所有網站用同一個賬號密碼？你的隱私信息可能已經暴露了_風聞

造就第436位講者 方興

全知科技CEO

現在大家的數據隱私，很多都在被竊取、被泄露，這些竊取數據的手段遠遠超出我們的認知，它們是如何獲得這些數據的？

有一個區域，無論是監管層面，還是網絡安全公司，都沒有給予應有的重視。所以我要講的是——不能被忽視的業務應用層的數據安全。

數據已成為獲得知識和情報的基礎原材料

為什麼數據變得這麼重要？實際上，我們需要重新理解數據的價值。

以前我們往往把數據看作一種信息的載體，所以談到數據安全，往往從信息數據載體的角度來談的。

但是我們認為，數據在未來不僅僅是信息的載體，在人工智能（AI）時代，數據已經變成了一種生產資料。

原來我們是基於信息，在信息之上獲得知識與情報。而現在，AI和大數據技術的本質都是通過模型獲得知識和情報。未來，數據將變成我們獲得知識和情報的最基礎的原材料。

實際上**“網絡黑灰產”**（網絡黑灰產，指的是電信詐騙、釣魚網站、木馬病毒、黑客勒索等利用網絡開展違法犯罪活動的行為。）來竊取我們的數據，很多時候也是把這些數據當做獲得重要知識和情報的手段，所以它要獲得一切與我們有關的數據。

第一個就是從外部着手，我們有很多暴露在外部的業務的系統，那它們就想辦法從這裏去獲得數據。

針對內部的系統，它可以通過收買內鬼，甚至植入一些定向木馬來獲取你的數據，然後再通過這些數據去分析、關聯你的隱私，最後形成很多關於你的重要信息。

平常你認為並不重要的數據，很可能會給你帶來致命的危險。

傳統用户ID無形中成為了“騙子的利器”

在電商行業有一個非常經典的詐騙場景，我們稱之為”新商家保證金詐騙”。

現在大家都可以開設電商賬户，比如在各個平台上面賣貨，如果你是一個新商家，那你可能對平台的規則不是很瞭解。

在電商當中，有一個典型的規則叫庫存規則，就是説你上架聲明只有十件貨，如果這十件貨已經被賣完了，再有客户來買你的第十一件貨，你可能就賣不出去了，因為平台認為你的貨已經賣完，沒辦法再給用户交付。

但很多新商家不知道這個規則，那騙子就會用這個方式來詐騙。

如果騙子能識別你是新商家，他就會把你的十件貨全拍完，不付款。然後再來偽裝成一個用户去拍你的第十一件貨，這時候這件貨就賣不出去。

騙子就找到你的聯繫方式向你投訴——你看，你的店鋪等級太低了，已經被電商平台封掉了，所以你賣不出去貨。

這時候這個商家就會很着急，騙子再偽裝成電商的客服人員去詐騙這個商家説——你的店鋪等級太低，給我交5000塊錢保證金，我們就可以提升你的等級。

這邊騙子偽裝成的用户在催，另一邊騙子偽裝成的電商客服又在壓 ，很多新商家由於不明就裏，有很大的概率會上當受騙。

這種騙局的關鍵在於能否精準識別出新商家，如果不能識別，那他詐騙成功的概率就非常低，騙子要騙很多人才碰到一個新商家，對他來説就無利可圖。但是如果能準確識別，新商家的受騙率可能會高達20%以上。

這當中與數據安全有什麼關係呢？

我們以前給用户生成用户ID，99%以上的系統都是用數據庫遞增字段，12345遞增上去，以保證ID不會重複。

那這樣會導致一個什麼問題呢？黑灰產只要爬到系統最後的一個用户ID，然後不斷地去試探是否生成了一個新ID，就知道這是一個新的商家進來，然後就流水線地開騙，詐騙成功概率就非常高。

我們想過沒有，一個用户的ID數據，特別是帶有交易的場景，會給用户帶來非常大的風險？

用户評價

很多時候你會發現，你認為不重要的數據到了黑灰產手上，可能就會變成它的橋數據。在電商平台上面都有一個基本的功能，就是允許購買者去評論商家貨物的好壞。但是這個評論就暴露了用户的購買關係。

