logo

拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?

2017-03-13 18:32:15来源:知乎精选

话题: ,,
载入中...

【shotgun的回答(36票)】:

因为目前的事实还不明确,所以这个回答不涉及本次案件的定性,而是评价下内部作案这件事。

与新闻媒体大规模宣传、大家耳熟能详的外部黑客攻击相比,内部作案才是信息安全事件的主要来源,更是各种信息安全事件的重灾区。因此美军的IATF(信息保障技术框架)中早就把内部威胁和第三方威胁(有各种合作关系的组织或者个人)当作是信息安全威胁的重要来源。

那么高信息安全要求的信息系统(比如政府、银行等),是如何对抗这些内部威胁的呢?

首先是组织架构上三权分立,以银行为例,在大型银行内部,研发、运维和信息安全分别属于不同的部门,甚至信息安全还可能分成多个部门。一个系统的发布和更新,要经过不同部门审核,这样就可以杜绝一个人私自操作。

其次是权限上严格控制,不同的角色只赋予所需要的最低权限,这可以减少威胁的作用范围,以电力系统为例,对生产调度和办公等信息系统进行了详细的安全等级划分,不同密级的系统位于不同的区域,数据在不同区域间传输时要符合信息安全的策略。

第三是对敏感操作严格审计,以备事后查询,例如运营商就大规模部署了业务审计和运维审计系统,对各种操作进行记录。配合严格的管理规定,审计可以有效地威慑内部人员。

第四是对敏感数据从底层进行加密,这不仅仅包括用户的密码,可能还有其他的敏感信息,比如支付信息、家庭住址等等,从最底层进行加密,确保即使泄漏,短时间内也不能被解密。某些涉密的政府机构甚至要求高密级的数据“不落地”,只允许用虚拟技术远程查看。

第五是密切关注威胁情报和社工库的泄漏情况,一旦发生问题,就启动相关预案降低损失。大规模的泄漏事件,往往持续很久,如果能及时反应,可以把损失控制在最小的范围之内。

最后在防护措施上,要学习谷歌,不再把边界当作信息安全的防御重点,而是承认边界其实并不存在,同时也无所不在,把内部当作外部同样来进行防范。

拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?

谷歌:未来六年,我们的任务就是让所有的员工从不安全的网络直接访问公司,而不使用虚拟专用网技术。

互联网企业早期的时候因为业务发展速度快,数据泄漏的后果不严重,开发模式轻量化,所以在信息安全防御上重技术轻管理,重信任轻制衡,这有其合理性。但随着业务规模的不断扩大、业务数据的不断增长,国家对个人隐私的越来越重视,未来也必然走上管理与技术并重、授权和制约相平衡的道路。

【云舒的回答(52票)】:

据我所知,报道出来的,不是事情的真相(但是请注意,我说的也不一定是真相,只是私下的八卦,大家还是等国家机关的公告吧)。

公安破获了一个拥有大量数据的黑客团伙,京东员工恰好跟这个团伙交换过数据,所以被关联进这个案子。然后一查,发现这个员工拥有不少数据,而且还包括京东自己的数据,但是这些数据其实是来自于别的交换途径。京东发了一个稿子,表示自己严谨顺便拖百度、亚马逊等下水。于是,顺着那个稿子,网上各路媒体大神就“监守自盗”啥啥啥的搞起。

他当初最好的做法就是不持有任何数据,就不至于违法了;其次是持有但是发现外部有京东数据的时候上报公司处理,虽然违法但是不至于被pr和各路媒体大神按上监守自盗这个词语。

现在他的问题是非法拥有公民数据,看怎么判了。新版的网络安全法非常严格,一旦触犯,终生不得从事网络安全行业。

最后奉劝各位白帽子、黑帽子,在不能确保自己安全的情况下,还是别保存社工库了。当然,从这句话里面可以看出,我本身是不反感社工库的,毕竟这是黑客攻击力的一个体现。漏洞库、社工库,都是黑客的武器库,是黑客“无所不能”的力量的源泉。这些东西,可以用来做坏事,也能做一些不怎么坏的事甚至是好事。

黑客从来不是好人,我也不是好人,掌握这种能力的起源只是来自于好奇心和对规则的藐视。不一定绝对违法,但是踩踩线很多人都是有过的——我年轻时候也做过许多入侵的事情。黑客该怎么做,网络安全该怎么做,模糊的界线只有靠自己的内心去把握。

【白露为霜的回答(69票)】:

