沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

信息泄露黑色利益链 年收入高达上百亿

智联被爆泄露86万用户信息,回应称IP地址非智联

互联网上又爆出用户信息被泄露的事情了。乌云漏洞近日公开了一个关于“导致智联招聘86万用户简历信息泄露”的漏洞。该漏洞于12月2日提交,据称可获取包含用户姓名、地址、身份证、户口等各种信息。由于涉及泄密数据量巨大,引起了社会广泛关注。但是智联方面对羊城晚报记者回应称,漏洞详情中披露的IP地址非智联招聘的,泄密信息也非智联招聘用户。智联方面表示,公司已查实,此系第三方招聘网站冒用智联招聘的标注,不排除获利动机,已向该网站发送律师函。

提醒

信息泄露责任谁来担?

用户账户密码个人信息频遭泄露,责任究竟该由谁来承担?艾媒咨询集团CEO张毅在接受羊城晚报记者专访时表示,除了国家明确立法和严格的保护措施以外,斩断利益链,厂商的自律非常重要;对于用户而言,要选择最安全的渠道使用软件并定期更换密码,恐怕是最保险也是最妥善的保护。360安全专家万仁国表示,不要轻易点开手机短信的网络链接,更不要进行可疑的App安装,涉及个人信息的一定要和亲朋好友核对信息源。

IT法律专家赵占领表示,政府有关部门应提供相应的安全性审查检测工具和服务,规定相关网站承担平台管理和用户数据安全保障的连带责任,并要对应用商城上架的所有应用程序进行安全核查及进行开发者验证。今年初工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)已正式通过评审,正报批国家标准。但是,有业内人士担心,《指南》不是强制性标准,甚至也不是推荐性标准,其执行效力如何,仍待观察。

回应

智联招聘漏洞子虚乌有

乌云网方面表示,乌云网根据漏洞发现的86万条简历数据,全部被标注为来自智联招聘,至于数据是否属实、是否有其他网站获取这些数据等信息,仍需要智联招聘方面来进一步确认。

智联招聘发布公告称,经过技术部门排查,乌云提交的疑似漏洞信息所指向的IP地址,并不是智联招聘;而乌云网站上公布的疑似泄露信息图片中,标有智联招聘字段的简历,实际上也不是来自智联招聘。根据智联招聘提供的数据,目前其简历数据库中的近亿份简历,均无法在互联网上访问;并且有严密的数据库网络防火墙,安全及运维部门实施24小时监控,有完善的数据保障机制。

记者发现,求职者在大型的招聘网站上进行简历注册时,个人信息开放程序的等级是可以选择的。像智联招聘就设置了完全开放、完全保密、委托智联招聘等三个等级。完全开放是所有企业都可以看到简历,但同时可选择屏蔽某个或某些公司;完全保密,是所有企业都看不到,但个人可凭喜好投递简历;委托智联招聘,就是只有智联招聘猎头可以与简历人沟通。

揭秘

黑色利益链高达上百亿

对于网络经常爆发的泄露事件,是什么人在进行这些交易呢?羊城晚报记者通过采访发现,黑客通过技术谋取利益已经形成了一条“黑色地下产业链”。“这个产业链一年收入可以高达上百亿元”。瑞星安全专家唐威告诉羊城晚报记者,如今最受青睐的是电商的用户信息,“因为这里包括了用户的地址、电话、银行账号、消费信息等等最能变现的资料”。据记者了解,这个产业链分成了几个群体,共同支撑起这个“黑客帝国”。

首先是卖方,这里有些是技术人员和销售人员,有些是工具制造者,他们不会直接兜售,“而是拿到数据之后直接抛给下游。”唐威介绍说。

接手的就是中间商,他们的工作是倒买倒卖。“他们会将信息归类筛选,有些派发给房地产中介,有些给广告公司。”有业内人士透露,一级中间商的“产品”也并非直接卖给买方,一般是经过至少三个中间商再倒手,以逃避法律风险。

最后接盘的是买方,有些买方还会专门定制用户信息,“甚至有电商雇佣了黑客直接攻击竞争对手的网站,窃取信息。”唐威透露。

有安全领域人士透露,一旦网站被攻击,许多企业信息用户资料就会流入黑客手中,这些数据在黑客圈中所谓的“黑市”里销售,“一般按照文件大小来销售,打包的文件大部分是上百兆有上千条信息,一般是几万元。但若是电商用户的信息,甚至会按条数来卖,这个最值钱。”据悉,一个打包“产品”甚至可以叫价上百万元,有人会利用信息诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利。

此外,专家指出,黑客还会通过对移动支付类APP进行二次打包,伪装成知名应用混淆用户诱骗下载,通过记录输入法窃取用户的淘宝、支付宝账号和密码,同时,还会将支付验证码转发到指定手机,该类具有完整行为的金融支付类病毒的出现,以及恶意扣费类病毒的肆虐,将用户对于移动支付安全问题的关注度提到一个高度。 羊城晚报记者 林曦

发表评论