對騙子來説呢，他就可以偽裝成商家客服人員，以幫助解決商品問題為名實施詐騙。當時我們對用户名做了很多保護，比如打星號做脱敏，但在真正的對抗當中就發現，騙子很多時候還是能把真實的用户給關聯起來。

為什麼？因為騙子之前就把很多與用户屬性相關的數據爬走了，比如説頭像、地域信息等等，他們把這些數據相互一關聯，還是能把這個人找出來。這時候想要去保護用户的數據就非常困難了。

當你有業務數據在系統上透出的時候，你的訪問流量裏有大量都是來自爬蟲。網上有一個關於互聯網真實流量的笑話——我們所有的流量當中60%是來自爬蟲，還有30%是社羣，剩下10%才是真正的業務流量。

黑灰產會用爬蟲去爬走所有能夠刺探到的數據。以前打掉的一些黑灰產團隊，手上掌握着的數據量極其驚人，有數百億條個人隱私數據。

其核心手段就是爬取數據，然後對它進行關聯，再精準識別到每一個人的身上去。

不需要黑客攻擊，插上U盤就能植入木馬

第二種方式就是應用的桌面端植入木馬，這是很多業內人都不知道的手段。

很多的商業系統都有自己的應用客户端，比如説我們去酒店住店，他們有住店系統，這些都是商家為自己的業務獨立開發的一套系統軟件。黑灰產就會開發只針對這個特定應用的系統軟件的木馬，這個木馬只篡改這個應用系統的模塊。

因為這個業務應用系統軟件是商家專有的，只有數千主機的部署量，所有殺毒軟件都無法識別這個應用的被篡改，到底是屬於正常軟件升級還是被植入了木馬。所以説他們專門做這種定向性非常強的木馬。

做完這個木馬之後怎麼植入呢？不是我們想象的利用漏洞等對抗手段，不需要，直接派人去現場，通過應聘等方式混進去。

如果企業管理不善，只要趁機把USB硬盤插進某台電腦，就把木馬植入了，再用它竊取大量的數據。

我們以前跟這樣的木馬做了非常艱難的對抗，很多大型的商業應用都有被專門針對的木馬。一些互聯網企業在安全上投入非常大，也有專業的技術能力去跟黑灰產對抗，但是其他企業，比如酒店的應用，根本就沒有能力保護自己的數據不被這種手段所竊取。

個人終端失控、離職員工、內鬼是極大威脅

再就是合作伙伴、離職員工的濫用。在企業內部管理過程中，尤其是有數據合作的情況下，進行數據安全管理是非常的困難的。

比如説某金融企業有很多徵信數據會提供給合作伙伴來調用，這是一個共享賬號，但是合作伙伴裏面又有很多人、很多部門使用這些數據。後來有一個人離職了，但是企業這邊不會因為一個員工的離職而修改賬號密碼，這在管理上很難做到。

這個離職員工知道徵信數據非常值錢，他就投身了黑灰產，利用這個賬號密碼大量竊取涉密的個人徵信數據，然後再拿到市場上進行倒賣。

電商領域裏的很多數據泄露，就是通過收買內部人員，尤其是收買客服人員來實現的。

因為客服人員在電商領域中屬於工資非常低的，而在黑市，一條五分鐘之內的個人訂單熱數據可以賣到十六塊錢。因為五分鐘之內最容易騙你，對吧？

你剛下了一個單，電話就打過來，説你在我這裏買了一個什麼東西，這種情況下最容易被騙。

這對掌握了這些訂單數據的客服人員是多麼大的一個誘惑啊。他們一天接觸幾百個人，如果賣出這些數據，比他一個月的工資都高。

針對一些不懂技術的員工，黑灰產會從他們手裏收買賬號cookie，拿到了cookie就可以用這個員工的賬號遠程登錄系統，去獲取大量的數據。

一個cookie賬號，在黑市上能賣兩三萬塊錢！就是這些手段導致大量的個人隱私數據被竊取。

還有個人終端失控，這個在企業中更難以管理。現在我們很多數據通過手機就可以查看到，但是並不能保證每次都是你的員工在訪問。

我們有一個案例，一個員工的女朋友是做獵頭的，當他回家之後，女朋友讓他洗澡，然後他的女朋友就用他的手機去訪問大量內部人員的通訊錄數據，再把這些數據倒賣給獵頭公司，或者是幫助競對公司定向挖人來獲取利益。

