我的隱私隻能賣一分錢 因為它泄露太多次


一個大洋彼岸的美國人被捕,你也脫不幹系。2023年3月15日,康納·佈萊恩·菲茲帕特裡克(ConorBrianFitzpatrick)在紐約被FBI逮捕。年僅21歲的他,運營著世界上最大的黑客論壇BreachForums。

黑客們聚集於此,販賣手頭來路各異的數據。2022 年 7 月,就有一名黑客 ChinaDan 在 BreachForums 上聲稱,自己取得近 10 億個人資料,並以 10 比特幣(當時約合 140 萬元人民幣)的價格出售。

這些數據包含近 10 億公民的姓名、地址、出生地、身份證號碼、手機號碼等關鍵的個人隱私信息。

不同化名的人在下方跟帖,討論著數據的新鮮程度,是否包含人臉信息,還有人要求發帖者提供樣本,以驗證數據是否真實。

這其中,會不會有你的數據?

黑客都是怎麼賣信息的?

通常,黑客成功盜取你的信息後的第一步(後面會講他們是如何盜取的),是清點其中有價值的數據,包括姓名、電話號碼、住址、身份證、財務信息等,並將它們錄入到數據庫中。

他們首先會私下交易這些數據。當線下交易到達瓶頸時,就會在黑客論壇上發佈,尋找更多買傢。

通過搜索引擎,你可以很輕松地進入類似 BreachForums 這樣的公開黑客論壇——是的,它就擺在明面上任由每個人進入(但目前 BreachForums 已關停)。也有一些更隱蔽的入口,比如所謂的暗網,需要通過洋蔥瀏覽器這類匿名工具才能進入。


互聯網多得是你還不知道的地方|wikimedia commons

為保證交易的公平,菲茲帕特裡克制定一整套交易規則,例如不能出售本來就公開的數據庫;必須說明數據的來源是買來的還是自己盜取的;必須提供至少十個明文樣本——即使在黑客論壇這種地下交易中,錢貨兩訖、買賣公平的原則也是不變的。

在任何國傢,大規模偷取公民信息並轉賣的行為都是違法的。這也是為什麼論壇上的大部分交易都使用比特幣來結算的原因——雖然比特幣的所有交易記錄都是透明的,但你隻能知道某個地址的交易情況,而不知道地址背後的人是誰。同時,一個人還能擁有很多地址。

數據都是怎麼定價的?

整體而言,個人信息越完整,價格也就越高——畢竟後續買傢實施詐騙也就更方便。

比如黑客 ChinaDan 後續又賣一次數據,這次它將數據分為公民數據、交易記錄數據等不同的數據庫,獲取全部數據庫的價格為 9 萬美元,其中公民數據庫的單獨標價是 7.5 萬美元。

後來這個數據庫更新個人電話號碼信息,打包價格漲到 14 萬美元。


非法數據交易還能促銷|網頁截圖

非法數據的定價也遵循供需關系的原則。2015 年,由於美國大量的個人信息被盜,每個公民的信息價格從 4 美元降到 1 美元。當一個數據庫賣得足夠多時,它就無限趨近於免費,因為隨手就可以通過搜索引擎獲得。


2005-2020,美國數據泄漏和曝光記錄統計|PBS

買賣還遵循“嫌貧愛富”的原則。通過地理位置、網購記錄、銀行賬戶等信息,可大致描繪出一個用戶畫像,其中越富裕的用戶能夠榨取的利益越多。根據安全公司 Armor 2019 年的的黑市調查報告,美國地區的數據為 30-40 美元/人,意大利為 20-25 美元/人,而墨西哥僅為 15-20 美元/人。


亞洲地區的數據也便宜|Armor 2019

買傢都拿這些數據幹嘛?

有賣傢自然就有買傢。在數據黑市交易中,買傢通常會拿這些信息進行電信網絡詐騙,例如“購物退款”、冒充“公檢法”、“交通違章提醒”等。由於買傢已經掌握你的很多基本信息,這類詐騙會顯得相當可信。

一些註冊備案的正規公司也是泄漏信息的買傢。由於通過正規渠道打廣告獲客成本相對較高,黑市的數據交易可以有效降低成本。根據《證券時報》2021 年的報道,百度競價排名的獲客成本在 60-80 元/人左右,而通過地下黑市購買用戶數據,可以將這個成本縮減十分之一。

此外,很多買傢會進行所謂的“撞庫攻擊”:拿 A 網站的帳號密碼,去 B 網站上嘗試登陸。很多用戶喜歡在不同的平臺使用統一的帳號密碼,所以往往一個網站的信息泄漏會暴露用戶的整個網絡。

