暗网出售180万苏宁会员数据,背后是谁在泄露用户信息?
近日,有暗网用户“pum***”发帖出售苏宁会员数据,共计180万名用户,售价100美元,包含手机号、密码、6位交易密码、姓名、身份证号等信息。
某安全机构随机挑选了10个显示完整的账号,其中七人表示姓名、手机号、身份证号属实。在这七人当中,三人表示密码信息也是正确的,其他人由于忘记密码,无法确认真实性。并且,七人中有两人表示,今天在未登录苏宁账号的情况,收到了苏宁发过来的验证码,一人登录账号被提示存在安全风险。
剩余三人中,一位手机号为空号,一位表示身份证号不属实,另一位未对信息真假作出回应。
“pum***”还称,购买上述数据后,可额外赠送苏宁金融-易付宝支密账户7.5万条,还有2018年某航空公司头等舱的乘客数据等。
针对上述泄露事件,苏宁表示,经对网曝示例数据进行核查,并非苏宁用户数据。其还表示,不管是买卖个人信息还是编造谣言损害苏宁声誉均已触犯法律乃至构成犯罪。
有安全机构表示,即便数据真实度比较高,也并不能说明就是苏宁泄露的,也可能是由其他来源的真实数据组合而成的。
商务密邮建议,如果用户担心受到影响,可以修改苏宁的账号密码等信息。如果在其他平台使用了相同密码,也需要一起修改,出于安全考虑,建议使用“一账号、一套密码”的策略,即不同账号使用不同的密码,减少因单个平台账户泄露后,不法分子利用撞库获得更多的登录权限,从而引发的更大面积数据泄露。
包含个人隐私或商业机密的敏感数据一旦泄露,会即刻流入黑产市场,经过多手倒卖之后为黑客谋取巨大的利益,而这也使得黑客攻击更加难以防范。
2018年,全球范围内公共数据泄露事件严重程度指数,共涵盖945次事件,导致45亿条信息泄露。
在这么多的数据泄露事件中,47%的数据泄露事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。
对此,我们能做些什么来保障数据隐私呢?
1、及时更新软件修复漏洞,保障数据的隐私安全;
2、更换弱密码,使用强密码并定期进行修改;
3、定期检查网络环境,当使用公共网络及WIFI发送邮件时,使用加密邮件;
4、从官方下载软件,不随意在网上下载无资质保护的软件使用;
5、对于陌生邮件要仔细核对来源,不随意点击不明邮件和附件,对重要信息使用加密发送,也可使用邮件水印功能,可快速辨别钓鱼或欺诈邮件。
6、对于企业而言,建议部署:邮件防泄漏、反垃圾邮件系统、强制加密、禁止转发、禁止截图、离职管控、邮件水印、邮件归档、邮件详情跟踪等系统功能,因企业敏感数据较多且集中,应尽快增加数据保护能力,减少数据泄露风险,确保邮件安全。