所以我們可以看到，在應用層面存在着非常多的數據風險點，大多數的數據泄露都是發生在應用層，但實際上無論是企業，還是監管層，甚至是網絡安全公司，都很少注意到這一塊。互聯網公司已經開始認識到這個問題，現在也越來越重視。

面對無孔不入的黑灰產，我們該如何防禦？

怎麼解決這些問題？

目前主要的一些方案，一個就要對所有涉及到有數據接口的數據進行管控。

到底數據在哪裏暴露？你在應用層上有哪些接口？有哪些數據的透出？全部梳理起來，這樣就能很好的去識別風險。還有第三方的後門，我沒有這個接口，為什麼出現了這個接口，去找到它的風險。

另一個就是要管理，剛才説到很多竊取數據的方式是把你所有的數據，所有你認為沒關係的數據都搞到手。

但是在外部的應用當中有一個很大的問題，就是我們迭代太快了——A版本可能有三十個接口，B版本有三十五個接口，然後A版本當中有二十個沒用了，但這二十個沒人管，就放在這上面。

對於黑灰產來説這都是它獲取數據的一個途徑，所以要監控失活的接口，哪些接口已經沒什麼人用了，就要及時地把它給下線掉，控制這樣的數據暴露點，避免被黑產大量的去獲取。

再有就是流向的風險。就你的數據到底都往哪裏流了，是不是都流到了你希望它去的地方？是不是流向了正確的地點？數據流向的這個主機是不是一個正常的主機？

比如説我們在一個銀行發現，大量數據留向了一台機器，後來發現它是一台打印機。當然，不是説這些數據流向打印機是不對的，但是這台打印機明顯就是一個風險，它放在一個公開的場合，沒有任何人對它進行控制和管理。

但通過監控數據的流向，就可以看到重要的數據都去到哪裏，該去的地方是不是對的，是不是採取了相應的保護措施，才能更好地保護相關的數據。

第三就是對數據流動異常、大批量的拉數據、爬蟲等風險進行及時的感知，對它進行控制。

我們以前對抗爬蟲的很多手段現在越來越難了，大家原來認為爬蟲不就是多用了幾個IP，把IP封了就好了。但現在專業的爬蟲會走移動的3G、4G網絡，因為3G、4G的網關後面基本上帶着一個區域幾十萬人的上網端口，他們都用同一個IP，你去封那個IP，可能會誤殺掉很多正常的用户。

更專業的爬蟲甚至會做一個SDK（軟件開發工具包），誰用這個帶爬蟲的SDK，每個月就能得到五十塊錢——用這種辦法吸引一大幫正常用户裝它。當你想要封掉它的時候，就有一堆真實的用户對你進行反彈。

如果爬蟲只針對一個專業的接口，你很難在海量的流量當中將它識別出來。這個時候就要對每個接口的流量進行精細化的識別，才能知道它在爬我這個接口，我該怎樣處理它，因為只針對接口封IP,就可以把對正常用户的影響給降下來。

我們更要知道它為什麼要爬我這個數據。這樣你才會知道數據真正的風險在哪裏，你才能對它進行有效的對抗和保護。

現在很多公司的用户ID數據不再用遞增的方式去生成，而是全部用隨機化生成，通過這種方式對用户進行隱私的保護。還要對人員的行為和合作夥伴的行為進行比較強的審計。

個人用户要對自己的賬號進行管理，重要的地方都要用不同的密碼，避免一個地方的數據、賬密丟失之後，導致你在互聯網上所有系統的數據都被暴露出去。

最後，要去做很多的溯源，這是企業內部要做的事情。通過把所有的最關鍵的數據行為追蹤和記錄下來，這樣就可以做到當發生數據泄露事件時，在一天之內就能定位到可能是誰以及在什麼地方把這個數據泄露了。

互動話題：

你在什麼時候發現自己的數據泄露了？