與往年相比，信息盜竊行為可以說是越來越猖狂，僅去年上半年，就有41億條信息遭泄露，無論是信息泄露事件數(shù)，還是信息泄露數(shù)都較2018增長了50%。眼下就有一件鬧得沸沸揚揚的信息泄露事件，萬豪酒店信息泄露，導致520萬房客數(shù)據(jù)被盜取，這已經(jīng)是萬豪第二次信息泄露了。

還記得上一次是在2018年11月，當時萬豪數(shù)據(jù)庫被入侵，直接導致3.8億顧客信息被竊取，最后萬豪被集體索賠125億美元，這還不包括被英國數(shù)據(jù)隱私監(jiān)管機構判罰的9900萬英鎊（約合1.24億美金）。

雖然，看上去損失慘重，但這和近些年的信息泄露事件所造成的損失比起來，也不過是九牛一毛，在未來信息盜竊的事件很可能越來越多，屢禁不止，想想都不禁讓人后怕！

雖然信息泄露形勢嚴峻，但讓小培更擔心的是，人們對于信息泄露事件的關注度以及自我保護的能力，大家都知道信息盜竊本身確實是一種犯罪，但卻少有人關注和在意自己的信息泄露問題，似乎信息泄露無關乎疼癢，對自己造成不了多大威脅。

殊不知其破壞性必須在被盜后用于惡意目的才會不斷彰顯，比如當攻擊者將槍口瞄準人們的保險、銀行卡、信用卡、支付寶等等時，對用戶造成的威脅將是毀滅性的、不可逆轉的！

為了在享受網(wǎng)絡帶來的高效便捷的同時，不受其反噬和侵害，我們有必要去了解清楚信息泄露的來龍去脈。

01.信息泄露的幾大原因

提到信息泄露，絕大部分人都能聯(lián)想到黑客，認為他們才是信息泄露的罪魁禍首，可實際上，很多時候不是別人企圖得到我們的信息，而是我們在不經(jīng)意間把自己泄漏了出去。

此前有一項研究，專門針對2005-2015這十年間，數(shù)據(jù)泄露的原因做了相應的調查，其調查報告顯示：

設備（手機、身份證等）丟失或被盜：占比41%  

黑客或惡意軟件入侵：占比25%  

無意紕漏：占比17.38%  

內(nèi)部泄露：占比12.01%  

支付欺詐及其他原因：占比1.43%

顯而易見，設備丟失、黑客和惡意軟件的入侵是造成信息泄露的主要原因，我們除了在生活中，加強對設備的保護意識，我們還有必要明白，黑客是如何竊取信息的，竊取之后，他們又做這些信息做什么？

02.五種常見的信息泄露及危害

①PII泄露

定義：PII個人信息（Personally identifiable information），具體包括身份證信息、電話、住址、信息卡號以及社保號等極為重要又敏感的信息。

危害：PII在黑產(chǎn)中是極為吃香的數(shù)據(jù)信息，攻擊者獲取到用戶的PII后可以直接對用戶進行攻擊，比如以用戶名義申請貸款，或是直接售賣信息給一些營銷機構，用戶輕則接到騷擾電話、垃圾郵件的輪番轟炸，重則造成毀滅性的財產(chǎn)損失！

②醫(yī)療信息泄漏

定義：醫(yī)療信息包括醫(yī)療保險、就醫(yī)記錄等用來記錄醫(yī)療活動的相關數(shù)據(jù)。醫(yī)療信息與個人信息相比，更具有商業(yè)價值，醫(yī)療信息可以幫助某些行業(yè)獲得更加精準的用戶，從而針對性銷售！

危害：醫(yī)療信息被泄露，攻擊者將可能利用用戶的醫(yī)療信息購買藥物，造成延誤泛濫的現(xiàn)象。除此之外，還可能給某些病人帶來被營銷電話騷擾的危害！

③支付卡信息泄漏

定義：支付卡信息是指與個人支付卡中的數(shù)據(jù)相關的信息，包括信用卡和借記卡數(shù)據(jù)以及其他相關的信息。

危害：這些數(shù)據(jù)與財務信息相似，因為它也會直接影響到用戶的財務安全。然而，支付卡信息可能會比財務信息更危險，因為這些信息可以用來進行在線交易和付款、轉賬。總而言之，財務信息和支付卡信息彼此之間都是密切相關的。

④財務信息泄漏

定義：財務信息包括保險信息、賬單信息、股票賬號等，是用戶財務活動和交易的相關數(shù)據(jù)。

危害：當財務信息被竊取后，攻擊者極可能對用戶進行線上欺詐、轉移銀行賬戶資產(chǎn)等惡意攻擊的活動，甚至還有些專業(yè)黑客直接利用你的財務信息偽造信用卡，牟取暴利，比較成熟的交易賬戶在暗網(wǎng)可以賣到300美元！

⑤用戶憑據(jù)泄漏

定義：憑據(jù)是憑證、依據(jù)的意思，也就是用戶的在線賬號密碼，以及其它網(wǎng)站或設備的登入資格。

危害：在暗網(wǎng)，各類銀行的登陸憑據(jù)售賣價格最高可達500美元，用戶憑據(jù)被盜，比PII被盜更可怕，因為攻擊者可以隨意登入你的郵箱或其它重要賬號，電子郵箱一旦被入侵，很可能進一步導致更多信息被竊取，郵箱還可能被攻擊者用來網(wǎng)絡釣魚。

以上幾種信息泄漏場景有著"牽一發(fā)而動全身"的關系，只要有一個地方造成信息泄漏，將一定程度增加其他信息泄漏的機會，比如，電子郵箱信息被竊取，如果該郵箱有用戶銀行賬單之類的私密信息，這將會進一步導致用戶的財產(chǎn)安全受到威脅。

03.如何預防信息泄漏

①不要輕易對外透露自己的信息

不要在社交平臺透露自己的個人信息；網(wǎng)購時，也盡量避免用真實地址和姓名，不要隨意丟棄火車票、銀行對帳單、火車票等憑據(jù)。

②不要隨意點擊網(wǎng)址或掃碼

一些來路不明的郵件、網(wǎng)址，應提高警惕，不要輕易點開；不要隨便掃二維碼，或是輕易點擊公共場所的免費WIFi，盡量訪問有SSL證書的瀏覽器，這樣可以防止數(shù)據(jù)傳送的過程中被攔截、篡改或是被劫持。

③加強設備的保密性

用戶可以對一些重要的設備部署防盜保護措施，這樣防止數(shù)據(jù)被黑客輕易訪問，此外，還應該盡量將各個網(wǎng)站、賬號或是手機的密碼復雜化，降低被盜風險。

總之，安全領域涉及到的內(nèi)容是比較多的，對于從事安全領域的朋友們來說，若想在安全領域有更好的發(fā)展，還需學習更多專業(yè)的知識。中培偉業(yè)14年專注于IT培訓，在網(wǎng)絡安全、項目管理、企業(yè)架構、人工智能等方向的學員超過十萬。

點擊在線咨詢，歡迎預約我們的CISP、CISP-A等課程試聽體驗。