小令观点 | 个人信息泄露——当代数字身份之殇
01
希望这是 2022 年的最后一次大规模个人信息泄露了:《WhatsApp数据大泄露,近5亿条用户号码在暗网出售》。时不时的总有这样的灾难性黑客攻击事件发生,让人不寒而栗,而且频率越来越快。
在另外一篇分析文章中《2022年暗网市场三大趋势 》,也可以看到个人信息泄露的情况正在加速恶化:2022 年总计超过 240 亿用户账户凭证在暗网论坛和犯罪市场中流通,这个数字比两年前暴增了 65%。
这些泄露账户中有 67 亿个具有唯一性的用户名-密码组合,具备较高价值。自 2020 年以来,此类高价值账户数量增加了 17 亿个。这些“商品”的大量涌现,也使得暗网的交易价格快速下跌。
以下是其中一些代表性产品的价格样本
被黑的 Crypto.com 验证帐户:250 美元
被黑的 Facebook 帐户:45 美元
伪造的纽约驾照:70 美元
伪造的欧盟护照:3800 美元
在美国用户的设备上安装 1000 次“高质量”恶意软件:1700 美元
而我国被泄露的公民个人信息呢?更是廉价得可怜。
据中国互联网络信息中心《第 49 次中国互联网络发展状况统计报告》披露:截至 2021 年 12 月,有 22.1%的网民遭遇个人信息泄露。
黑市上,一条含姓名、电话号码、身份证号、住址等的个人信息经常被贱卖到仅仅 0.5 元。今年上半年,有个账号名叫“ChinaDan”的疑似黑客,叫嚣着售卖含有中国数十亿条居民信息和数十亿病例记录的超级数据包,“仅售 20 万美元!”。如果不是数据源供应太过充足,怎会如此?!
02
仅仅谴责、乃至追捕这些叫卖信息的人,是意义不大的,他们只是中间环节。
要全面了解问题,还需要延伸到于一头一尾:
源头问题:个人信息是如何泄露,并被有组织地收集整理的?
收尾问题:买家们获得这些信息,是为了做什么用?
关于源头问题,我认为主要是如下几个关键因素导致的,而且相互关联,纠缠在一起:
a. 能够采集个人信息的方式越来越多,无法预知。
多年前我们还只需要为网站和 app 的运营方担心,而现在随处可见的摄像头、餐桌上的二维码、连接的 wifi、收到的快递单等等,都已经暗藏玄机。在可见的未来,新颖的方式只会层出不穷。
b. 对信息的保存管理是个持续放大的风险敞口。
用一句中国古话即可讲明白这个道理:只有千日做贼,哪有千日防贼?
应用方收集信息后一定会保存管理,并给自身的业务管理人员或系统留出访问通道。
无论此时此刻的系统防护是否可靠,随着计算技术日益发展总会有很多系统没有及时升级,也就抵挡不住使用最新技术的黑客了。因此,系统被攻破对于绝大部分应用方而言,只是个时间问题,以及值不值得罢了。
更不可控的是,如果应用方自身本就心怀不轨,那就更可以肆意作恶了,说不定还会甩锅给不存在的黑客呢。
c. 个人信息重如泰山,却又极其脆弱。
绝大部分个人信息的价值就在于其自身是隐秘的,而且通常是不可再生的。所以,“复制泄露”其实就意味着“信息死亡”。
比如你的姓名身份证号,一旦被泄露到网上公开展示销售,那原始信息也就丝毫不值钱了。而且你还难以更改,所以这种暴露伤害几乎是一辈子的。
小结一下:个人信息泄露的源头不仅多种多样,而且由于其天然的脆弱性,只要一处被攻破,即使其他信息管理机构很强大很自律,那也没有用。如此不健康的短板木桶,是我们表面繁荣的互联网生态共同催生的恶果,目前看来无药可治,苦果也只能一起扛。
03
那就接着来看看苦果是什么吧:这些泄露出去的信息,会被怎么使用呢?
一种是间谍性质的。
会对偷取来的大量信息进行有预谋的数据分析,用以揭示背后不为人知的秘密。这种行为比较隐秘,而且为了长期收集的目的,也不会将这些信息二次散发出去。值得警惕的是,除了商业领域的间谍以外,偶尔也会存在国家安全领域的间谍行为。
另一种则是黑客性质的。
会伪装成信息原主人的身份,来实行更进一步的作恶。
大体来说会造成两类结果,一是伪造或者窃取受害者在其他系统中的信息,特别是侵害金融账户中的各类财产,无论是转账、消费还是骗贷,都很常见;二是利用受害者的特殊地位,侵入特定的系统里来获取其他人的信息。
无论哪一种,都是将信息泄露的口子又进一步撕开,掠夺更多的信息。于是,就又为更大的泄露事件创造了机会,让这个恶性循环永无止境。
这里的关键问题在于,绝大部分应用系统对信息验证的级别是非常弱的,太过于相信“信息本身”,而难以校验输入信息的人是谁,这对已经掌握了关键信息的黑客几乎等于不设防。
客观地说,关于这一点,现在的技术水平确实还提供不了更好的通用解决方案,比如人脸识别,不仅受限于成本和社会伦理问题,而且技术上也已经被黑客攻破乃至造成更大的危害了。
因此为了广大用户的普适可用,绝大部分应用方系统即使知道风险,也只能甘愿放开。毕竟,危险属于未来,眼前更重要的是越来越卷的用户活跃度竞争。
04
分析到这里我们会发现,个人信息的泄露已经陷入了一个无法停止的黑洞,其毁灭一切的速度正随着侵蚀信息的越来越多而加快。
有一天,也许我们刚在某个新应用中完成注册,隔天就发现自己在银行账户中的钱不翼而飞了。
更或许,我们在懵然无知中,就已经被黑客假冒身份在数个灰色网站上注册了账号并发表了大量未知言论。
如此灰暗的未来,相信正常的人都不会想要的。可是到底该怎么办呢?
悲观地说,按照当前的方式继续下去,没救。
从技术角度,如果能掐断流通过程中的第 3 步收尾阶段,也就是能在注册、登录时不依赖脆弱的、可能被复制的个人信息,那就还可以缓解。
但也仅仅只是撑起一片净土,让采纳这种方式的部分应用和部分用户不再受损,仍然无法改变整体坠落的大势。
当代数字身份之殇,莫过于此。
关于令牌云
令牌云是一家新锐的数字身份科技公司,专注于让身份更可信、隐私更安全、连接更便捷。
我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术,帮助企业客户实时鉴别当前用户是否为账号持有本人,让产品流程既顺畅又安全,提升业务成功转化率。
令牌云已在金融、互联网领域率先取得突破,获得多家知名企业的商用认可,正在面向更多行业提供灵活高效的解决方案。
欢迎点赞+收藏本文章,如需转载请通过 service@eidtoken.cn 联系我们。
你还可以在以下平台找到我们~
公司官网:https://www.eidtokencloud.com/
微信公众号:搜索“令牌云数字身份”并关注
知乎:令牌云数字身份
InfoQ:令牌云数字身份
搜狐号:令牌云数字身份
头条号:令牌云数字身份
百家号:令牌云数字身份
版权声明: 本文为 InfoQ 作者【令牌云数字身份】的原创文章。
原文链接:【http://xie.infoq.cn/article/d5a6e8d5fd706a364762a37d8】。文章转载请联系作者。
评论