[譯]大資料之“資料黑市”

小旋風柴進發表於2017-05-02

0

昨天揭露的安森藍十字保險公司(Anthem Blue Cross)大規模的資料洩露事件,是對我們在當今數字化環境下薄弱的個人資訊保安的一個強有力的醒示。與此同時,我們每個人都應該意識到,當企業無可避免地需要使用和維護大型資料庫時,黑客更容易從中提取資料並將之出售在黑市上,這會引起人們極大的擔憂。


安森(Anthem)透露,他們在上週發現,一個“非常複雜的外部網路攻擊”竊取了大約8千萬人的個人資料。黑客竊走了該美國第二大健康保險公司員工以及現在和以前客戶的名字,生日,醫療號,社會安全號,地址,電話號碼,電子郵箱地址和收入資訊。


雖然洩露並沒有涉及信用卡資料,但是後果依然嚴重,因為安全專家認為失去的這些資料對於身份竊賊來說更有價值。不難想象,數以千萬計的資料點引起了黑市網站的一系列活動,犯罪分子購買和出售盜取的記錄,就像小孩子交易棒球卡一樣。


目前,網路安全軟體開發商Easy Solutions的安全專家注意到,眾多黑市網站中的一家Validshop.su交易活動增加了,網路犯罪分子將竊取的資料賣給了真正使用這些資料的身份竊賊,通常以此換取無法追蹤的比特幣。


“消費者不僅僅應該持續監測自己的信用報告,而且要時刻警惕任何其他更隱蔽的身份欺詐,因為這些資料記錄一旦流進了黑市,最終就會流到全球犯罪分子的手中,”網路安全軟體開發商Easy Solutions技術長丹尼爾·英格瓦爾德森(Daniel Ingevaldson)在一篇部落格文章中寫道。


0

圖中,被盜取的資料在一家黑市網站被掛牌出售


所幸的是,安森的醫療記錄並沒有成為這次洩露資料中的一部分。根據一家監控黑客地下交易的安全軟體公司PhishLabs所述,醫療記錄的價值大概是信用卡號價值的10倍之多。


每種型別的資料都在黑市中都有其自己的價格。安全軟體廠商趨勢科技(TrendMicro)是一家追蹤在地下經濟中被盜資料價值的公司,他們發現一個座機電話號碼在中國黑市價值16美元但在巴西黑市價值卻高達1930美元。俄羅斯網路犯罪分子會為每條個人電子郵件地址支付高達100美元,而這些資訊在中國或巴西黑市卻分文不值。根據網路安全軟體開發商Easy Solutions的發現,社會安全號碼和生日的組合價值範圍在$1.50至3美元,這取決於他們是如何將這些資訊組合打包出售(例如與郵政編碼組合或者與年齡組合)。


失竊記錄的黑市市場是很大的,而且它正變得越來越大。在2014年發表的題為“網路犯罪工具和失竊資料的市場-黑客的集市“的報告中,蘭德集團揭露出以營利為目的的網路犯罪的黑幕。


黑客市場曾一度是離散的,形式多樣的,並且一開始只是在利己主義和名聲的驅動下自發組成的網路,逐漸演變成為一個以經濟為驅動的,高度組織化和複雜化的群體遊樂場。在某些方面,黑市甚至比非法毒品貿易更加有利可圖; 因為到終端使用者的連結更直接,同時全球的分銷都是通過電子來完成的,而完成這些的所需成本幾乎可以忽略不計。”該公司寫道。


網路犯罪分子現在更容易在暗處偷偷犯罪,這些都要感謝“暗網”的崛起(通過匿名工具,如TOR)和先進加密技術的日益普及。網路犯罪分子團體正在大力的開發和使用各種黑客工具,同樣的,那些著名企業也致力於開發更加複雜的業務解決方案,以處理不斷增長的資料量。


“從失竊記錄和漏洞利用工具包到`訂購竊取‘商品,例如智慧財產權和零日(通常為半天)漏洞,這些出售的資訊和服務數量正在穩步增長,“蘭德集團在報告中說。 “市場所提供的越來越多的服務模型,簡單工具和網路教程使得它更加容易為技術新手所用。”


0

由於安森(Anthem)失去了大量的聯絡人的資訊,安全專家警告說,安森的客戶可能會被網路罪犯通過所謂“魚叉式網路釣魚”的詐騙方式聯絡,他們在試圖提取更多有價值的資訊。有了這麼多的丟失的電子郵件地址,網路罪犯將很可能偽裝成安森公司,並試圖通過釣魚網站騙取受害人透露更多的資料。這就是為什麼安森公司已經決定,將只通過常用郵件聯絡使用者。


安森的資料洩露只是過去的幾年中眾多的大資料洩露事件最新的一起:益百利( Experian)丟失200萬條記錄; 摩根大通(JPMorgan Chase)損失7600萬條記錄; 家得寶(HomeDepot)丟失5600萬條; 塔吉(Target)丟失4000萬至7000萬條; 易趣(Ebay)丟失1.45億條記錄被盜; 以及奧多比(Adobe)失去3300萬條。這裡並沒有算上索尼電影工作室在12月份那次臭名昭著的黑客攻擊事件。另外,從2005年至2012年間持續不斷的欺詐,導致了超過1億6千萬條記錄從納斯達克,JC Penney公司,7-Eleven便利店,Heartland服裝公司,及其他公司中被竊取。


有了如此多資料洩露的案例,很可能你的資料也已經被洩露。 “身份盜竊戰鬥已經失敗了,”蒙蒂 費德里(MontyFaidley),風險解決方案服務提供商律商聯訊(LexisNexis)市場規劃主任去年告訴Datanami。 “事實上,如果你看一下已經發生了的資料洩露事件,幾乎每一個美國人的ID已經被暴露在外面的某個地方,並且是可供出售的。”


大資料的興起已經引發了關於隱私權以及應該如何處理個人資料的激烈辯論。我們看到在很多案例中,即使隱私法得以實施,身份資訊依然被洩露出去。但是,一旦犯罪分子將魔爪伸向這麼多的資料,我們所有的成果都可能會付諸東流。

原文釋出時間為:2015-02-22

本文來自雲棲社群合作伙伴“大資料文摘”,瞭解相關資訊可以關注“BigDataDigest”微信公眾號


相關文章