解读非法泄露的数据和隐私的流入路径

ZD至顶网网络频道 02月14日 消息： 在过去一年，由网络攻击引发的数据泄露事件依旧猖獗，医疗、保健、电信运营商等行业和人事管理、社保、税务等政府部门受灾严重，身份证、社保、电话、信用卡、医疗、财务、保险等相关信息都是黑客窃取的目标。从目前来看，拖库攻击、终端木马和APP的超量采集、流量侧的信息劫持获取，已经成为数据泄露的三个主要渠道。

信息泄露的背后已经形成了一条完整的利益链，这些用户信息或被用于团伙诈骗、钓鱼，或被用于精准营销。安天安全研究与应急处理中心（安天 CERT）发布《2015网络安全威胁的回顾与展望》，其中揭露非法泄露的数据和隐私正在汇入地下经济的基础设施。

class="fancybox_content" href="/uploads/images/2016/147/liffKbuXuenuA.jpg?rand=128"

图 2015年重大数据泄露事件

“拖库门”事件的每一次曝光都令人关注，但实际上，依托这些数据达成的侵害往往早已存在，在其曝光时，其“价值”已经衰减。很多拖库数据都是在被攻击者充分利用、经过多手转卖后才会曝光。当前，数据泄露的地下产业链已经成熟，并且有了完整的分工协作程序。其模式往往包括：拖库、洗库、撞库和再洗库等阶段。当前，地下产业已经形成了与需求对接的一个“综合业务代理机制”，在“需求方”提出目标后，“业务代理”会找到接手的“攻击者”，“攻击者”成功拖库后拿到客户的佣金，并且将获得的数据库洗库，可以直接提取其中可变现的部分（如有预存款或虚拟货币的账户）；之后，这些数据会被用来撞库，尝试登陆其他有价值的网站，再对撞库成功的数据进行层层利用。经过日积月累，和相互交换，攻击组织和黑产团伙的数据库会越来越庞大，数据类型越来越丰富，危害也就越来越严重。

并非所有数据都是从“拖库”攻击中获得的，同样也有直接从终端和流量获取的。2015年，因恶意代码导致的信息泄露事件中，XcodeGhost 事件是一个值得所有IT从业人员深刻反思的事件。截止到 2015年9月20日，各方累计确认发现共692种APP受到污染，其中包括微信、滴滴、网易云音乐等流行应用。尽管有人认为被窃取的信息“价值有限”，但一方面其数量十分庞大，随之衍生的风险也可能十分严重；另一方面，通过向开发工具中植入代码来污染其产品，这种方式值得我们警醒。同时，本次事件采用非官方供应链污染的方式，也反映出了我国互联网厂商研发环境的缺陷和安全意识薄弱的现状。

class="fancybox_content" href="/uploads/images/2016/238/libY8waRzExww.jpg?rand=8"

图 安天在XcodeGhost 事件报告中绘制的非官方供应链污染示意图

近两年在国内肆虐的短信拦截木马在2015年不断出现新变种，并结合社会工程学手段疯狂传播，窃取用户的联系人、短信、设备信息等，如安天本年度重点分析处理的“相册木马”。从 PC 侧上看，2011 年出现的 Tepfer 木马家族目前依旧活跃，且已有数十万变种，Tepfer 家族可以盗取 60 种以上的 FTP 客户端软件保存的密码、10 种以上的浏览器保存的密码、31 种比特币信息；还能获取多个邮件客户端保存的密码，是一个利用垃圾邮件传播，无需交互、自动窃密并上传的木马家族。

大量数据的泄露一方面让用户的虚拟财产受到威胁，另一方面也使各种诈骗、精准钓鱼攻击变得更简单。之前大多数的诈骗都是采用广撒网的形式，而大量数据泄露使黑客的社工库完善后，可以有针对性地利用泄露信息匹配并精确定位用户，以此进行的诈骗和钓鱼攻击将更具欺骗性。

从过去来看，流量侧的灰色活动，更多用来劫持页面、骗取点击的方式来变现，但这种普遍性的流量劫持，同样具备着流量侧窃取的能力，这一点对于HTTPS尚未有效普及的国内网络应用来看，是具有高度杀伤力的。更何况 HTTPS 在过去两年，同样暴露出了大量工程实现层面的问题，包括 CDN 等的挑战。

人的身份几乎是永久的，关系是基本稳定的，此类数据泄露带来的影响，很难在短时间内被冲淡。一个值得关注的情况是，随着黑产的规模化，这些数据将持续汇入黑产的“基础设施”当中，从而使其可能具备超越公共安全和安全厂商的资源能力，安天年报同时指出，也不排除这种地下基础设施摇身一变，以“威胁情报”的形式，同时为黑产和白帽子服务。