千金之子坐不垂堂
危机
今天上午,偶然打开朋友圈,我看见了一位大数据服务公司的联合创始人转发了一篇文章。
文章大意是:昨天某媒体爆料说国内某大型电子商务平台发生了用户信息外泄事件。黑市上该数据集被明码标价进行交易。今日凌晨,该平台已经作出回应,承认因2013年的系统漏洞,导致10余G的用户信息从该平台流出。
我看到这个消息之后,二话没说做了两件事:1. 修改了自己的密码;2. 把这则消息转发了出去。
很快,我就看到了一次刷屏。许多好友看到之后,第一时间跟着转发了这则消息。有趣的是,几乎所有转发这则消息的,都是我那些在IT圈里的朋友。
他们对技术是内行,耸人听闻的消息是吓不住他们的。他们第一时间快速大面积的转发(有的甚至连我的转发评论都一字不差照搬了),证明了这件事在他们心中的严重性。形成鲜明对比的是,我其他的好友——那些非技术从业人员——对于我的这次转发似乎无动于衷。
下午,还有好友在朋友圈问了我一句:我如果不修改密码,能怎样?
我愣了十秒钟,整理了一下思绪,写出了这篇文章。
隐私
如果你不修改密码,那么现在那些通过黑市获得了这个数据集的人便可以用你的账号登录该平台。他们会确认以下问题:你的登录账号是什么;你的密码是什么;你的昵称是什么;你的邮件地址是什么;你的电话号码是什么;你的支付方式是什么……
他可以记录该平台上面一些对你来讲非常隐私的事情:你家住在哪个小区、几号楼几门、几层几单元。你的私人联系方式——平时恐怕都不会给陌生的业务联系人——现在可以被人一览无余。
更要紧的是有时候你登陆这个大型的电子商务平台,用的并不是邮件和密码的组合方式,而是采用了第三方登录——例如微信或者QQ等——因为方便啊,扫码就行。那人家就可以把你的不同账号关联了起来,知道这都是你一个人的。换句话说,你被从互联网上“识别”了出来。
你的全部的购物记录、搜索记录、浏览记录,以及放在购物车里面等待促销活动的各种商品,都会暴露在别人的视野中。
他们会从容地了解到:你的手机是什么型号?你读书多吗?你读过哪些书?你喜欢买零食吗?你买的化妆品是哪一个档次的?衣服喜欢买什么品牌?甚至是你三围尺码……上面全都有。
这就如同你把自己家的门钥匙放在了锁上,谁都可以打开门来到你家参观溜达一圈。值得注意的是,凡是花钱去买这套数据集的人,很难对于别人的隐私不感兴趣。如果你是个有趣的人,兴许会有很多人到你的账号下面组团参观。
如果你觉得这个事情可以忍受的话,当我没说。
撞库
有人说我在这个平台上虽然注册了账号,但是我不常使用它。除了大促销,一年使用次数只有个位数而已。那我还用得着去改密码吗?
你是不是还用其他的电子商务平台?这么多电子商务平台密码如果设置得不一样,你记得住吗?如果你觉得自己记不住的话,你会怎么办呢?
对,你会设置成统一的密码。
黑客拿到了你的常用登录昵称、你的电子邮件地址和你的密码,可以到其他的电子商务平台上挨个儿去试。靠着工具帮忙,他不会觉得这事儿有多麻烦的。在信息安全领域,这种操作有个术语叫做“撞库”。
许多人采用了统一密码,于是人家同时获得了你在若干个电子商务平台上的信息。他可以分析出很多东西。包括你购物的频次、商品档次、居住地点变化。而且甚至会深入到邮件系统甚至大型论坛、社交媒体上了解到你的活动规律、言论等。某国情报系统中甚至都有技术人员因此中招,你觉得自己的防范能力比他还高?
社工
听到这里,你可能已经坐不住了,马上就要去修改密码了吧?别着急,请听我说完。这只是多米诺骨牌倒下的第一张,这之后将发生的事情会更令你瞠目结舌的。
有的人不在乎密码泄露,门户洞开。因为他觉得自己身正不怕影子斜。又没有买过什么羞羞的东西,我怕啥?而且自己智力水平超群,完全可以和骗子斗智斗勇且游刃有余。骗子们,放马过来吧!
可是你得明白,骗子都很滑,没有谁会朝着堡垒的正面发起冲击的。人家会另辟蹊径。哪里最容易下手,就从哪里来。
你们家最容易被突破的是谁?
是你家的长辈。他们接触互联网很晚,大多对信息技术没有什么了解。对于信息安全的骗局,他们很少有免疫能力。所以他们是下手的好目标。
有人说我的账号被泄露,关我爸妈啥事儿?他们在这个平台——甚至是所有电子商务平台——根本没有账号啊。从来都是我帮他们买的啊!……
说到这里恐怕你自己都会感觉脖子后面发凉吧。对,当你给他们买东西的时候,你留的难道不是他们的电话和地址吗?
这些数据很好分析。一个账号买的东西分送到了几个不同的地址。买《人类简史》和Kindle Oasis的估计是你自己吧。买老人机、拐杖和营养品那个地址……
想想看,骗子搞到了你的手机、邮件、微博、电商记录,还搞到了你家老人的手机和住址,社会工程的难度也太低了吧?
你问社会工程是什么?出门左转看我之前那篇文章《电信骗子的“内应”在哪里?》。
对策
如果你不改密码,会怎样?我想已经说明白了吧?
知道了原理,对策就不难了。
第一条就是改密码、改密码、改密码。
这个大型购物平台的密码当然首先需要改。但是这远远不够,你需要改的包括你常用支付手段的密码。如果你采用第三方账号(微信、QQ等)登录,那么连第三方账号的密码也要一起改——天知道你是不是用了一样的密码!
当然,你要注意改新密码的时候不要再都设成一样的了。这几个平台的密码一定要有区分。密码一定要足够长,包含字符的类型一定要足够丰富,而且……一定要连你自己都记不住。
记不住?!那我改了以后怎么用啊?
请使用密码管理工具。密码管理工具有很多种,请上上网自己搜。我比较推荐的是其中两款收费的。想想看,许多免费工具就在旁边一同竞争,却还有一群人心甘情愿付费使用该产品,必然是有原因的。至于是哪两款——他们没有付给我广告费,所以我不说。
还有别忘了嘱咐你的家人马上去修改密码。把这篇文章也给他们看一眼,让他们了解一下事情的严重性。特别要嘱咐你家老人近期防范骗子。如果有人打电话给他们,声称代表你,且谈话内容涉及钱财、隐私等,请务必让老人跟你本人电话(甚至视频、当面)确认,以防上当受骗。
讨论
你有什么防范信息泄露的高招吗?你遇到过电信骗子吗?你是怎么处理的?你使用什么工具来管理自己的密码?欢迎留言,咱们一起讨论。