Akamai：你在買商品，殊不知你的個人信息可能也是“商品”！

年底電商大促活動即將開始，商品已在購物車里蓄勢待發(fā)，花唄白條銀行卡額度早已準備好，各種電商平臺的優(yōu)惠規(guī)則也已經(jīng)完全理清（你確定？），就等時間一到愉快地買買買！

不過，你猜黑客們會買點啥？別的不敢說，買賣用戶信息，那是肯定少不了的。

Akamai最近發(fā)布的《互聯(lián)網(wǎng)現(xiàn)狀|安全性》報告第6卷第3期，就圍繞針對零售和酒店行業(yè)的用戶隱私數(shù)據(jù)，尤其是會員賬號信息的販賣問題進行了深入的調(diào)查分析。

觸目驚心的現(xiàn)狀

在本次報告的調(diào)研期間，Akamai分析了2018年7月到2020年6月間總共超過1000億次撞庫攻擊，發(fā)現(xiàn)其中超過630億次明確以零售、旅游以及酒店行業(yè)為目標。此外還有大量攻擊者通過SQL注入（SQLi）和本地文件包含（LFI）這兩種方式對上述行業(yè)開展了超過40億次攻擊（其中有83%以零售業(yè)為目標），占此類攻擊總量的41%。

此外還有分布式拒絕服務(wù)（DDoS）攻擊。這類攻擊會讓任何零售商聞之變色，因為如果他們的在線商務(wù)門戶由于海量數(shù)據(jù)包和惡意流量的侵襲而崩潰，將面臨每秒數(shù)千美元的損失。在2019年7月到2020年6月期間，商業(yè)門類遭受了125次DDoS攻擊。其中90%的攻擊以零售業(yè)公司為目標，其余攻擊則以旅游和酒店業(yè)為目標。

攻擊的背后，都是買賣

撞庫攻擊如此盛行的原因很簡單：密碼。循環(huán)使用的密碼，多個網(wǎng)站共用同一個密碼，過于簡單的密碼，這些都可能導(dǎo)致撞庫攻擊成功施展。此外，對于零售、旅游、酒店等行業(yè)商家，用戶在他們網(wǎng)站注冊的賬戶中往往包含大量有價值的個人信息，甚至直接包含等同于金錢的信息（如銀行卡支付信息、店鋪余額、積分等），這些信息還可進一步用來交易牟利，所以，哪個攻擊者會不動心？

Akamai的研究過程中重點關(guān)注了一例從2019年開始，以連鎖超市為用戶提供的加油優(yōu)惠券為目標的攻擊。這看起來似乎很奇怪，并且完全超出了普通人的認知，但也完全凸顯了撞庫攻擊能為攻擊者帶來的好處。通過銷售以非法手段獲得的數(shù)據(jù)，買家只需支付13美元，即可在加油時最多節(jié)省30美元。

類似的情況在酒店業(yè)也是屢見不鮮。黑客竊取的酒店客戶賬戶，會根據(jù)賬戶中的余額或積分額度以不同定價銷售。例如下圖所示的這個例子，某知名全球連鎖酒店的失竊賬戶，包含10000積分的賬戶售價3美元，包含40000積分的賬戶售價30美元……

如果嫌購買單個賬戶太麻煩，那么還可以“批發(fā)”哦！在通過SQLi等手段獲取到商家的整個數(shù)據(jù)庫后，再將數(shù)據(jù)庫整個打包銷售，簡直不要太方便。比如下圖所示的某酒店和旅游預(yù)訂網(wǎng)站外泄的數(shù)據(jù)庫，其中包含設(shè)備信息、郵件地址、密碼、用戶名以及其他個人信息共1700萬條，打包售價僅僅為28美元……

結(jié)論

零售、酒店、旅游行業(yè)一直以來始終都是在線攻擊的重災(zāi)區(qū)，因為這些行業(yè)的客戶信息很容易就可以變現(xiàn)。雖然防范措施不斷完善，但攻擊手段也在更新，所以這樣的攻擊始終未曾停歇。對于這種情況，最簡單有效的應(yīng)對手段無外乎強密碼，以及多因子身份驗證。Akamai在研究中發(fā)現(xiàn)，很多知名品牌的會員賬戶簡單到只需要輸入手機號和密碼就能登錄，沒有任何額外的驗證措施！

這場曠日持久的攻防拉鋸戰(zhàn)還將繼續(xù)，而相關(guān)企業(yè)也迫切需要采取措施，這不僅是為了更好地保護客戶，也是為了保證品牌聲譽不受影響，甚至免受GDPR等法規(guī)的懲罰。

好在信息安全并不是“一錘子”買賣，而是一種保證業(yè)務(wù)持續(xù)開展的，不斷完善的過程。所有企業(yè)都需要盡快適應(yīng)不斷變化的新趨勢，并在技術(shù)手段的幫助下有效應(yīng)對。