数据库“裸奔”，个人信息屡被窃后在“暗 ”挂售

近日，新华每日电讯13版发布《数据库”裸奔” 个人信息屡被窃后在”暗 ”挂售》深度稿件，揭露数据库黑色产业，数据库安全问题再成焦点。

在“黑色产业圈”，拖库意指将机构数据库中的重要数据窃走。由于拖库与“脱裤”发音接近，且重要数据中包含了大量用户隐私信息，因此这个词还暗喻被窃取隐私信息的用户被扒得“一丝不挂”。

今年以来，多家机构的用户数据库发生拖库事件，包括 购商品信息、学籍信息、个人从业经历甚至开房记录等高度敏感信息均在“暗 ”上挂售。不少人提出质疑：我们究竟还有什么隐私没有被泄露？把隐私交给互联 企业究竟安全吗？

详细 道如下：

“大门敞开”的数据库与黑产的狂欢盛宴

“出售华住集团旗下所有酒店数据（汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友），附件当中为测试数据，各提供10000条数据供大佬测试……”8月28日，一张经由“暗 ”流出的截图在 交媒体上疯转，有地下黑产从业者声称掌握了华住集团旗下酒店近5亿条数据信息，并以打包价8比特币或520门罗币（当时折合人民币约37万元）公开出售。

一石激起千层浪，不少人开始在朋友圈感叹“在互联 时代毫无隐私可言”，也有人质疑在“暗 ”出售的数据并非真实信息。然而，第三方 络安全团队对“暗 ”公布的3万条数据样本进行技术鉴定后认定“样本数据准确”。

更让人惶恐的是，在“暗 ”挂售数据的地下黑产还表示，“以上数据获取时间为2018年8月14日，如果权限不丢失，后续数据还可以免费发给已购买上述数据的买家”。也就是说，地下黑产对数据库的入侵行为并非“一次性”行为，而是获取了访问数据库的权限，如果有关方面不采取进一步补救措施，发帖者甚至可以做到在数据库中“来去自如”。

有业内人士认为，仅就目前在“暗 ”挂售的数据来看，黑色产业链从业者自己就可以很精准地做出用户画像——你从什么学校毕业、学的什么专业、曾在哪些机构工作过、喜欢去哪里玩、喜欢买什么、爱看什么类型的电影，甚至和谁住过一间房，都能被大数据精准地“画”出来。

获得上述这些数据并非难事，甚至都不用花费太多的时间和金钱成本。南方都市 个人信息保护研究中心发布的《2017个人信息保护年度 告》显示，黑市上可以轻易买到搜索对象的个人信息，其中包含近半年来的通话记录、出行信息、账单消费以及人脉关系等，甚至还有针对搜索对象详细的量化评分。而获取上述详细信息的金钱成本，仅仅需要3.8元。

“与其说是地下黑产猖獗，倒不如说这是黑产们的一场狂欢。”Mystery认为，在互联 时代，用户数据变得越来越“值钱”，如果有关机构再不把好数据库的安全关，未来“暗 ”上将有越来越多的用户隐私被“明码标价”地售卖。

并不神秘的“暗 ”世界与松松垮垮的保护意识

不少人对前文反复提及的“暗 ”并没有特别具象化的概念，只是单纯地认为“暗 ”就是一个“地下黑市”。

需要说明的是，“暗 ”并非独立存在的 络，它也是由运行在普通互联 上的软件或设备组成。只是这些软件或设备遵守“暗 ”的通信协议，可以各自独立工作并互联互通，不需要任何管理者就能组成一个“暗 ” 络。

事实上，在哪里贩卖用户数据并不重要，地下黑产是如何获得用户信息更值得普通用户深思。

还有一种套取用户信息的方式，则更符合年轻人的生活习惯，那就是在朋友圈中参与“钓鱼活动”。洪恒亮表示，一些营销 会发布诸如“免费酒店试睡”“转发抽锦鲤”等“钓鱼活动”，不少年轻用户缺乏判断力，容易跟风转发从而参与进去，除了填写身份信息外，还“欢天喜地”地转发给朋友圈的其他好友，进一步扩大受害范围。

