昨天,一则“陌陌 3000 万数据暗网仅售 200 元”的消息在网上不胫而走。

陌陌回应暗网售卖数据:匹配度低

据微博用户 @lxghost 透露,陌陌有约 3000 万条数据在暗网出售——这批数据是 2015 年 7 月 17 日被写入的,总条数 3161 万条,包含手机号和密码两个字段。根据暗网的卖家介绍,“数据中密码有空白项,但这部分所占比例不到 1%,就算去掉 100 万条,还有 3000 万条”,并申明,“本数据不保障现时有效性,只适合撞库等用”。

卖家还特别警告称,“本人未有大批测试能力,故无法确保数据能登录陌陌或者可搜索到陌陌账号的概率,这一点敬请谅解。”

经过网络的大肆传播和报道之后,一时之间,热议声甚嚣尘上。对此,陌陌官方在消息披露的当晚紧急调查表示,消息不可信!

陌陌方面称,网上流传的报道中所谓的三年多前通过撞库得来的数据,跟陌陌用户的匹配度极低,测试结果都是错误信息。此外,陌陌采用高强度单向散列算法对用户密码加密,任何人都无法直接从陌陌数据库中获取用户明文密码。最后还提到,陌陌采用包括密码验证、设备验证等多重校验机制,他人根本无法仅凭手机号和密码就登录用户陌陌账号。

对于陌陌的紧急公关声明,网友们的态度仍显得十分存疑,很多人质疑“匹配度极低难道就等同于安全吗?”、“所谓的测试是指什么?”、“仍有泄露风险吗?”......但是截至目前,已经没有更大的水花了。不过可喜的是,据北京时间今日凌晨消息,经历数据泄露传闻的陌陌周一股价大涨,截至收盘涨幅达 5.52%——事实证明,所谓的数据泄露疑云似乎没有给陌陌带来任何的不良影响。

无独有偶,Quora 1 亿用户数据也惨遭泄露

巧的是,前有“沉冤得雪”的陌陌,后有“负荆请罪”的 Quora。

据外媒路透社当地时间 3 日报道,美国的知识问答类网站 Quora 系统遭“恶意第三方入侵”,波及了 1 亿名用户。Quora 在其官方网站表示,这些用户的姓名、电子邮件地址、密码及相关链接数据等账户信息安全都受到了威胁,黑客还获取了诸如提问、回答、赞、踩等操作的信息。

目前,为防止进一步损失,Quora 已将所有用户账号强制登出。“我们正在通知信息安全受到威胁的用户”,Quora 公司联合创始人兼首席执行官亚当·德安格洛说,暂未影响匿名提问与回答的用户,此外“调查仍在进行中,我们将进一步改善安全保障措施。”值得一提的是,成立于 2009 年的 Quora 网站,其创始人德安格洛和查理·切沃均为前 Facebook 员工——而后者仍处于今年初爆发的“剑桥分析公司数据泄露丑闻”阴影下。

为什么近年来泄露案件密集爆发?

事实上今年以来,数据泄露的事件就频繁发生,且涉及规模都十分庞大。

除去今年 3 月的 Facebook 事件,还有很多大规模的泄漏事件历历在目:6 月,圆通 10 亿条快递数据在暗网上打包出售,数据信息包括寄(收)件人姓名、电话、地址等;8 月,因华住公司程序员将数据库连接方式上传至 GitHub 导致其泄露,华住旗下多个连锁酒店开房信息数据泄漏,总数接近 5 亿;乃至上周的 11 月 30 日,万豪酒店数据库遭到入侵,5 亿名顾客的数据也遭到泄露,包括顾客的姓名、出生日期、电话号码、护照号码、通信地址、电子邮箱和其他一些个人信息......

从万豪酒店数据库被入侵 5 亿信息泄漏、陌陌被撞库数据暗网出售到 Quora 遭黑客入侵 1亿用户数据被盗,从国际酒店、知名社交 App 到全球著名的在线问答社区 Quora——网络技术发展到现在,数据安全应该是所有企业和用户的核心焦点,那为什么近年来泄露案件仍然密集爆发?技术上就没有彻底防范的方法吗?难道受害者就只能束手就擒?

