数据泄露是我们现在每天都会听到的安全事件。它们波及了每一个行业、每一个部门、每一个县;受害的组织从小型独立企业到财富500强的大公司都有。
IBM估计,2021年美国公司数据泄露造成的平均损失为424万美元,如果涉及到远程工作,损失平均要增加107万美元——对于现在适应在家工作和混合工作模式的企业来说,这个统计数据令人生畏。
然而,谈论企业在修复受损系统、完成网络取证、改善防御和支付法律费用上花费的数百万美元并不一定能够体现出被数据泄露波及的个人客户所承担的所有损失。
对于个人而言,损失可能更加个人化。经济损失可能是一方面,但损失还可能以薪水、储蓄和投资资金等形式出现。
下面是数据泄露是如何发生的,它们如何影响你,以及你可以如何亡羊补牢。
数据泄露是如何发生的?
据IBM表示,网络攻击者侵入公司网络最常见的初始攻击方法是使用受损凭证,这种方法造成了20%的数据泄露。
这些凭证可能包括账户用户名和密码,这些信息可能是在线泄露的,也可能是在单独的安全事件中被盗,或者通过暴力攻击泄露,攻击者会使用自动脚本尝试不同的组合来破解易于猜测的密码。
其他潜在的攻击方法有:
- Magecart攻击:英国航空公司和 Ticketmaster等公司都经历过这种类型的攻击,电子商务支付页面中被悄悄地注入了恶意代码,以窃取你的支付卡信息。
- 网站域和表单中注入恶意代码:相同的策略可被用于从客户和访问者那里获取其他形式的数据,在不知情的受害者访问合法服务时直接窃取数据。
- 商业电子邮件泄露 (BEC)诈骗:BEC诈骗要求攻击者假装是一家公司的员工、承包商或服务提供商。他们锁定电子邮件线程或联系工作人员——例如在支付或客户服务部门工作的工作人员——欺骗他们交出信息或根据发票向错误的银行账户付款。
- 内部威胁:有时员工也会磨刀霍霍,或者网络犯罪分子向他们提出了他们没有拒绝的提议。这可能会导致你的信息易手,例如,一名俄罗斯国民因试图招募美国公司员工在其雇主的网络上安装恶意软件而被捕。
- 疏忽:不安全的服务器——可能由于配置错误而保持开放和在线暴露,是数据暴露和泄露的一个主要原因。信息也可能被员工意外泄露。
- 落入垃圾邮件和网络钓鱼陷阱:在个人层面,网络犯罪分子会尝试通过垃圾邮件、网络钓鱼域等方式让你泄露你的个人识别信息(PII)和账户信息。
攻击者会做什么?
攻击者可能会首先进行监视、映射网络以找出最有价值的资源在哪里——或者发现可以跳入其他系统的潜在途径。
Verizon 表示,71% 的数据相关事件是出于经济动机。攻击者可能会部署勒索软件来勒索受害者,要求他们支付费用才能重新获得对网络的访问权限。在所谓的“双重勒索”策略中,黑客组织可能首先窃取机密信息,然后威胁要在网上泄露这些信息。
或者,有些人可能会一击即走,窃取他们想要的知识产权,然后抹掉自己的痕迹。其他人可能会测试他们的接入点,并通过暗网将其出售给其他的网络攻击者。
在某些情况下,网络入侵仅出于一个原因:破坏服务并损害公司。
一些不法分子下载数据并在网上免费提供这些数据,将它们发布到PasteBin等资源中。
什么是暗网?
互联网作为一个系统可以分为三层:明网、深网和暗网。
- 明网:明网是我们大多数人每天使用的互联网。数以百万级的网站和页面被搜索引擎索引,你可以使用Safari、Chrome 或 Firefox之类的典型浏览器访问它们。
- 深网:深网是下一层的网络,需要特定的浏览器才能访问。通常需要Tor 网络和 VPN。网站使用.onion 地址进行索引,整个网络基于安全和匿名原则。这有助于合法应用——例如规避审查制度,也有利于非法行为。
- 暗网:暗网是更下面的一层,这是与犯罪活动相关的区域。这里可能会出售信息、非法产品、毒品、武器和其他非法材料。
暗网和深网两个术语可以互换使用。
数据泄露对你有何影响?
如果作为用户或者客户,你的数据被泄露了,你的记录也可能在网上暴露、被盗或者泄露,如下所示:
- Securitas:1月份,研究人员披露属于该安全公司的不安全AWS存储桶在网上暴露。机场员工记录和个人身份识别信息被泄露,
- 上海警察局数据库:7月份,有报告显示,上海警察局收集的数据被发现在暗网上出售,涉及约10亿中国公民的数据。
- Robinhood:2021年的一起安全事件导致大约500万人的个人信息和电子邮件地址被盗。
- Facebook:2021年,包含5.53亿用户信息的数据在被窃取的两年后被公布在网上。
- 大众汽车、奥迪:去年,这两家公司承认数据泄露,影响到330万客户和感兴趣的买家。
你的个人身份信息(PII),包括你的姓名、地址、电子邮件地址、工作经历、电话号码、性别以及护照和驾照等文件的复本都可被用于进行身份盗用。
身份盗窃是指有人未经许可使用你的信息冒充你。他们可能会使用你的身份或者财务数据进行欺诈和犯罪。这可能包括与税务有关的欺诈、以你的名义开设信贷额度和贷款、医疗欺诈以及在线进行欺诈性采购。
犯罪分子还可能给你使用的电信服务商等公司打电话,在SIM交换攻击等时候,假装是你来欺骗客户代表泄露信息或者更改服务。
这些情况可能会影响你的信用评分,让你承担不是你同意的贷款或者付款的财务责任,你的名义和财产被盗用还会带来严重的压力和焦虑。由于网络犯罪是全球性的,执法部门也很难起诉肇事者。
还可能会有勒索。当婚外情网站Ashley Madison在2015年发生了数据泄露事件,网络犯罪分子联系了一些用户,威胁如果不给钱,就把他们的所作所为告诉他们的伴侣、朋友和同事。
我如何知道我是否被数据泄露波及?
通常,你的服务供应商会通过电子邮件或者信件与你联系,说明你的信息被泄露了。但是,这些公司可能需要数周或者数月之后才会与你联系——如果他们还会这样做的话。
因此,你还可以密切关注新闻,了解任何最近披露的数据泄露事件,你也可以使用一些方便的工具:
Have I Been Pwned
Have I Been Pwned由安全专家Troy Hunt运营,是你了解自己是否被数据泄露波及以及你的数据被泄露程度的首选资源。
该搜索引擎允许你通过你的电子邮件地址或者电话号码进行搜索,并且通过对Have I Been Pwned 数据库中的数十亿条泄露记录的交叉检查,标记出所有包含你的数据的泄露事件。
如果你输入你的详细信息并得到了绿屏的结果,那么恭喜你,你没有被任何值得注意的数据安全事件波及。但是,如果你被波及了,你将看到如下图所示的屏幕,告诉你那些数据泄露事件影响到了你。
密码管理器
如果你使用密码管理器,例如1Password、Keeper 或 Dashlane,它可能会提供泄露监控服务,会在你的密码被泄露时提醒你。