安全预警

正文

数据裸奔,密码保护不了你的信息?

0x01 基于场景与数据参照一览表

1 2 3
4 5

 

0x02 基于数据的生命周期泄露图

6

1、数据的生产

1)劫持,在访问应用系统时,如X信、某陌、某密等,通信数据被映射会被劫持,未加密传输,从而在数据传输时造成信息泄露;

2)内鬼,在信息系统建设时,外包或内部员工在代码中留有后门或漏洞,从而使数据泄露。

2、数据的使用

1)越权,信息系统没有经过充分的安全检查或安全测试,造成水平权限或垂直权限未过滤,从而造成未授权可以访问系统其他用户的数据,造成用户数据泄露;

2)滥用,内部维护系统员工访问其业务范围以外的数据及敏感信息,从而造成部分用户信息外泄;

3)内鬼,竞争对手、黑灰产人员、内部员工,由于利益关系,打入公司内部,贩卖、出售公司数据及核心文件,造成公关事件或信息泄露;

4)漏洞,由于系统漏洞,而造成信息泄露事件。

3、数据的存储

1)脱裤,在数据的存储过程中,由于系统漏洞,造成外部恶意攻击直接访问系统数据库,并进行拖库行为;

2)内鬼,内部员工由于利益关系,拷贝敏感用户或数据,谋取个人利益;

3)骇客,有组织有预谋的团体,通过技术手段在互联网上完成数据的窃取工作;

4)明文,数据未被加密或密钥在同一存储位置,被轻易窃取。

4、数据的销毁

1)内鬼,内部员工由于利益关系,在数据存储介质或数据存储销毁期间进行盗取或窃取工作;

2)间谍,竞争对手通过收集、收购、攻击等行为在数据销毁时获取公司核心数据等。

0x03 数据在黑灰产的使用与整合

7

1、某外卖平台,获取姓名、手机号码、邮箱、地址、银行卡、订单信息、支付信息、消费习惯和行为系统等数据。

8

 

2、某体检中心,获取姓名、性别、单位、行业、检查项等个人健康数据。

9 10

 

3、某游戏平台,获取常用用户名、密码、消费系统、喜好等行为数据。

11

 

4、某物流平台,获取姓名、密码、身份证、车牌信息、手机号、生物指纹等相关数据。

12

 

5、某电商平台,获取用户名、密码、邮箱、银行卡、订单信息、交易信息等相关数据。

6

 

0x04 如何更有效的保护个人隐私

1、密码的局限性,密码的发明无疑是最伟大的发明之一,但是随着科技的进步,特别是大数据和云计算的发展,原有的密码体系已经不能够满足人们的日常使用和需要。特别是现阶段的互联网时代,海量的用户把自身各类的敏感数据交给第三方平台,而第三方平台中各自的安全性不一,信息泄露的程度也不一样,从而造成了大量的敏感数据外泄,这里面就包括用户名、密码、姓名、身份证、手机号、银行卡、CVV、订单数据、交易数据、支付数据、图片数据、视频数据、行为数据、关系数据、喜好数据等等

——–

通常人们记录的密码只有三套,多过三套就会容易遗忘,而在自身密码体系设计时,大部分人会由于本能反应设置为姓名拼接、生日拼接、纪念日拼接等各类与自身属性相关的密码体系,当恶意的攻击团体或人员获取海量数据进行分析时,那么基于自身属性和原有密码建设的密码体系就和某膜一样,一捅就碎。。。

 

2、个人应注意事项,对于我们个人来讲,现阶段是应该是最弱势的群体,特别是在天朝这样一个安全极差的环境来说,大家都有数据泄露的经历,也就见怪不怪了,如宝宝刚刚要满月就有人打电话是否需要剪满月头?宝宝刚2岁就问是否需要早教或亲自教育?刚买完房子就有人打电话是否需要装修或者贷款?刚买完机票就有延迟飞行的咋骗信息?刚邮寄完东西就有电话来说白色粉末?最可恨的是居然要天天去领导办公室。。。领导那里有这么空。。。

从保护个人隐私来讲可以从以下几个方面来注意:

1)根据各平台设置安全级别不一样的密码,如某宝、X信这类比较大型的企业和公司,有一定的安全能力,涉及到资金方面的情况下,可以建立安全级别较高的密码,甚至绑定二次验证产品等,降低由于自身账户密码被盗而产生的不确定因素;【像一些小的网站就尽量少用吧】

2)定期更换密码,在牛X的平台也有睡觉的时候,根据自身需要定期更换密码,最低也要三个月完成一次全部密码的更换,防止有的平台被脱裤或者由于其他途径的信息泄露;

3)密码的建设,密码不要使用常用的个人属性作为密码组成,这里面可以建立一套随机数算法,如骰子与英语字典的组合,随机骰六个数,根据自身设计的算法找到对应页数的首字母和尾字母的组合;

—-

4)生物指纹,现阶段有不少平台具有生物指纹的采集,如指纹、瞳孔、人脸等识别与采集,在一般情况下尽量不要交于这些生物指纹给予平台,想想吧如果有一天这些生物指纹的数据泄露了,你总不可能总去韩国换个脸吧?

 

3、平台应尽的义务,对于平台

来说,未来7个月后,安全将不仅仅是一个可做可不做的事情,他涉及到了企业自身的安全、生态的安全、乃至国家安全,《网络安全法》出了以后,不做安全等于犯罪哦。。。。特别是一家的数据被脱裤了生态中其他小伙伴遭殃了是极为不厚道的~~~😢😭😭

 

0x05 【YY】人、数据和技术结合的永生

随着科技的发展,我们的数据越来越丰富、计算能力越来越强大,通过AI技术、VR技术、AR技术加上海量机器学习和训练,有一天虚拟的机器具备了思考的能力,当我们最爱的人离开后,在想念他们的时候,通过其生前的数据建立一个虚拟现实的世界,与其一同玩耍、一同聊天、一同谈谈未来,何等美好,我们人类是不是以另外的一种姿态和方式得到了永生呢?

 

小编提示: 左手握着发展的科技,右手又是大数据下催生的”黑产“—-数据泄漏。就像有光的地方就有影子一样,不可能完全的取缔不法行为,但是我们可以用自己的行为抵制这些见不得光的行为,引用那句著名的台词—-“没有买卖就没有杀害!。”只要没有了买信息用户数据的人,没有了这种需求,这种产业自然会走向衰败。。。。。。

 

 

(来源自:   鲁毅的涂鸦板)

 

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号