就像看美国大片,什么FBI,CIA,会把每个公民的数据了如指掌一样,其实在这个互联网时代,在大数据里,我们每个人都是“透明人”,有时候网站还真是比你更懂你。

你搜过什么吃的喝的玩的用的,网站都会给你记住,这当然带来了便利,但不可避免的,也带来隐患。

相信大家都被无数保险、收藏品、诈骗的电话和短信骚扰过,作为我们这些对黑产黑客不懂的普通用户,再怎么担心隐私被泄露也是没用的,因为大部分网站都有你的隐私,我一个给公家机关做过系统的朋友给我说,他们的系统脆弱的不要不要的。虽然如此,但大家仍然应该应该学会保护自己。

其中最重要的一项便是学会密码的设置。

密码的安全程度与便利度向来都是成反比的,绝大多数人都是为了图方便把密码统一成一样,即使你设置了一个包含大小写字母,特殊字符的强大密码,也难保有天被某种黑科技黑掉,就像2015年的Xcode Ghost事件又一次刷新了人们的安全观念一样。

国外早就有研究表明,1%的密码可以在4次之内猜中。如果你是password、123456、12345678和qwerty这4个密码,那你很不幸就属于这1%的人。这些密码的通病是长度过短、形式单一缺少变化,内容过于简单。我们先来看一下国内外相对安全的网站是怎么建议我们设置密码的:

苹果 对于iCloud 用户的密码适用建议,这只是基础款的feel:

拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?

再来看下谷歌给新用户的密码使用建议,是不是完备了些?

拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?

一般来说,一个相对安全的密码包括:位数在 6 位或者 8 位以上,包含大小写,包含字母数字及特殊字符

另外,从上面的分析中我们也能获取到,各大网站对于设定一个安全的密码建议如下:

1,密码应由字母、数字和符号组成

如果你的密码是由数字,符号和大小写组成的,别人将很难猜到你的密码,假设仅由小写字母组成的8个字符的密码相比,前一种由数字,符号和大小写字母组成的相同长度的密码更难被破解,因为在这样的情况下,可能组合的密码是前一种的三万多倍

2,不要使用个人重要信息或常见字词作为密码

这个大家应该很有感触,我猜看到这个回答中的人,仍有把自己生日设置为密码的,别藏了,说的就是你,在评论现身吧,然后速速去改了。

3,确保备份密码选项是最新的

现在有不少网站会提供安全问题,以便在忘记密码的时候找回用,建议还是选择一个只有自己知道的答案,别是那种只要看看你的朋友圈,空间,微博就能知道的。

也可以选择抖个机灵或者具体一下问题,比如我的找回问题是“出生地在哪里”我的答案直接设置成了高中学校,比如问“初中班主任名字叫什么”我设置的答案是《权力的游戏》……4,对重要的账户分别使用不同的密码

对每个重要账户都应该适用不同的密码,我自己觉得,最重要的是邮箱密码不能和其他密码一致,因为邮箱一旦被破解,就有可能面临其他密码被重置的风险。有人问了,密码那么多,记不住怎么破?

我的回答是:记到小本本上啊~

当然这不是正经的,效率天阶上有关于密码的记忆方法,关键是“核心密码+演算”,具体来说是这样:

设置一个核心密码,就是只有自己的知道的,再将核心密码搭配其他的数字,字母,符号来组成密码:

举个栗子:你的英文名为核心密码,加上手机尾号最后一位+生日的最后一位——Dave82,再复杂一下就加入你要注册的网站,比如sina,就可以是是dave82sina,或者sina82dave,但不管是哪一种应用方式,一但记住规则就可以放入所有的网站中。如果你还觉得麻烦,就可以像我这样,用网站允许的符号把密码包裹起来:# lyhT43gif#。

嗯,莫名还觉得蛮萌的。

当然如果你还觉得记不住,现在有不少密码管理软件也值得安利,前提是你觉得他们是安全无虞的,反正我一般不用,太麻烦了。

总体来说,密码这件事,如果只是浏览或者下载用,就设置成简单的密码也没关系,一般重要的密码可以按着我的安利去试一试, 特别重要的密码还是设置成越复杂越好吧,实在记不住就写在小本本上拍照备份在手机里,就算小本本丢了,别人也看不懂这符号是神马~

【呵呵的回答(60票)】:

其实这只是冰山一角,不止京东的内鬼在泄露客户信息,银行、通信业的内鬼也都在泄露客户信息,我们现在的信息泄露大都是通过这三个渠道:电商、银行、通信,因为在这几个渠道注册账户时,需要填写详细的信息,包括电话联系方式、身份证号等,其中电商渠道绑定还要填写银行卡号。

