標籤:

是福還是禍?搜索服務商可查詢出所有被黑數據

01-27

想知道你的郵箱或個人隱私信息被黑了嗎?想知道你的企業網站被黑了嗎?想知道最近發生什麼大規模數據泄露事件嗎?有啥不知道的,找村長啊,不過小編可以很負責任的告訴你,這事村長還真不知道。

原因很簡單:

1. 因為這些數據很難被追蹤,n2. 信息泄露的事件正在變得越來越多。n

但是如果政府明令規定,企業要對泄露的事件負責而且還要通知到每個用戶,那我們才能了解到這方面的詳細情況,比如能讓用戶和組織了解其自身賬戶信息是否正處於被黑狀態,或哪些信息已完全被公開泄露。最基本的一點是,至少能幫助提醒用戶哪些密碼需要修改。

由於這些泄露的信息,並不像我們的身份證等社會身份信息那樣敏感,但這些信息,如果經過整合就會形成我們完整的行為定位,所以危害非常大,比如這些數據會涉及到人們和公司的財務細節、身份數據和商業秘密。

鑒於目前信息泄露的情況越來越嚴重,除了美國之外的許多國家,都要求把這些泄露的信息透明化,以方便用戶來採取必要的保護措施。其實將泄露的信息透明化,最大的實踐者還是企業,不過目前企業並沒有相關的利益驅動來這樣做,所以政府才要明文規定。不過,具有觀察力的創業者,已經從中看到了商機,比如像數據泄露索引服務公司LeakedSource和Have I Been Pwned這樣的專業搜索服務商。

LeakedSource主頁面

Have I Been Pwned主頁面

像LeakedSource和Have I Been Pwned這樣的工具就是要幫助我們保存這些丟失的信息,讓公司能夠查找的具體的泄露信息然後查缺補漏。LeakedSource有一個被稱為「數據泄露領域的Google搜索引擎」。2016年,在很多大規模databreach發生後,LeakedSource總會登上新聞頭條,如它對Myspace、Linkedin和FriendFinder的分析。

LeakedSource提供的服務

如今的互聯網時代,對個人、第三方網站和企業來說,數據永遠是最寶貴的信息,然而,每天都在發生的黑客攻擊和數據泄露事件嚴重程度遠遠超過人們的想像。作為個人和企業用戶來說,如何知曉自身數據是否和如何泄露,已成當務之急。LeakedSource就提供了這樣的服務:

1.普通註冊用戶,免費查詢個人或其它(他人)相關信息是否處於數據泄露狀態和泄露源;

2.普通註冊用戶,提交電子郵箱地址,獲取免費數據泄露提醒服務;

3.普通註冊用戶,購買泄露信息付費查看服務;

4.企業定製用戶,購買企業API介面付費提醒服務,供企業實時了解自身數據安全和數據泄露狀況。

企業定製API介面服務價格:

除了LeakedSource之外,今年「Have I Been Pwned」網站成立已經四年了,創始人Troy Hunt表示分享這些數據是為了研究人員做分析,不想給任何人帶來風險。由於擔心有人受到傷害,Hunt去掉了數據集中的三項敏感信息1.所有的個人身份信息;2.所有賬戶的域名;3.所有敏感的數據泄露信息。

Hunt表示,

現在,我正在構建一個平台,以快速整合未來數據泄露的信息,並讓可能受影響的用戶可以快速搜索這些信息,幫助用戶來應對未來的數據泄露事故。我們這麼做就是要強調那些信息泄露的公司要對他們的用戶負責,而不是通過媒體泛泛的表示公司的數據泄露了等不負責任的做法。

不過任何的新生事物,都有一個被懷疑的過程,對LeakedSource和Have I Been Pwned這樣的網站提供的服務和其引發的爭議主要體現在兩個方面:

1.利用已經泄露的信息進行獲利

Casaba安全首席科學家John Michener就表示:「LeakedSource基本上就是從泄露數據中獲利,我認為他們提供的服務就是幫助和煽動犯罪。人們知道泄露數據是非常有價值的,所以,如果LeakedSource真的是從公眾利益出發的話,他們可以只發送郵件給被泄賬戶說『嘿,我們發現你的信息已經被泄露了。』」

2.泄露信息的公布,讓企業面臨更多的攻擊

2016年8月,LeakedSource就報道過黑客利用vBulletin論壇中存在的多個SQL漏洞,對其發動了攻擊,並泄露了來自10多個網站中約2700萬用戶的個人信息。事後Mail.ru公司的發言人這樣說道:「在事件原因尚未水落石出之時,我們已經發現有大量的媒體在報道此事,使我們公司陷入到了輿論大眾口誅筆伐的漩渦之中,影響極其惡劣。」

3.為黑客提供了另一種獲取他人信息的渠道

這樣的查詢功能也同樣適用於查詢其他人的泄露信息,可以通過查詢出來的密碼信息對其他人的賬號進行登錄嘗試,可以通過查詢出來的其他個人相關信息,實施進一步的社會工程攻擊。在這種情況下,LeakedSource和Have I Been Pwned也確實為那些潛在的攻擊者創造了他人敏感信息的公開獲取渠道。在一些安全社區甚至有人認為,LeakedSource是在從泄露數據事件中獲利,這種提供泄露數據查詢的做法可能會引發其它更糟糕的信息安全問題。

總的來說,我們的信息安全是指望不上村長了,政府頂多就是出台個強制措施,所以像LeakedSource和Have I Been Pwned這樣的平台的特殊化服務在將來大家極其重視安全的年代一定很有發展前景。

註:本文參考來源於wired

推薦閱讀:

NO.21 波折的十二月-年終總結
網路安全入坑指南(授課版)
新型MacOS勒索軟體:正在偽裝成PS軟體傳播
GoSSIP 論文推薦(2017-06-19)
互聯網甲方公司和乙方公司安全工程師的薪資範圍大概是什麼樣的?

TAG:信息安全 |