還有一種廣撒網的方式。最典型的例子就是尼日利亞王子詐騙短信。騙子會謊稱自己是迪拜/尼日利亞/各種國傢的王子,因為政變或者其他原因,他的巨額銀行賬戶被凍結。隻要你匯款幾百美元給他解凍賬戶,他會給你巨額賬戶金額中的相當一部分作為報答。


回復郵件,贏千萬巨款|Wikipedia

這種騙術看起來非常低劣,但正好可以幫騙子篩選出連這類信息的真假都分辨不出來的目標客戶。而且這些郵件往往都是群發的——隻要基數足夠大,就一定會有上當的人。

黑客都是怎麼偷取這些信息的?

在準備對策之前,你需要先知道自己的信息是如何泄漏的。

一種常見的手段是暴力破解。假設一個密碼隻有四位數,那黑客最多隻要試 9999 次,就一定能找到正確的那個。這聽起來是一種非常低效的破解方式,但以網民們對自己密碼的不上心程度,黑客們可能真的在偷笑。

根據密碼管理工具 NordPass 公佈的名單,2022 年互聯網上最常用的密碼還是“password”,而排名第二位和第三位的分別是“123456”和“123456789”。不到一秒鐘,黑客就能破解這些密碼。在全世界最常見的 20 個密碼中,有 18 個都可以在一秒鐘之內被破解。


2022年最常用的10個密碼|HelpNetSecurity

如果使用這些密碼的是個人用戶還好說,倘若連管理員的密碼都如此草率的話,後果不堪設想。例如 22 端口常用於 Linux 系統的 SSH 遠程連接服務,黑客可以通過它連接到服務器。如果管理員的密碼設置得很簡單,黑客便可以輕松破解管理員賬戶,直接遠程登錄服務器,獲得和管理員相同的權限。

實際上,API 接口數據泄漏是近年來數據泄露最嚴重的方式。正常情況下,網頁或者 app 可以通過對應的 API 接口調取數據。但由於接口常暴露於公網(WAN),若管理員沒有對請求 API 接口的數據作出限制,就會導致一些數據越界請求。例如 A 向服務器請求用戶的電話號碼,但服務器不但返回電話號碼,還返回身份證號碼、傢庭住址等敏感信息。

因為這類請求種沒有任何攻擊語句,所以很難被發現。

騰訊安全把在黑客事件中出現頻率比較高的端口劃分為高危端口。根據 2018 年的數據,在 3000 多個抽樣的 Web 服務器中,開放中的高危端口仍占比 36%。

另外一種常見的攻擊方式是低技術的社會工程學騙局,最典型的例子就是偽裝成熟人,誘騙你進入指定頁面下載惡意程序,或是輸入賬戶密碼等信息。還有一些人習慣把比特幣的密鑰貼在鍵盤後面。這個時候,都不需要黑客出馬,一個小偷就可以讓你欲哭無淚。

如果你疑心自己的信息是否已經被泄漏的話,可以到 haveibeenpwned.com 查看一下。

我的 500px 和京東賬戶就泄漏。


一些危險|網頁截圖

保護好你自己

其實數據是可以被合法交易的,它被稱為數字時代的生產要素,合理的利用能產生巨大價值。目前,中國已經先後在貴州、北京、上海等城市設立大數據交易所。

在正規交易中,所有數據都經過脫敏處理,無法反向追溯到個人。

而面對防不勝防的非法侵入,首先能保護自己的,還是設定一個“好”密碼。


為規避弱密碼的風險,安全專傢通常建議用戶使用包含大小寫字母、數字和特殊字符的復雜密碼,並且越長越好。

隨著密碼長度的增加,這些字符的組合方式會以指數級別增加。例如,一臺每秒可以運算 3500 億次的計算機,破解一個 6 位密碼隻需要 4.08 秒;7 位密碼隻需 6.47 分鐘;8 位密碼需要 10.24 小時;9 位密碼需要 40.53 天;10 位密碼就需要 10.55 年。

而 macOS 內置的密碼管理器,默認生成 20 位的強密碼,例如“guhxig-mugca4-tydDon”。暴力破解這個密碼所需要的時間,可能比人類的文明史還要長。

如果你使用 Chrome 瀏覽器的密碼管理器的話,它還會提醒你有哪些密碼已經被泄漏。


我泄漏的密碼|作者提供

無論如何,牢記密碼安全三原則總是沒錯:

