他们的主要业务不是在线，也不是互联网行业的主要参与者。因此，他们认为自己不太可能被黑客攻击，从而降低了对网络安全保护的要求，甚至与相应的IT部门人员不匹配。从而成为网络攻击的受害者。”资深网络安全专家神秘告诉《新华日报》,酒店、空航空、教育和培训等传统行业的数据信息正是地下黑市产品的最爱。“由于离线强制实名制的要求，这些字段中的数据是真实的。高，您还可以更准确地绘制用户肖像，从而为犯罪分子进一步侵犯用户提供机会。”

据一些业内人士称，根据目前在“黑暗网”上出售的数据，黑色产业链从业者可以准确地制作用户肖像——你毕业于哪所学校，你学过什么专业，在哪个机构工作，你喜欢在哪里玩，你喜欢买什么，你喜欢看什么类型的电影，甚至谁住在同一个房间，这些都可以被大数据准确地“描绘”。

即使不花费太多时间和金钱，也不难获得这些数据。《南方都市报》个人信息保护研究中心发布的《2017年度个人信息保护报告》显示，搜索对象的个人信息在黑市上很容易买到，包括过去6个月的通话记录、旅行信息、账单消费和个人联系，甚至搜索对象的详细量化分数。获取上述详细信息的费用只需3.8元。

"这与其说是一部地下的黑人作品，倒不如说是黑人制片人的狂欢节。"神秘认为，在互联网时代，用户数据变得越来越“有价值”。如果相关机构不保证数据库的安全，未来将会有越来越多的用户隐私以明码标价出售给“黑暗网络”。

非神秘的“暗网”世界和松散的保护意识

很多人对上面提到的“暗网”没有具体的概念，只是简单地认为“暗网”是一个“地下黑市”。

据360产业安全研究中心主任裴志勇说，“黑暗网络”的典型代表是“洋葱网络”，它是由美国军方开发并获得专利的。简而言之，“暗网”就是对传输的数据进行加密，在数据传输过程中，其他“暗网”节点被多次用于随机转发，从而实现了信息发布者身份信息的隐藏或保密。因此，虽然最终的信息接收者可以接收信息，但是很难找到信息的来源。

然而，裴志勇说:“基于现代网络技术和大数据技术，‘黑暗网络’的可追溯性已经从‘理论上不可行’转变为‘实践上可行’。一些在“黑网”上转售用户数据的卖家已被警方追踪并抓获，这表明“黑网”上的犯罪并非绝对安全。”

应该注意的是，“黑暗网络”不是一个独立的网络，而是由运行在普通互联网上的软件或设备组成。只有这些软件或设备符合“黑暗网络”的通信协议，能够独立工作并相互连接，无需任何管理人员即可形成“黑暗网络”。