Akamai：你在買商品，殊不知你的個(gè)人信息可能也是“商品”！

年底電商大促活動(dòng)即將開始，商品已在購(gòu)物車?yán)镄顒?shì)待發(fā)，花唄白條銀行卡額度早已準(zhǔn)備好，各種電商平臺(tái)的優(yōu)惠規(guī)則也已經(jīng)完全理清（你確定？），就等時(shí)間一到愉快地買買買！

不過(guò)，你猜黑客們會(huì)買點(diǎn)啥？別的不敢說(shuō)，買賣用戶信息，那是肯定少不了的。

Akamai最近發(fā)布的《互聯(lián)網(wǎng)現(xiàn)狀|安全性》報(bào)告第6卷第3期，就圍繞針對(duì)零售和酒店行業(yè)的用戶隱私數(shù)據(jù)，尤其是會(huì)員賬號(hào)信息的販賣問(wèn)題進(jìn)行了深入的調(diào)查分析。

觸目驚心的現(xiàn)狀

在本次報(bào)告的調(diào)研期間，Akamai分析了2018年7月到2020年6月間總共超過(guò)1000億次撞庫(kù)攻擊，發(fā)現(xiàn)其中超過(guò)630億次明確以零售、旅游以及酒店行業(yè)為目標(biāo)。此外還有大量攻擊者通過(guò)SQL注入（SQLi）和本地文件包含（LFI）這兩種方式對(duì)上述行業(yè)開展了超過(guò)40億次攻擊（其中有83%以零售業(yè)為目標(biāo)），占此類攻擊總量的41%。

此外還有分布式拒絕服務(wù)（DDoS）攻擊。這類攻擊會(huì)讓任何零售商聞之變色，因?yàn)槿绻麄兊脑诰€商務(wù)門戶由于海量數(shù)據(jù)包和惡意流量的侵襲而崩潰，將面臨每秒數(shù)千美元的損失。在2019年7月到2020年6月期間，商業(yè)門類遭受了125次DDoS攻擊。其中90%的攻擊以零售業(yè)公司為目標(biāo)，其余攻擊則以旅游和酒店業(yè)為目標(biāo)。

攻擊的背后，都是買賣

撞庫(kù)攻擊如此盛行的原因很簡(jiǎn)單：密碼。循環(huán)使用的密碼，多個(gè)網(wǎng)站共用同一個(gè)密碼，過(guò)于簡(jiǎn)單的密碼，這些都可能導(dǎo)致撞庫(kù)攻擊成功施展。此外，對(duì)于零售、旅游、酒店等行業(yè)商家，用戶在他們網(wǎng)站注冊(cè)的賬戶中往往包含大量有價(jià)值的個(gè)人信息，甚至直接包含等同于金錢的信息（如銀行卡支付信息、店鋪余額、積分等），這些信息還可進(jìn)一步用來(lái)交易牟利，所以，哪個(gè)攻擊者會(huì)不動(dòng)心？

Akamai的研究過(guò)程中重點(diǎn)關(guān)注了一例從2019年開始，以連鎖超市為用戶提供的加油優(yōu)惠券為目標(biāo)的攻擊。這看起來(lái)似乎很奇怪，并且完全超出了普通人的認(rèn)知，但也完全凸顯了撞庫(kù)攻擊能為攻擊者帶來(lái)的好處。通過(guò)銷售以非法手段獲得的數(shù)據(jù)，買家只需支付13美元，即可在加油時(shí)最多節(jié)省30美元。

類似的情況在酒店業(yè)也是屢見不鮮。黑客竊取的酒店客戶賬戶，會(huì)根據(jù)賬戶中的余額或積分額度以不同定價(jià)銷售。例如下圖所示的這個(gè)例子，某知名全球連鎖酒店的失竊賬戶，包含10000積分的賬戶售價(jià)3美元，包含40000積分的賬戶售價(jià)30美元……

如果嫌購(gòu)買單個(gè)賬戶太麻煩，那么還可以“批發(fā)”哦！在通過(guò)SQLi等手段獲取到商家的整個(gè)數(shù)據(jù)庫(kù)后，再將數(shù)據(jù)庫(kù)整個(gè)打包銷售，簡(jiǎn)直不要太方便。比如下圖所示的某酒店和旅游預(yù)訂網(wǎng)站外泄的數(shù)據(jù)庫(kù)，其中包含設(shè)備信息、郵件地址、密碼、用戶名以及其他個(gè)人信息共1700萬(wàn)條，打包售價(jià)僅僅為28美元……

結(jié)論

零售、酒店、旅游行業(yè)一直以來(lái)始終都是在線攻擊的重災(zāi)區(qū)，因?yàn)檫@些行業(yè)的客戶信息很容易就可以變現(xiàn)。雖然防范措施不斷完善，但攻擊手段也在更新，所以這樣的攻擊始終未曾停歇。對(duì)于這種情況，最簡(jiǎn)單有效的應(yīng)對(duì)手段無(wú)外乎強(qiáng)密碼，以及多因子身份驗(yàn)證。Akamai在研究中發(fā)現(xiàn)，很多知名品牌的會(huì)員賬戶簡(jiǎn)單到只需要輸入手機(jī)號(hào)和密碼就能登錄，沒有任何額外的驗(yàn)證措施！

這場(chǎng)曠日持久的攻防拉鋸戰(zhàn)還將繼續(xù)，而相關(guān)企業(yè)也迫切需要采取措施，這不僅是為了更好地保護(hù)客戶，也是為了保證品牌聲譽(yù)不受影響，甚至免受GDPR等法規(guī)的懲罰。

好在信息安全并不是“一錘子”買賣，而是一種保證業(yè)務(wù)持續(xù)開展的，不斷完善的過(guò)程。所有企業(yè)都需要盡快適應(yīng)不斷變化的新趨勢(shì)，并在技術(shù)手段的幫助下有效應(yīng)對(duì)。