幽暗鐮刀:隱私安全下的收割者們

发布日期:2019-08-08 14:13
幽暗鐮刀:隱私安全下的收割者們

今天,一個時隔一年的國內“史上最大規模的數據竊取案”有了新的進展。
2018年8月,阿里安全協助警方偵破了該案件,事涉7名被告人及一家上市公司瑞智華勝,他們通過競標的方式,先後與全國多地的電信、移動、聯通、鐵通、廣電等運營商簽訂營銷廣告系統服務合同,為運營商提供廣告投放系統的開發、維護,進而拿到了運營商服務器的遠程登錄權限。
拿到權限後,他們把自己編寫的腳本程序植入後台,當用戶流量經過運營商服務器時,他們可以拿到這些數據,然後就是數據清洗,導出,整理,販賣。
由於腳本直接植入在互聯網運營商的底層,所有使用服務的互聯網公司的用戶數據也未能倖免,全國共有96家互聯網公司的用戶數據被竊取,基本涵蓋大部分大型互聯網公司。
這些數據被用來在網絡領域刷贊刷流量,當初微博大量用戶反饋自己在毫無感知的情況下給一些不認識的賬戶點贊,就源自賬戶數據被人異地登錄操作。
這起案件的背後,是無數黑產的黑色生意在肆意流轉。
我們人類是活在地球上的嗎?
是,也不完全是。
在大數據年代,我們每個人其實都是活在地球上的硬盤裡的。
這個硬盤非常廣闊,如瀏覽器,APP,手機,電子設備,信用卡等你與外界相連的信息,以及你身邊人的信息,都在裡面會被關係網絡串聯在一起。
有一個很流行的六度關係理論說只要通過6個中間人,你就能找到這個世界上的任何一個人。
從這個角度說,數據化時代,硬盤裡的我們都是一家人。
硬盤為我們創造了前所未有的生活便利,同時內中也暗藏著一定風險。
有光必有影,光影必相依。
風險製造者往往是試圖從中牟利的數據黑灰產團伙,他們盜取數據、濫用數據等作惡行為,不僅損害了數據產生者和用戶利益,更為重要的是還嚴重擾亂了整個數據產業的正常秩序,也抹黑了整個產業名聲。
他們違法成本極低,因其有不易被發現,且取證難、執法難等特徵,一旦發生數據洩漏事件,通常是受害方為其“背鍋”。
通常這種情況,整治處罰的不是數據作惡者。他們依舊會死灰復燃甚至繼續逍遙法外,給行業深埋著更大的風險“炸彈”。
今天這篇文章,我想簡單談談大數據黑產的現狀。
以及數據化之後我們在風中飄揚的人生。
世界範圍內,上週數據安全圈子最大的事件是,美國CapitalOne有近1億條客戶數據洩露並被上傳至GitHub中近3個月,這些數據包含近億美國用戶的個人信息,社會安全號碼以及銀行賬號。
CapitalOne在美國的地位大概相當於招商銀行在國內的地位,屬於為用戶提供一站式金融服務的國民級零售銀行。
CapitalOne最出名的業務是信貸風控,國內互金繁榮的時候,非常多的互金高管都是從CapitalOne中歷練出來的,可以說是世界高利貸界的黃埔軍校。
GitHub,現在屬於微軟,雖然表面上是一個論壇,但在全世界程序員的心中有著不可替代的作用,每一個程序員都會在GitHub中與全世界的同行交流,用代碼來證明自己,大概相當於程序員中的微博+微信。
這起事件的嚴重程度,大概相當於招商銀行的用戶數據被人挖出來打包放在了微博上供人隨意下載了3個月,不知道多少黑產笑的嘴都歪了。
2019年8月3號,美國已經有律師事務所對這兩家公司提起了集體訴訟,這是非常嚴重的事件。
而這1億美國人的信息暴露後,如果沒有及時止損報備,等待他們的將是無止境的信息盜用,信用卡盜刷,異常網站註冊,洗錢空殼,甚至高利貸纏身。
他們的人生中,將面臨著無數已知未知的危險。
這種事情會發生在他們身上,也一樣會發生在我們身上。
而且在你們不知道的黑暗中,已經發生了無數次了。
你收到的每一個騷擾信息,每一通詐騙電話,每一個垃圾廣告,背後都有黑產的功勞。
黑產無國界,利益無國界。
很多讀者經常問我說,是不是國內的大公司們都在縱容著數據黑產,甚至是刻意的去拿用戶的數據賣給黑產?
