不是危言耸听 不到1000元你的所有隐私都能随便查

靖西网淹不死的小鱼 2017-12-12

[size=; font-size: 1.9rem,1.9rem]“先生,需要贷款吗?”“不需要,谢谢。”

人们对隐私的宽泛程度一直随着时代和科技发展的推移而改变。在你多年前接到第一个骚扰电话的时候,你惊慌失措的想这人是怎么知道我电话的?!

电话号码泄露就算隐私受到了严重侵犯。而到了现在,你已经可以在对方一开嗓之后,淡淡地说一句「不需要,谢谢」礼貌地挂掉电话。可见人们关于隐私泄露的容忍是一直在变化的。

在大数据时代,到底什么才算是最重要的隐私呢?

如果你获取了一批网站访问数据,并且知道了当时使用 IP 的人,把访问数据和这个人连接起来,这时候这些数据就变得非常敏感,这些数据和链接关系就成为了现在重要的隐私。

今年 ISC 周鸿祎先生表示,人是网络安全中最重要的因素,网络安全是一种需要大量专业技术人员的智力密集型服务。

网络安全不是购买并部署一批网络安全设备,堆砌一些产品和技术就能防得住的,还需要大量专业的安全人员来做分析、研判、响应和处置。

我非常赞同周鸿祎先生的观点,人是最不安全的因素、最薄弱的环节,有时候,入侵只需要找你的员工问几件事情就能搞定。在混乱的互联网上,隐私失控几乎是轻而易举的事。

下面我们具体来谈谈数据安全的三个需求:

验证(authentication)

数据完整性(dataintegrity)

数据机密性(data confidentiality)

在现实生活中,信息交换是必须的,数据机密性怎么讲呢?

最简单的一个例子,比如你要发邮件给你的同事,但是首先从你的 PC 发出到你同事的邮箱里,中间经过了若干个邮件服务器于网络层,那么中间设备是否为可控的呢?

假设他是可控的,中间设备的控制者如果愿意,均能查看你的邮件内容。不加密的通信好比是闭着眼睛裸奔,你以为别人看不到你,其实很多人在一路围观。

关于数据库完整性可能这个理解比较困难,回到这个邮件问题,你给同事发了一封邮件,邮件内容是告诉他「我们明天 XXX 火锅在哪里吃个饭碰个头」。

假设邮件服务器的管理员拥有「可视」和「可控」权限,他把你的内容改成「在 XXX 咖啡店碰头」后重新转发一次。

中间这段是发件人你看不到的,因为你无法知道是否被篡改,邮件的接收人也无法确定这封邮件内容是真是假。

把机密性和完整性连在一起想比较容易理解哦~

什么叫数据的验证性呢?换种说法就是角色的身份认证,继续用上面的邮件举例,在你的这封邮件途中,管理员觉得直接改你的邮件内容不刺激,于是决定伪装你给另外一个人发邮件,邮件想怎么写就怎么写喽。

我们也可以把它称为不可否定性。不可否认性又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。

有许多种形式的不可否认性服务。在这些服务形式中,与数据传输有关的不可否认性服务是经常考虑的因素。

传输消息至少涉及两个实体,分别称为原发者和接收者。涉及这类事件的潜在纠纷主要有两类:

一类是卷入该事件的原发者受到怀疑,如被指控的原发者声称消息被接收者伪造,或者被伪装的攻击者伪造;

另一类是卷入该事件的接收者受到怀疑,例如,被指控的接收者声称消息没有发送,或者在传输中丢失,或者仅被伪装的攻击者接收。

所以,解决数据安全的钥匙和着手点就是数据安全的三种需求。

首先来讲,我们现在是大数据时代,各种数据纵横交错成一串串字符的翻转,构成了我们现在的信息社会。

从某些贷款平台来讲,针对一些学生放贷平台来说你去借他们的钱,注册好之后填写你的学籍信息,身份证号码,绑定手机,认证支付宝,各种数据交互就能清楚的勾画出你的个人画像,上面写满的是你能贷多少钱。

但是如果黑产利用是个什么样的概念?我听说借几千几百元需要填写如此多的信息,还要面临比支付宝借呗还高的利息时就很恐慌,如此轻易的出卖自己的信息真的值得吗?

我在半年前好像对某家学生贷的公司进行了安全测试,说句实话属实不堪一击。

烂到了什么程度呢?我甚至直接可以读取该厂商所有贷款学生的家里联系人,手持身份证,学生证,身份证照片等,全站数据不过是随手扒拉一下的事情。

没图,也没存档,目前那家放贷公司已经跑路。手里倒是还有个卖飞机票的系统的也存在个人数据泄密这种情况。(上帝说,要有图,于是图有了)

存在逻辑漏洞可越权查询订单身份证机票等信息。这种大事都能出问题,你说我们还能放心谁呢?

由此可见,绿锁也不是那么安全,安全问题出在自身。出于安全保护,已经打上了马赛克。

在9月份发布的新网络安全法之前,只要有人付钱,开房记录名下资产乘坐航班甚至网吧上网记录都能被轻易查到,只要付出不到一千的价格,你就能获得这些。

很恐怖,但是个真实的故事。

生活在大数据时代,信息泄露对日常事务造成的影响,可能给我们生活的方方面面带来困扰。

信息的共享让我们随时随地可能处在被窥视、被关注、被轰炸的境地。以入住酒店为例,对消费需求特征的分析使人们变得近乎透明,试想如果相关数据遭到泄露,酒店住客就将变成“透明人”。

酒店数据并不安全,要相信任何东西都有它的破绽,实际上酒店数据被爆还不少。

我们用事实讲话,我手里的这一份 csv 表是在某年某知名酒店被入侵后的脱裤事件,涉及到每个人的入住信息,后被黑客曝光到网上提供下载,还被好心人制成了查询工具。

足足3.8G 的明文数据。

最后,思考清楚怎么做到损失最小最好,因为不可能在网络上裸奔,重要信息能不填就不填,我把我的信息和资产都放在马云爸爸那里,但我属实放心他们啊……

总结:防范个人信息泄露小细节

浏览53983 / 回复1
举报内容

竖线全部回复

2017-12-13
现在的骗子手段太高明
回复
1
返回 [发帖] 发回复:评论……

+
提交评论