“参与这类钓鱼活动，轻则成为营销 的‘僵尸粉’，重则接到精准的电信 络诈骗‘全家桶’。一些不法分子通过对用户提供的身份信息的解读重构，甚至还可以盗取其 交账 。”洪恒亮说，这些被搜集走的个人信息还可能为犯罪分子利用短信嗅探设备进一步盗取金融账户余额提供便利。

隐身“暗 ”的幕后黑手与“上下失守”的防范措施

相较于开房记录这类私密性极高的个人信息对当事人的“杀伤力”，被泄露出去的学生学籍信息则对家长的“钱袋子”更有威胁。

7月30日，一条题为《浙江省1000万学籍数据出售》的帖子在“暗 ”某中文论坛中引发关注。发帖者称，其所出售的数据包含学生姓名、身份证 、学籍 、学校名称、学校序 、班级 、户籍信息、监护人姓名、监护人手机 、居住地址和学生照片信息，作价0.02比特币（当时折合人民币约1000元）。

幸运的是，公安机关9月发布通 称，金华市公安局江南分局已于8月10日成功抓获了非法侵入浙江省学籍管理系统的王某禾等犯罪嫌疑人3名，查获公民个人信息1100余万条。

今年6月以来，“暗 ”上针对我国各政企机构的数据倒卖事件呈多发态势，且多发于敏感事件节点，有专家认为，此类事件背后的问题值得关注。

在诸多机构被拖库事件中，泄露数据准确率较高，所涉数据库种类繁多，其中所展现的黑客挖掘能力较强。北京邮电大学 络空间安全学院副教授芦效峰认为，“暗 ”集中出现针对我国政企机构的用户数据倒卖事件或有外部势力支持。芦效峰表示，一些西方国家过去曾在国际场合中多次对我国 络安全环境“指指点点”，在当前复杂多变的国际局势下，有必要提防一些外部势力有组织有计划地实施 络攻击行为。

部分机构数据库维护权责不清，责任主体思想懈怠情况突出。对攻击预警不在乎，对管理规定不遵守，对应急方案不执行，对风险提示不满意，部分机构安全团队在思想上麻痹懈怠，甚至在数据库泄露后仍不执行应急预案，在筑牢防范 络攻击意识关上“上下失守”。

急需明确的责任主体与亟待建立的应急机制

专家建议，针对暗 上日益频繁、规模愈发庞大的用户数据倒卖情况，有关部门应建立响应机制，同时厘清权责关系，让广大群众在享受互联 技术的同时更多收获安全感。

“无论是拥有法律强制力的 络安全法，还是对行业起约束作用的《信息安全技术个人信息安全规范》，我们针对用户数据保护的法律法规是有的，但是这却没有阻挡住猖獗的倒卖数据的行为，这背后的原因值得有关方面深思。”中国信息安全研究院副院长左晓栋认为，我国在公民个人信息保护上的立法已相对完善，现在需要看到相应部门来落实法律执行。

左晓栋表示，在当前环境下，有多个部门对个人信息保护负有责任，“九龙治水”情况较为突出。他建议，可设立专门机构来应对个人信息泄露问题，对此类专门机构赋予相应的司法和行政权力，对数据保护不力者形成震慑，促使行业内形成“用户数据就是机构生命”的良性氛围。

一些第三方 络安全机构在问卷调查中发现，不少机构并没有建立相应的 络安全应急机制，在极端环境下缺乏应对措施。

以上内容节选自新华

数据库安全问题引人堪忧，选择一款安全可靠的数据库产品至关重要。优炫数据库（简称：UXDB）是一款为大数据时代打造的安全新型数据库，由优炫自主研发，是自主可控的国产数据库系统。从诞生之日起，UXDB就担负起助力实体经济的使命，在金融、统计等行业得以广泛应用。此外，优炫软件与军方某部、中国人民银行、国家知识产权局、中国人民银行征信中心山西省分中心等单位就UXDB达成深度合作，UXDB已经在其系统中平稳运行，并获得用户一致认可。