1、使用包含字母、數字和符號的復雜密碼

2、避免多賬號使用同一密碼

3、定期更換密碼

好,我要趕緊去修改我泄露賬戶的密碼。


相關推薦

2023-11-26

同一個工廠出來的產品,品控和細節可能也不一樣。目前我的做法是,想買某個平替時,搜一些避雷的帖子,或者找有運費險的買回來試。但我盡量還是不上這些平替的當,直接買物美價廉的東西,或者攢錢買正價的大牌。物廉

2022-06-28

,名為Stardust,在它向用戶作出承諾時,還沒有實施其新的隱私保護措施。Apptopia說,由於其聲稱的結果,Stardust在上周末的日平均下載量增加瞭6000%之多。這傢在經期跟蹤市場上相對較新的公司通過宣傳自己是一個由女性領導的

2024-01-10

的可持續發展,我們有責任、有義務把投資者和股東的每一分錢用好。2024年,我們要堅決避免無效和低效的投入,堅決省下不給用戶和公司創造價值的每一分錢;省下每一度不需要用的電,省下每一張不需要的文件打印,不浪

2022-08-25

谷歌在歐洲面臨新的隱私投訴,因為它在Gmail電子郵件服務中以電子郵件的名義插入廣告。隱私保護組織noyb向法國數據保護監督機構CNIL提出投訴,稱這傢廣告技術巨頭違反歐盟關於直接營銷的ePrivacyDirective規則,沒有獲得Gmail用

2023-07-13

有目標,想賺錢,就得比別人付出更多的努力,不付出哪有回報。”這是餓麼明星跑單王馮旭紅,多年外賣員工作生涯的深刻體會。據報道,憑借著不浪費一分一秒的精神,福州女子馮旭紅成為餓麼2022年全國跑單王。據數據顯

2023-11-07

一共虧掉30 億。而真金白銀換來的,卻是一年隻能賣千把輛車,營銷費用平攤到每臺車上高達71萬。難怪有網友開玩笑稱:還不如放棄營銷,把售價砍一半,甚至能少虧點。在大會上,這位身居高位的李哲歐巴還炮轟員

2023-06-27

近日,俞敏洪在直播中表示,世界上有60-70%的人不喜歡自己的工作,大部分人一輩子工作隻是為維持生計,這樣的工作十分枯燥乏味而且辛苦。因此,他強調無論工資高低,都應該找到自己喜歡的工作,這樣才能讓生活更加有意

2022-11-16

天向足球迷發出警示:卡塔爾的世界杯應用程序帶來巨大的隱私風險,所以不要下載和安裝它們。歐洲各國的數據保護監管機構一直在連續警告卡塔爾的世界杯應用程序給遊客帶來的風險,德國的數據保護專員是最新的一位。在

2024-07-03

快科技7月3日消息,據媒體報道,蘋果已獲得OpenAI董事會的觀察員席位,與微軟並列。根據上月宣佈的協議,蘋果應用商店App Store的負責人Phil Schiller將擔任OpenAI董事會的觀察員。盡管他不擔任正式董事,這一職位仍將使蘋果能夠

2022-07-06

碼將會失效。對於用戶來說,該功能的加入有效確保自身的隱私安全性,不用再擔心自己的手機號碼等隱私信息因為一份訂單而泄露,招致廣告騷擾。而對於商傢來說,該功能也確保訂單交易期間能夠與顧客保持聯系,不會出現

2022-12-23

知道這一計劃,並給予批準。在追捕泄密者的過程中發生的隱私入侵,影響三名曾為BuzzFeed新聞工作的福佈斯記者,以及一名金融時報記者和一小群據說與目標記者有某種聯系的人。一些員工因數據訪問而被解雇,包括一名在中

2022-08-13

歐盟的隱私保護法《通用數據保護條例》(GDPR)今年迎來六周年。然而多年來,美國全面的數據隱私立法一直停留在國會的待辦事項清單上。最近,美國國會推出的《美國數據隱私和保護法案》(ADPPA),仍舊存在許多分歧。美

2022-07-05

“谷歌所謂的隱私保護計劃,就像很多人的減肥計劃一樣,隻是說說而已。”這是在谷歌推出“隱私沙盒”後,《華爾街日報》做出的評論。但凡事都有例外,當社會沖突裹挾著洶湧民意時,谷歌舉起隱私保護的大旗。7月2日,

2022-08-29

一圖看懂,內容如下:換言之,AMD真的如之前爆料所言,一分錢沒漲。可供參考的是,5950X發售價是國行6049元(海外799美元),5900X是4099元(549美元),銳龍55600X是2129元(299美元)。不同的是,這次7800X似乎首發缺席,所以7700X