这通常都是内外勾结,内部人员被外部人员重金诱惑后,导出客户资料信息,然后按照标价比如一条信息十元钱,成批卖给外部人员,然后再转手层层转卖。

这种情况怎么防?只有严抓企业内控,及时排除信息泄露风险,可以这么说,如果没有层层把关防控,以上三种渠道的内部工作人员想要导出客户信息是很容易的,企业既然收集整理了客户信息,那么就有义务做好客户信息的保密工作。

至于普通人能做的事,实在非常有限,即使在你这端把信息防泄漏工作做的非常好,但也敌不过人家直接从服务器里把你的数据导出来啊,实在是让人感到很无力。

希望以上三个渠道所属的行业公司能够加强内控管理吧,完善规章制度和业务流程,保护好客户的个人信息。

【小马的回答(4票)】:

14年双11发现邮箱注册的JD账号不存在,再用邮箱注册个,居然成功了

15年也十一、二月前后在没买东西的情况下,接到过两次短信提示我买的东西正在配送中。账号查无订单,电话客服确实有订单,没有收到任何东西。

JD买东西从不网上支付

【孔庆勋的回答(116票)】:

谢邀,作为京东的老用户+东哥的粉丝,这次真的挺失望,也挺惋惜的。毕竟如果我没记错的话,京东用户数据泄露的新闻已经是第三次了。

最早的一次是在2015年,京东被曝出大量用户隐私信息泄露,用户共损失数百万。一年后,京东公布调查结果,称因“内鬼”——3位京东物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。

还有一次泄露12G的用户数据泄露是去年12月的事情,当时京东的解释是:该数据源于2013年Struts 2的安全漏洞问题,京东的安全人员当时已经迅速解决了问题,此后绝大部分用户都对自己的账号进行了安全升级,只有极小部分用户没有解决……

“极小部分用户”能有12G的数据,我是不太信的。当时知乎上就有人质疑过,可以参考一下这个链接:「京东疑似 12GB 数据泄露」可能会造成哪些影响?

另外,所谓的12G数据源于2013年老库的说法,现在看来,显然也并不如此。

2017年3月10日,京东与腾讯联合打击了一起网络安全信息犯罪。经了解,该起犯罪由京东内鬼引起,网络工程师郑某于2016年6月底入职京东。

注意读题,2016年6月底入职京东,半年多时间,就泄露了50亿条用户信息。

我自己曾经在网络安全公司待过,虽然不是技术部门,不过也和很多技术方面的合作伙伴打过交道。前段时间去广州安创和他们的工程师聊了一下用户数据保全的体系。绝大多数大公司,对于数据安全都是极其重视的。尤其是电商、金融这种和钱打交道的企业,基本上对外都说多层的防火墙,不定期会做渗透测试。

拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?

对于公司内部,在数据方面也会有很严格的风控体系,什么级别的员工能接触什么级别的数据,在ID和口令上都有很严格的要求。

拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?

上边两张图,仅供参考,考虑到同一公司不同业务部门,有些东西又会放在同一个机房,实际的架构会比这个复杂得多。

而像京东这样的大公司,我实在想不出为什么一个初来乍到的员工能搞出这么庞大的数据泄露,如果非要猜——只有两种可能:

1.如果郑某是基层员工

一个基层员工也能接触到这么大的数据量?京东的数据保全部门是吃干饭的嘛?如果告诉我一个创业公司的数据,相关部门都能接触得到,那还说得过去。如果说是一个年营业额几千亿的公司,实在是细思恐极。

2.如果郑某属于中层

其实一般情况下,大公司的中层都是接触不到那么多数据的。除非是技术总监级别,还得趁着对技术架构修修补补的档口,才会有这么个机会。问题在于,哪怕是个中层,给offer之前就没有过背调吗?对于一个有黑产前科的人委以重任,其实应该是极其严重的用人失察了。

其实一直以来,京东给我的印象是:它是一家商贸企业,而不是一家互联网公司。在各大电商里,京东是最重视物流的,但是同样是营销做得最差的;而技术方面,连最基本的数据安全,也会频频出错。

这次的事情,从小里说,是对于庞大的地下产业链防备不足;往大说,公司的内控还没完全跟上吧。

原文地址:知乎

您可能还会对这些文章感兴趣!

最新评论文章

热门标签