回归最本质的信息安全

是福还是祸?搜索服务商可查询出所有被黑数据

2017年1月10日发布

3,288
2
0

导语:想知道你的邮箱或个人隐私信息被黑了吗?想知道你的企业网站被黑了吗?想知道最近发生什么大规模数据泄露事件吗?有啥不知道的,找村长啊,不过小编可以很负责任的告诉你,这事村长还真不知道。

data-breach-180918015-1.jpg

想知道你的邮箱或个人隐私信息被黑了吗?想知道你的企业网站被黑了吗?想知道最近发生什么大规模数据泄露事件吗?有啥不知道的,找村长啊,不过小编可以很负责任的告诉你,这事村长还真不知道。

原因很简单:

1. 因为这些数据很难被追踪,

2. 信息泄露的事件正在变得越来越多。

但是如果政府明令规定,企业要对泄露的事件负责而且还要通知到每个用户,那我们才能了解到这方面的详细情况,比如能让用户和组织了解其自身账户信息是否正处于被黑状态,或哪些信息已完全被公开泄露。最基本的一点是,至少能帮助提醒用户哪些密码需要修改。

由于这些泄露的信息,并不像我们的身份证等社会身份信息那样敏感,但这些信息,如果经过整合就会形成我们完整的行为定位,所以危害非常大,比如这些数据会涉及到人们和公司的财务细节、身份数据和商业秘密。

鉴于目前信息泄露的情况越来越严重,除了美国之外的许多国家,都要求把这些泄露的信息透明化,以方便用户来采取必要的保护措施。其实将泄露的信息透明化,最大的实践者还是企业,不过目前企业并没有相关的利益驱动来这样做,所以政府才要明文规定。不过,具有观察力的创业者,已经从中看到了商机,比如像数据泄露索引服务公司LeakedSource和Have I Been Pwned这样的专业搜索服务商。

1483952468758283.png

LeakedSource主页面

1483952535600272.png

Have I Been Pwned主页面

像LeakedSource和Have I Been Pwned这样的工具就是要帮助我们保存这些丢失的信息,让公司能够查找的具体的泄露信息然后查缺补漏。LeakedSource有一个被称为“数据泄露领域的Google搜索引擎”。2016年,在很多大规模databreach发生后,LeakedSource总会登上新闻头条,如它对Myspace、Linkedin和FriendFinder的分析。

LeakedSource提供的服务

如今的互联网时代,对个人、第三方网站和企业来说,数据永远是最宝贵的信息,然而,每天都在发生的黑客攻击和数据泄露事件严重程度远远超过人们的想像。作为个人和企业用户来说,如何知晓自身数据是否和如何泄露,已成当务之急。LeakedSource就提供了这样的服务:

1.普通注册用户,免费查询个人或其它(他人)相关信息是否处于数据泄露状态和泄露源;
2.普通注册用户,提交电子邮箱地址,获取免费数据泄露提醒服务;
3.普通注册用户,购买泄露信息付费查看服务;
4.企业定制用户,购买企业API接口付费提醒服务,供企业实时了解自身数据安全和数据泄露状况。

企业定制API接口服务价格:

360反馈意见截图16360804222446.png

除了LeakedSource之外,今年“Have I Been Pwned”网站成立已经四年了,创始人Troy Hunt表示分享这些数据是为了研究人员做分析,不想给任何人带来风险。由于担心有人受到伤害,Hunt去掉了数据集中的三项敏感信息1.所有的个人身份信息;2.所有账户的域名;3.所有敏感的数据泄露信息。

Hunt表示,

现在,我正在构建一个平台,以快速整合未来数据泄露的信息,并让可能受影响的用户可以快速搜索这些信息,帮助用户来应对未来的数据泄露事故。我们这么做就是要强调那些信息泄露的公司要对他们的用户负责,而不是通过媒体泛泛的表示公司的数据泄露了等不负责任的做法。

不过任何的新生事物,都有一个被怀疑的过程,对LeakedSource和Have I Been Pwned这样的网站提供的服务和其引发的争议主要体现在两个方面:

1.利用已经泄露的信息进行获利

Casaba安全首席科学家John Michener就表示:“LeakedSource基本上就是从泄露数据中获利,我认为他们提供的服务就是帮助和煽动犯罪。人们知道泄露数据是非常有价值的,所以,如果LeakedSource真的是从公众利益出发的话,他们可以只发送邮件给被泄账户说‘嘿,我们发现你的信息已经被泄露了。’”

2.泄露信息的公布,让企业面临更多的攻击

2016年8月,LeakedSource就报道过黑客利用vBulletin论坛中存在的多个SQL漏洞,对其发动了攻击,并泄露了来自10多个网站中约2700万用户的个人信息。事后Mail.ru公司的发言人这样说道:“在事件原因尚未水落石出之时,我们已经发现有大量的媒体在报道此事,使我们公司陷入到了舆论大众口诛笔伐的漩涡之中,影响极其恶劣。”

3.为黑客提供了另一种获取他人信息的渠道

这样的查询功能也同样适用于查询其他人的泄露信息,可以通过查询出来的密码信息对其他人的账号进行登录尝试,可以通过查询出来的其他个人相关信息,实施进一步的社会工程攻击。在这种情况下,LeakedSource和Have I Been Pwned也确实为那些潜在的攻击者创造了他人敏感信息的公开获取渠道。在一些安全社区甚至有人认为,LeakedSource是在从泄露数据事件中获利,这种提供泄露数据查询的做法可能会引发其它更糟糕的信息安全问题。

总的来说,我们的信息安全是指望不上村长了,政府顶多就是出台个强制措施,所以像LeakedSource和Have I Been Pwned这样的平台的特殊化服务在将来大家极其重视安全的年代一定很有发展前景。

本文翻译于wired,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/2935.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

xiaohui

嘶吼编辑

发私信

发表评论

    沙拉拉卡
    沙拉拉卡 2017-01-10 10:36

    如果是自己去查自己的就算了..如果是通过公开api刷数据然后定向找库就坑了

    天海 春香
    天海 春香 2017-01-10 10:16

    有网易的…不错哦~