几年前,我提交了一个破绽:几百万机票火车票订单用户名明文明码泄露。
邮箱,用户身份证,姓名,明码,手机号等重要字段都能够间接明文读取,过后是利用 mongodb 数据库的未受权拜访脚本,稍加批改,批量扫描后发现的破绽,有国内多家科技媒体跟进报道,搞的我压力也很大,因为数据没有泄露,只是存在破绽被我提交到 360。
这种就属于未能遵循简略根底的平安准则,锅能够由商家背。
但很多状况,锅不能简略的由商家背。因为这个世界不存在没有破绽的零碎,很多根底的开源的协定或者软件自身存在着大量的破绽,在没有被发现之前,它们被认为是平安的。但一旦被发现有破绽,影响微小。
比方之前广为人知的 openssl 心脏出血破绽(OpenSSL 心脏出血破绽全回顾),这个破绽使攻击者可能从内存中读取多达 64KB 的数据,而 openssl 作为安全套接层协定 ssl 的开源实现,在各大网银、在线领取、电商网站、门户网站、电子邮件服务等重要网站上被宽泛应用。
这种状况下,锅由谁来背很难界定,因为没人能保障本人开发的程序没有破绽。
个人信息的泄露在明天曾经重大到了什么境地?
大多数大家感觉足够信赖的网站,可能曾经被攻破,相干信息在暗网 deepweb 上被明码标价发售比方这里是 Linkedin 晚期泄露的数据,在暗网上最早被明码标价 5 个比特币:
这是另外一个出名博客网站 Tumblr 的数据,发售价格为 0.188 比特币:
在比方之前很炽热的美国大选所有 50 个州的投票数据,对你没看错,是全美 50 个州。。。被标价 12 个比特币(当初晓得比特币最大用途了吧,o(╯□╰)o)
从暗网买家展现的数据截图来看,蕴含的信息很丰盛,地址,电话,性别等等:
一些私密小圈子的特务木马软件源码,蕴含 ios, 安卓,wp, 黑莓平台, 过后标价 12 比特币。
很多数据最后从暗网上被标价后,进而缓缓被一些个人开释到互联网上,这两头的工夫距离可能长达数月甚至数年。所以我是不信赖网站单方面的承诺的,因为这种承诺自身就很软弱。
对普通人的生存有多大的影响?如何防护?
简略说,可轻可重。如果落入欺骗团伙手里,就重一些,但如果本人足够警惕有根本的防护意识,那也没事,如果落入采购人员手里,根本也没太大关系,无非就是多几条骚扰广告短信。怕就怕本人没有根本防护意识的同时还落入欺骗团伙手里,那就有点晦气了。所以日常有一点防护意识还是很重要的。
简略举几个比拟宽泛的欺骗例子:
1、精准机票退改签短信欺骗
曾女士的手机上收到了前两天购买的从贵阳到三亚的航班勾销短信。短信内容不仅具体说出本人的姓名,且航班信息也准确无误,曾女士便认为是航空公司发来的短信,随即拨打了短信中的电话进行改签。通过“客服”的领导,曾女士在 ATM 取款机上被骗走了 29500 元钱。
2. 精准淘宝订单退款欺骗
小丁说,前两天,在淘宝商城一家店看中了一件短裤,价值 39.2 元,下了订单后不到 20 分钟,她接到一个福建的电话,对方自称是淘宝该店阿里旺旺的客服:
“丁××您好,您是不是今天下午 6 点半买了一件 39.2 元的短裤?因为支付宝系统升级,您提交的订单异样,资金被解冻,所以须要您从新登录并确认购买,并且临时不要登录淘宝和阿里旺旺,您登录 QQ 吧,我教您怎么操作。”
接到电话后,小丁说对方晓得她的姓名和电话,所说的信息都很精确,所以她就信以为真。
登录 QQ 并加为好友后,“客服”又说了一系列教小丁同学怎么操作的话,因为焦急去上自习,小丁也不分明“客服”讲的那些怎么操作。此时,“客服”说帮小丁用 QQ 近程操作,可没想到最初“客服”在骗取她的钱财。
在小丁的电脑被近程管制后,“客服”又让她输出支付宝账户动静明码,以确认领取。输出后“客服”又让小丁确认账户有多少金额,她说本人卡上有六七百元钱。退出近程管制,小丁看到确认领取界面上显示已领取 -0.01 元,她认为领取谬误就从新领取了。
与此同时,她的手机收到了短信提醒,账户被扣了 627 元。因为急着去上课,小丁关了电脑连忙去教室,也没有留神到手机上的信息。早晨九点半下自习后,小丁在认真看完信息后感到事件不妙。给购物的网店打电话询问,网店客服人员通知她没有这件事件。
具体分析:上述两种其实都是相似的手法,通过截取到的用户订单信息,取得用户信赖后施行欺骗,这里用户订单信息获取形式,很多是利用系统漏洞,也有局部是伙同公司外部员工获取。
对普通用户来说,核实发短信和打电话是否是官网电话尤为重要,此外须要杜绝来到平台的交易,比方来到淘宝自有退款流程,不走支付宝进行退款 QQ 李鬼欺骗 QQ 被盗号了?
【网络安全技术文档】
更大的骗局还在前面!
广东省公安厅通报,近日在全省公安机关“3+2”专项打击口头中,破获全国最大的 QQ 欺骗团体案,先盗 QQ 号长期监控,后假冒老总要求转款,深圳某股份公司财务李某被骗走 3505 万元。目前警方已刑拘疑犯 39 人,冻结资金 4800 余万元。据理解,该案是目前全国 QQ 欺骗涉案金额最大的一宗案,也是解冻款项最大的诈骗案。
具体分析:这种很多是模拟指标 qq,从头像到签名到说说,利用其余社工数据对指标 qq 进行踩点剖析,进而施行欺骗。总之,大家须要有一些根本防护意识,这样就很难被骗,也不须要过于放心。