我得承認,這是很多人潛意識的想法,認為大公司就必然是邪惡的,是天天想著怎麼坑人害人的。
但實際上不是,倒不是因為大公司都是正義的人,商業上沒有正義可言。
主要是因為算賬算不過來。
每一家公司,其核心的訴求只有一點,賺錢。
再細一點,合理合法賺到可持續的錢。
越是大的公司,對於合理合法可持續,就越為重視。
當數據洩露後,不說競爭對手拿到的打擊,但就輿論和法律方面的打擊,對於任何一家大公司都是難以承受的後果,這不是賣數據那幾個小錢可以挽回的,大家都非常聰明。
CapitalOne和GitHUB這次面臨的危機如果處理不好,面臨的可能是滅頂之災。
沒有一家大公司不重視自己的數據問題,因為出了問題,不說用戶和法律,監管第一個不會饒了他們,數據底線不容踐踏。
相信我,數據出問題後,大公司要比我們更為慌張,他們慌張自己是不是還有機會繼續賺錢。
隨著國內法律的進一步完善,監管的進一步趨嚴,數據風險對於公司的影響也將越來越大。
問題來了,數據是怎麼洩露的?
攻擊運營商這樣的操作非常簡單,但是很容易暴露,2018年8月後,就很少有不開眼的人亂來了。
那麼為什麼我們的隱私還是飄來蕩去?是誰幹的?
接下來,我要開始常規得罪利益方了。
當前國內所有黑市上的數據,主要來源有2種,黑產入侵和一些大數據公司的緩存。
先說黑產的技術或者社工(社會工程學)入侵。
一個很經典的案例,國內某以企業信息查詢著名的公司,其數據庫中所有的數據,近期被全被抓出,拿在黑市上賣,20W一份,會砍價的話可以砍到10W元成交,這份數據包含目前所有公開公司信息以及年報,是其業務的核心資產。
黑產是怎麼拿到這些數據的?
不是你們想的神奇的傳說中的黑客攻防以及各種電視劇裡的攻擊大戰,現實沒有那麼多神奇的東西,簡單到你不信。
走到公司樓下的咖啡廳,用腳本工具破解公司WIFI,進入內網,進一步抓到管理員的賬號密碼,然後直接拖庫。
這種都屬於稍微有一點點技術含量(其實也不高,腳本都有各種現成的)的進攻。
更簡單一些的進攻是,例如想要拿到大量用戶的身份地址信息,有人直接物理進攻快遞公司的倉庫,趁人不注意的時候一個U盤插到電腦上(很多偏遠地區的加盟快遞,是沒有嚴格使用加密機器的,我在幫某公司Review風險的時候,曾經指出過這類風險),然後就拿到了各大電商拼了命保護的數據,還都是脫敏的明文數據。
很多大公司很無奈的是,自己做的再完美,也架不住生態夥伴和合作公司豬隊友,現在的黑產們都是要錢,攻擊大公司很麻煩還容易被反追踪,不如攻擊大公司的合作夥伴。
只要攻破一個能夠調用的接口,就是源源不斷的數據資產。
如果說黑產攻擊,算是情理之中的一件事情(他們不干這個就奇怪了)。
那麼真正在威脅我們每一個人數據安全的,其實是市面上的各路所謂大數據公司,就是被追捧的那堆所謂數據科技獨角獸們。
很多所謂的大數據公司,本身不產生數據源(例如車輛數據都在車管所,學歷數據都在學信網,手機號信息都在運營商),也不具備數據應用場景(他們自身不做互聯網業務,數據拿來沒用),做的很多事情,本質上就是數據二道販子。
典型的就是在車管所把車輛數據接出來,然後賣給車險公司或者車貸公司,做個中間商賺差價。
很多對外吹得天花亂墜的數據公司,本質上就是各類數據的二道販子,無非是兩頭的角色不同,今天是車管所賣給車貸,明天是車貸賣給保險公司。
但是二道販子,也有一顆想暴富的心,靠主營業務不能實現的話,就動起了歪腦子。
二道販子們每天經手這麼多數據,很多公司會悄悄把這些數據緩存下來(注意,這個是明確違法的,法律不允許中間商緩存數據),然後把緩存下來的數據提供給客戶。
舉個例子,假如我是數據公司A,我是賣徵信數據的,數據一頭是權威機構,數據另一頭是各種貸款公司BCDE。
一個貸款客戶小張,在B貸款公司申請了一筆貸款,B公司通過數據公司A來調用徵信,A會把小張的數據給B的同時,也把小張的數據存了下來。
如果小張又去了C公司借款,C公司恰巧也是A公司的客戶,找A調用徵信,則A不需要再花錢從權威機構買了,直接把緩存的數據複製一份提供給C就可以了,成本為0。
