当今世界,信息泄漏的安全事故频繁发生。 而人们关注的焦点,却往往在于事故所殃及的人数。人数越多,则影响越大。 但对于受害者来说, 有1万人陪着,还是有5千万人,这之间真的有区别吗?
仅仅从犯罪的角度来看,每次窃取信息所祸害的人数,对于罪行是没有影响的。对犯罪源头的黑客来说,窃取1百万条记录比窃取1千条记录收益要大,所以黑客一定会黑了又黑的没完没了,直到拿到了最多的数据记录。 但除了黑客,网络犯罪的世界里,极其重视窃取数据的实效性和完整性。
有很多见不得光的交易场所,可以买卖窃取来的数据。包括各种黑客站点、各种隐秘的网站门户、各种数据交易站点或者其它什么交易场所。在这些地方,数据的交易价格也各不相同。 每条价格从 0.01 美分到 200 美金都有可能。 数据的价格也因个人信息的类别而差距极大。举个例子来说明,一旦泄漏事故被报道出来,则事故规模越大,信用卡记录的价值(包括姓名、地址、信用卡号、过期日期和CCV)会降低越多。原因在于,信用卡公司会更加快速的将这些卡添加到欺诈检测系统中,而银行则可能直接挂失这些卡。
在这样的一个生态环境中,存在各种各样的犯罪服务。这些服务帮助管理、验证、分销和隐藏盗窃来的数据。 例如,中间人或者服务商,通常收取25%的费用,来帮助卖家和买家传送数据。这些服务者还有评级系统和客户评价。同时,还有一种服务,每周处理几千万的信用卡信息,以验证每张卡是否还“活”着并判断每个账户的信用额度。
很多公众信息泄漏,造成用户姓名、电子邮件地址和相关密码的失窃。 幸运的是,多数情况下,密码都是加密的; 然而,往往数据被窃取时,秘钥(或者是盐)也会一并失窃。 在大多数的网络犯罪中,这种类型的数据是没有价值的;要想这些数据变废为宝,则在找到买家之前,黑客必须破解密码。而密码的破解非常耗费时间和资源,当然取得这些资源也并不困难。 退一步说,即便黑客能做到破解,账户和密码也只能打包贱卖,收不来几个小钱。 比如说,黑客窃取了一百万条数据,其中包含25万Gmail用户的邮件地址,但未必有多大价值。
安全事故的受害者,一定要清楚到底那些数据被窃取了。 25万条数据(用户名,邮件地址,和破解的密码)可能只卖了可怜的20美金。 购买者接着就可能用这些数据对其它网站进行暴力破解(包括gmail),希望能够碰上用户重复使用相同密码的好运。这些数据的价格(价值)每过一小时、每多卖一次(黑客卖出,或者购买者再次卖出)都会急剧降低。一旦这些被偷盗的数据公布了(例如,贴到了pastebin 网站上或者发布到了一个安全博客上),数据也就完全没有价值了。只有那些做安全研究的人,才可能还会有兴趣。
泄漏的信用卡信息,总会引起媒体最大的兴趣。但银行和信用卡公司,也在炮火中成长,已经能够非常迅速、高效的应对这些信息泄漏。实际上,这些金融机构已经在美国投入重金用于部署自动欺诈检测系统。泄漏了信用卡信息,就直接导致人们丢失钱财的可能性,已经非常小了。
随着美国在信用卡和储蓄卡上普及芯片技术(从2015年10月开始),复制伪造卡片和店内欺诈的情况将进一步减少。对于那些黑客来说,窃取的信用卡信息也越来越没有价值。 很多人都曾经质疑,美国的“芯片加签名”策略,在防欺诈上,是否优于欧洲的“芯片加密码”。
如果窃取的邮件地址、密码甚至是信用卡信息,对于黑客不再意味着大笔的金钱,那么谁还会浪费精力去去偷去骗呢?
信息越详细,则用途越多,因而对于网络犯罪生态圈的价值也就越大。 举个例子,一条数据,如果包含了用户的全名、地址、生日、社保号、驾照号、身份影像(护照页或者驾照的扫描文件)和银行账号,则可能价格高达100美金。具体价格随用户所在的国家和国籍而定。
很多人就此猜测,这些数据当然会被用来从受害人的银行账户里转移资金。如果罪犯能够挖到账户的在线密码,那么确实是会这样的。但更可能的情况是,这些数据会被用来创建多个新银行账户,以用来为其它国际犯罪企业洗钱,或者用来申请新的信用卡和贷款,从而快速取现。
不论是一个硬件零售商店的大规模数据泄漏,还是一个鲜花网店的一百条数据丢失,对于受害人来说,丢失的数据数量都不是关键。关键的是数据的类型、数据的完整程度和时效。 受害人一定要清楚直到那些数据被窃取了。 那些难以修改或者删除的数据,带来的损失最大、威胁的时间最长,也因其价值更容易成为罪犯的目标。
(http://techcrunch.com/2015/10/25/valuing-a-data-breach-victim/)
网友评论