你的个人信息值多少钱?

这是个很难估计的事情,用户名、密码、手机号、身份证号码、邮箱、住址……这些东西看起来既重要,但又卖不出价。但在黑市上,这些东西显然也都是有标价的,比如最近曝光的A站用户个人信息泄露事件中,1元钱大概能买到800条信息,可谓非常“廉价”了。

该黑客后续又在GitHub网站上公布了300名A站用户的用户名、邮箱和头像,并表示如果A站再不和他联系,他将会公布用户数据的密码,可以说很“皮”了。当然,情况后面又发生了变化,曾扬言要公开数据的黑客又发帖表示:出于A站客服态度诚恳,以及对于二次元世界的热爱,决定无条件删除数据库。

当然,事件曝光后,A站的反应还是值得称道的,他们迅速发布了公告,承认是自身安全保护不力,表示接下来会尽力加强安全保障手段,同时提醒用户尽快修改密码,限于篇幅,就不贴公告的内容了,有心的小伙伴可以自己找来看一看。

当然,态度好不代表这样就足够了,由于A站没有很好地保护用户的信息安全,可能存在违反《网络安全法》里对企业信息安全保护部分要求的情况,处罚大概率是免不了的。

再来复习一遍《网络安全法》的相关法条：

网络运营者、网络产品或服务提供者以及关键信息基础设施运营者如未能依法保护公民个人信息,最高可被处以50万元罚款,甚至面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚。

《网络安全法》第10条：

建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

还有第21条：

国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

此次曝光的泄漏事件中,虽然已经有人承认事件由他们所谓,但A站官方尚未出公告,数据究竟是怎么泄露的尚未坐实。无论是哪种原因,数据库泄露数据的情形无外乎下面几种。

第一种是通过社工手段或者其他方式,获取了登录存储用户信息的数据库的权限,直接拖库获取了用户数据。针对这类攻击,企业可以部署一定的安全软件采取一定的限制措施,比如限制登录数据库的IP,仅允许特定的时间由特定的IP登录,同时做好相应的安全管理,最大限度封堵利用这种情况泄露数据的风险。

服务器安全狗中关于IP限制的功能模块

第二种是撞库,利用从别处获取的海量用户数据,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。由于很多用户在不同网站使用的是相同的帐号密码,因此黑客可以获悉用户在目标网站的账号密码。此种方法的防范主要依靠用户自身,尽量避免使用同样的账号密码。随着公众安全意识的提高,相信未来通过这种方式泄露的数据会越来越少。

第三种是服务器或网站被攻击入侵,如SQL注入等手段等。从企业的网络安全建设的角度来讲,所需的是一整套完整的安全防护方案。

网站安全狗关于SQL注入攻击的拦截功能

这件事充分地提醒我们,企业网络安全建设的意义不仅仅是守护自身,更是守护公众,特别是用户的合法权利的有效藩篱,这里容不下一丝侥幸和得过且过,无论企业从事何种业务,规模有多大,都要有相应的担当和责任感。