這種利用緩存牟利的行為,在當前的大數據公司中非常普遍,畢竟作為數據通道,如果沒有作緩存的話,只靠那點點差價,可能到後面連數據都買不起了,畢竟權威數據源往往都要求代理商高額的預充值。
花1份錢,賣多份數據,這是很多大數據公司的生存之道。
當黑產們與這些大數據公司遇到一起的時候,奇妙的化學反應就產生了。
由於市面上的大數據公司太多了,數據總有更便宜的,便宜到惡性競爭的地步,而投資人也不相信很多大數據公司所謂的數據驅動未來的鬼話了,這個行業的非頭部公司已經越來越混不下去了。
所以有的數據公司在準備跑路前,乾脆一不做二不休,直接把數據就賣了。
賣這些數據,需要黑產幫忙上黑市,傻乎乎直接明著賣的後果,是進監獄。
2017年6月,某知名上市大數據公司,就因為賣緩存賣的過於赤裸裸,好幾個高管現在還在裡面開心的撿肥皂。
即使下定決心賣,也要找個合適的場所賣,所以黑市,就是很好的選擇。
其實也不只是在黑市上賣數據,更多時候,很多大數據公司在黑市上買數據,幾百萬人的,打包好的車輛緩存數據,只賣幾十萬,而且支持先隨機驗證,服務周到,免費包郵。
很多做模型的數據公司,源數據都是在黑市上買的,因為買權威數據實在太貴了,所以還是緩存便宜實惠。
而且做模型的公司,買數據還有一個好處,就是沒有痕跡。
業內模型公司最常見的玩法是,買來的數據存到一台筆記本電腦中,然後在電腦裡訓練模型,最後把訓練好的模型複制出來,電腦直接砸掉,連帶裡面的數據一起物理毀滅。
死無對證。
等到後來,已經發展到模型公司和數據公司委託一些黑產去定向的目標公司那裡喝咖啡,進行攻擊,價格開的很誘人。
例如做車貸的公司,就非常想要保險公司的車保數據,因為都是優質的客戶,可以直接給授信的那種。
例如做出行生意的公司,就非常想要競爭對手的司機信息,這些車主就是赤裸裸的運力。
有一段時間,整個黑市上飛滿了各種進攻的單子以及價格。
買家不知道是誰,但其實都知道是誰。
這些單子被黑產完成後,數據也被黑產們拿來賣,這些都是帶血的錢。
但所有參與者都樂在其中。
我自己從事過很久的反黑產工作,也曾和公安一同進入某些黑產的窩點,親眼見到過普通人的數據是如何被飛來飛去的,那些跳動的字節裡,包含著一個人一生的愛恨情仇。
在我看來,打擊的黑產的關鍵,不在於技術升級。
不是說技術不重要,而是說技術在無法實現真正意義上的數據閉環的前提下,能起到的作用是十分有限的。
即使一家公司把自己的數據安全做到了極致,也架不住合作夥伴被攻擊,自己提供給夥伴的接口被濫用,這在整個世界範圍內,都是無解的。
而且實事求是的說,防守方對於進攻方而言,永遠是弱勢的。
就像守門員和前鋒單挑,你永遠不可能完全守住背後的大門,因為進攻方從什麼角度攻擊你是未知的。
我認為,打擊黑產的關鍵,不僅僅在於監管大公司,更在於三個維度。
一是監管加大對於大數據公司的亂象監管,收攏所有數據源的一級供應商數量,限制二級供應商的數量,並且對於出庫的數據,打上特定的標識,讓洩露在黑市上的數據都能找到源頭。
二是加大對於數據犯罪的懲罰力度,雖然現在已經是可以判刑了,但是懲罰力度還沒有真正達到讓人恐懼的地步,要讓侵犯數據隱私的人和公司意識到,只要涉及隱私,投入產出比是1比黑洞。
三是建立反數據黑產的人才制度,從各大安全公司的風控和技術裡抽調出一批人,專門用於打擊黑產,這批人在數據層面起到的作用會非常大,他們配合警察,產生的效果是疊加的。
讓所有黑產和亂來的數據公司知道,販賣公民個人隱私(不管是買還是賣)必被抓,抓到必被重罰,甚至重點可以放在買家身上,一旦沒有了利益驅使,黑產也沒有動力去做這件事,這是一個更高維度的生態閉環。
就像為什麼沒有黑客去進攻銀行一樣,不是銀行技術做的多麼好,而是都知道,捅了銀行,等同於自殺。
反黑產的奧義,就在這裡。
可喜的是,監管已經意識到了這一點,在往這一步推進了,2019年開始,國內越來越多的頂尖的黑客們都在配合監管參與反黑,抓出了一大批黑產和漏洞,數據黑市裡很多ID都不再會亮起。
這條路還有很遠,但我們已在路上。
反黑之路,不由分說。
分享到: