昨天揭露的安森蓝十字保险公司(Anthem Blue Cross)大规模的数据泄露事件,是对我们在当今数字化环境下薄弱的个人信息安全的一个强有力的醒示。与此同时,我们每个人都应该意识到,当企业无可避免地需要使用和维护大型数据库时,黑客更容易从中提取数据并将之出售在黑市上,这会引起人们极大的担忧。
安森(Anthem)透露,他们在上周发现,一个“非常复杂的外部网络攻击”窃取了大约8千万人的个人资料。黑客窃走了该美国第二大健康保险公司员工以及现在和以前客户的名字,生日,医疗号,社会安全号,地址,电话号码,电子邮箱地址和收入信息。
虽然泄露并没有涉及信用卡资料,但是后果依然严重,因为安全专家认为失去的这些数据对于身份窃贼来说更有价值。不难想象,数以千万计的数据点引起了黑市网站的一系列活动,犯罪分子购买和出售盗取的记录,就像小孩子交易棒球卡一样。
目前,网络安全软件开发商Easy Solutions的安全专家注意到,众多黑市网站中的一家Validshop.su交易活动增加了,网络犯罪分子将窃取的数据卖给了真正使用这些数据的身份窃贼,通常以此换取无法追踪的比特币。
“消费者不仅仅应该持续监测自己的信用报告,而且要时刻警惕任何其他更隐蔽的身份欺诈,因为这些数据记录一旦流进了黑市,最终就会流到全球犯罪分子的手中,”网络安全软件开发商Easy Solutions首席技术官丹尼尔·英格瓦尔德森(Daniel Ingevaldson)在一篇博客文章中写道。
图中,被盗取的数据在一家黑市网站被挂牌出售
所幸的是,安森的医疗记录并没有成为这次泄露数据中的一部分。根据一家监控黑客地下交易的安全软件公司PhishLabs所述,医疗记录的价值大概是信用卡号价值的10倍之多。
每种类型的数据都在黑市中都有其自己的价格。安全软件厂商趋势科技(TrendMicro)是一家追踪在地下经济中被盗数据价值的公司,他们发现一个座机电话号码在中国黑市价值16美元但在巴西黑市价值却高达1930美元。俄罗斯网络犯罪分子会为每条个人电子邮件地址支付高达100美元,而这些信息在中国或巴西黑市却分文不值。根据网络安全软件开发商Easy Solutions的发现,社会安全号码和生日的组合价值范围在$1.50至3美元,这取决于他们是如何将这些信息组合打包出售(例如与邮政编码组合或者与年龄组合)。
失窃记录的黑市市场是很大的,而且它正变得越来越大。在2014年发表的题为“网络犯罪工具和失窃数据的市场-黑客的集市“的报告中,兰德集团揭露出以营利为目的的网络犯罪的黑幕。
“黑客市场曾一度是离散的,形式多样的,并且一开始只是在利己主义和名声的驱动下自发组成的网络,逐渐演变成为一个以经济为驱动的,高度组织化和复杂化的群体游乐场。在某些方面,黑市甚至比非法毒品贸易更加有利可图; 因为到终端用户的链接更直接,同时全球的分销都是通过电子来完成的,而完成这些的所需成本几乎可以忽略不计。”该公司写道。
网络犯罪分子现在更容易在暗处偷偷犯罪,这些都要感谢“暗网”的崛起(通过匿名工具,如TOR)和先进加密技术的日益普及。网络犯罪分子团体正在大力的开发和使用各种黑客工具,同样的,那些著名企业也致力于开发更加复杂的业务解决方案,以处理不断增长的数据量。
“从失窃记录和漏洞利用工具包到'订购窃取‘商品,例如知识产权和零日(通常为半天)漏洞,这些出售的信息和服务数量正在稳步增长,“兰德集团在报告中说。 “市场所提供的越来越多的服务模型,简单工具和网络教程使得它更加容易为技术新手所用。”
由于安森(Anthem)失去了大量的联系人的信息,安全专家警告说,安森的客户可能会被网络罪犯通过所谓“鱼叉式网络钓鱼”的诈骗方式联系,他们在试图提取更多有价值的信息。有了这么多的丢失的电子邮件地址,网络罪犯将很可能伪装成安森公司,并试图通过钓鱼网站骗取受害人透露更多的数据。这就是为什么安森公司已经决定,将只通过常用邮件联系用户。
安森的数据泄露只是过去的几年中众多的大数据泄露事件最新的一起:益百利( Experian)丢失200万条记录; 摩根大通(JPMorgan Chase)损失7600万条记录; 家得宝(HomeDepot)丢失5600万条; 塔吉(Target)丢失4000万至7000万条; 易趣(Ebay)丢失1.45亿条记录被盗; 以及奥多比(Adobe)失去3300万条。这里并没有算上索尼电影工作室在12月份那次臭名昭著的黑客攻击事件。另外,从2005年至2012年间持续不断的欺诈,导致了超过1亿6千万条记录从纳斯达克,JC Penney公司,7-Eleven便利店,Heartland服装公司,及其他公司中被窃取。
有了如此多数据泄露的案例,很可能你的数据也已经被泄露。 “身份盗窃战斗已经失败了,”蒙蒂 费德里(MontyFaidley),风险解决方案服务提供商律商联讯(LexisNexis)市场规划主任去年告诉Datanami。 “事实上,如果你看一下已经发生了的数据泄露事件,几乎每一个美国人的ID已经被暴露在外面的某个地方,并且是可供出售的。”
大数据的兴起已经引发了关于隐私权以及应该如何处理个人数据的激烈辩论。我们看到在很多案例中,即使隐私法得以实施,身份信息依然被泄露出去。但是,一旦犯罪分子将魔爪伸向这么多的数据,我们所有的成果都可能会付诸东流。
原文发布时间为:2015-02-22