带着种种问题,CSDN(ID:CSDNnews)特别咨询了 360 网络安全响应中心负责人蔡玉光,他表示,目前安全行业其实普遍有一个共识,没有攻不破的网络。企业出现安全事件是在所难免的现实,除却暗网这样还有一定开放空间的平台,其实还有更多的安全事件没有被曝光出来。

“近期频频曝光的数据泄密事件,除了围绕着简单的经济或情报利益,这些数据在后面环节的被利用是更应该考虑的问题——买家在购买这些隐私数据后是否会有进一步的利用场景,如电信诈骗、金融账号攻击、间谍数据等利用场景?这些危害会比直接的数据买卖更具破坏性。”

数据泄露事件大多都是在过了很长一段时间后才曝光出来,攻击者可能在数分钟的时间里就攻破了网络,在数分钟到小时级就窃取完了企业里留存的用户隐私数据;但是安全人员可能是在数月或者上年的时间才能发现已经发生了的数据泄露事件。而这些,就需要从数据泄密的流程和主要手段来分析。

数据泄露中攻防失衡的现实

根据 360 网络安全响应中心发布的《2017 年度安全报告——数据泄密》显示,全年数据泄露事件的平均规模上升了 2%,财产损失高达上亿。一般而言,数据泄露的流程整个流程可以分为:拖库、洗库、撞库。数据资源一旦被泄露,那么就会产生一系列的危害。很多用户由于缺乏安全意识,不能及时的发现自己的数据泄露,只有当自己的财产受到损失才能被感知,所以用户感知越来越慢,这也是为什么数据泄露的发现极具延时性。

报告还表示,导致数据泄露的主要手段分为黑客入侵、软件漏洞、恶意木马等技术手段,以及内部人员泄密、非有意识泄密等非技术手段。其中,最大来源是意外丢失和因疏忽而使信息暴露的数据。

“攻防失衡问题的改善,除了需要安全行业在技术层面更加的努力,更需要社会在宏观和个人层面重视信息安全、企业把信息安全管理放在一个战略高度。”针对日益严重的数据安全隐患,蔡玉光说到,企业在品牌建设和自身发展过程中,在拥抱信息化之后,信息安全事件绝对是一个大概率的“灰犀牛”事件。“比如,目前通过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道,相应的,厂商应正视网络安全,定期进行渗透测试,及时对有漏洞的服务打补丁,做好完整可靠的数据安全措施,对密码加密存储,杜绝明文密码存储,这样即便被黑也能降低带来的损失。”

开发者和个人用户该如何应对?

对于开发者,蔡玉光认为要具备一定的安全意识(可以通过企业内部组织培训或自身学习)。在架构和研发过程中要配合安全团队或综合考虑信息安全管理要素;在实际开发过程中要避开常见安全问题,如上传 Github、SQL 注入、任意命令执行、缓冲区溢出、水平越权、日志敏感信息记录、敏感文件任意存放等问题。

在数据泄露事件发生时,开发者应发挥自身的技术和业务优势,积极配合安全团队、法务团队对事件溯源中所涉及到的业务场景和数据证据,提取固化提供支撑,在很多数据泄露事件溯源中开发者都是最有利的技术支撑,比如数据流程梳理、关键日志提取等。此外,“开发者在配合过程中需要严格注意,避免破坏数据完整性。”

而对于个人用户,不仅需要定期更换并使用较长(10 位以上)的复杂(大小写字母、数字、特殊字符)密码,还应该分级管理自身的密码,如一级金融账号密码、二级重要账号密码、三级普通网站密码。遇到数据泄露事件, 应及时修改密码并同时修改和泄露相关的其他账号密码。

当然,“个人用户也可以使用网站、应用中提供的双因子验证机制,如登录短信验证或手机应用再确认等方式,双因素机制可以有效提高账号的安全性。另一方面也可以在拥有指纹或口令保护的智能手机中使用一些公开密码管理软件来对自身密码进行管理,如1Password等。”

数据安全不是个一蹴而就的命题,它需要企业、开发者和个人共同维系。

某黑客使用Python 5 天爬取6亿3000万数据在暗网上售卖,恐怖如斯相关推荐

  1. Python爬虫,爬取51job上有关大数据的招聘信息

    Python爬虫,爬取51job上有关大数据的招聘信息 爬虫初学者,练手实战 最近在上数据收集课,分享一些代码. 分析所要爬取的网址 https://search.51job.com/list/000 ...

  2. python + selenium多进程爬取淘宝搜索页数据

    python + selenium多进程爬取淘宝搜索页数据 1. 功能描述 按照给定的关键词,在淘宝搜索对应的产品,然后爬取搜索结果中产品的信息,包括:标题,价格,销量,产地等信息,存入mongodb ...

  3. 如何去使用Python爬虫来爬取B站的弹幕数据?

    哔哩哔哩众所周知是弹幕的天堂,视频观看人数越多,弹幕也就越多.今天小千就来教大家如何去使用Python开发一个爬虫来爬取B站的弹幕数据. 1.弹幕哪里找? 平常我们在看视频时,弹幕是出现在视频上的.实 ...

  4. Python爬虫:爬取华为应用市场app数据

    爬取华为应用商店的所有APP名称和介绍,因为页面数据是ajax异步加载的,所以要找到对应的接口去解析数据. 爬取华为应用市场app数据 一.分析网页 1. 分析主页 2. 分析appid 3. 分析u ...

  5. 用Python实现原生爬取某牙直播平台数据

    最近学习了一大堆和大数据相关的东西,Hadoop.Elastic.Python等.写一个简单的实战项目贯通一下.爬取一下某牙直播平台的人气排行. 一.确定自己需要的数据,并找到最适合爬取的页面 首先我 ...

  6. Python 超简单爬取微博热搜榜数据

    微博的热搜榜对于研究大众的流量有非常大的价值.今天的教程就来说说如何爬取微博的热搜榜. 热搜榜的链接是: https://s.weibo.com/top/summary/ 用浏览器浏览,发现在不登录的 ...

  7. 利用Python Scrapy框架爬取“房天下”网站房源数据

    文章目录 分析网页 获取新房.二手房.租房数据 新房数据 租房数据: 二手房数据 反反爬虫 将数据保存至MongoDB数据库 JSON格式 CSV格式 MongoDB数据库 分析网页 "房天 ...

  8. 利用python+scrapy+mysql爬取虎扑NBA球员数据存入数据库

      大家好,这是我的第一篇博客,写的不好请见谅. 小编是个多年的NBA观众,最近正值季后赛的比赛,闲来无事,突发奇想,想利用刚刚所学的python著名爬虫框架scrapy采集一下全NBA的球员基本信息 ...

  9. [python爬虫] BeautifulSoup爬取+CSV存储贵州农产品数据

    在学习使用正则表达式.BeautifulSoup技术或Selenium技术爬取网络数据过程中,通常会将爬取的数据存储至TXT文件中,前面也讲述过海量数据存储至本地MySQL数据库中,这里主要补充Bea ...

最新文章

  1. 从UV位置图获得3D人脸
  2. sort命令详解及Nginx统计运用
  3. 前端学习(2020)vue之电商管理系统电商系统之完成商品添加操作
  4. leetcode - 712. 两个字符串的最小ASCII删除和
  5. 【直播间】移动互联网产品中如何用好HTML5?
  6. 微软开源用于大规模查找并修复漏洞的开发者工具 Project OneFuzz 框架
  7. 使用/调用 函数的时候, 前面加不加 对象或 this?
  8. 如何解决wampmysqld服务无法启动,错误id=1067
  9. java实例化对象的四种方式
  10. 计算机策略组无法打开怎么办,Win10系统gpedit.msc组策略打不开怎么解决
  11. 解决linux下 firefox 浏览器 视频无法播放问题
  12. ElasticSearch 图片搜索插件 (一)
  13. Redis核心技术笔记——Redis主从、主从从、切片集群
  14. react hook(基础详解)
  15. 自动化功能测试平台TestComplete的分布式测试教程(一)
  16. 大数据实战项目必备技能三:storm
  17. JAVA计算机毕业设计自习室预订系统Mybatis+系统+数据库+调试部署
  18. 祛除体内湿气的最佳方法 713.html,治疗湿气重的14种土方法
  19. go concurrent map writes map并发问题
  20. 创业遇到困难怎么解决,解决困难是创业成功的关键

热门文章

  1. 系统分析师真题2018试卷相关概念一
  2. 综述科普 | COVID-19的表观遗传调控机制
  3. Studio 3t 续命 studio3t.bat
  4. 你猜【哪个专业】毕业后就业最好?
  5. 智能化教师平台能做什么?
  6. 三年硕士五年博,霜染青丝纹上额
  7. 将公众号临时链接转永久链接的五种方法
  8. 《科学》封面文章AlphaCode的重大意义及其思考
  9. 电商中的sku模块在项目中的实际运用(vue2)
  10. 如何编写通达信数据接口l2与MACD有效结合的源码?