前程無憂195萬條用戶信息外泄 暗網售價12個比特幣

GIF

據澎湃新聞報道，前程無憂51Job.com（Nasdaq：JOBS）用戶信息在暗網上被公開銷售，僅支持比特幣支付。

黑客展示了部分樣本數據，包括郵箱、密碼、真實姓名、身份證號碼、電話等。

據販賣用戶信息者稱，其手中共有195萬條數據可被銷售，打包價為12個比特幣。（目前1個比特幣價格超過4萬元人民幣，12個比特幣總價約50萬元人民幣。）

前程無憂方面證實，部分用戶賬戶密碼被撞庫，但否認該公司數據被拖庫。

近期，在暗網通過比特幣兜售用戶數據頻發。

不久前，A站的用戶信息也在暗網上被兜售，在出售貼中，黑客聲明僅支持比特幣交易。此後，又有網友爆料稱12306和摩拜單車的用戶數據或內網許可權掛在暗網出售，也是需要比特幣支付。

「2016年至2018年3月的3000萬條12306數據」被泄露，其中包括「手機號、密碼、支付密碼、姓名、身份證號碼、答案」等內容，傳言在暗網售價10個比特幣。

對此，中鐵總方面回應稱，經核查，該網站未發生用戶信息泄漏，網傳信息與鐵路12306網站無關。為確保個人信息安全，鐵路部門提醒廣大旅客，請通過鐵路12306官方網站和「鐵路12306」客戶端購票，避免非正常渠道購票帶來的風險。

另有消息稱摩拜單車的用戶數據也在暗網被兜售，標價整體40萬。

還有截圖顯示，摩拜單車Shell和內網許可權也在暗網出售，也是只支持比特幣支付。

摩拜方面回應，摩拜收到情報後第一時間啟動全量排查，暫未發現數據泄露和入侵的現象，相關網路傳言不實。

需要注意的是，因為比特幣地址的匿名性，近期黑客出售用戶數據，包括一些勒索病毒都是選擇用比特幣接受支付。比特幣的監管可能是亟需思考的議題。

區塊鏈+信息安全

區塊鏈技術作為繼互聯網之後，下一代具有顛覆性的技術革命，似乎為數據安全保護帶來了新的希望。

1

區塊鏈的數據加密保護到底有多強？

我們都知道區塊鏈技術能夠實現信息的公開透明，也具有匿名交易的特點，但是匿名交易在保護隱私安全上效果並不好，那麼在隱私數據保護方面，區塊鏈技術是如何實現的呢？

（1）混幣原理(CoinJoin)：混幣原理是割裂輸入地址和輸出地址之間的關係。簡單來說，在一個交易中，有很多人參與，交易不再是個人對個人的關係，而是多人對多人的關係，這樣具體到每個人，就很難找出與之對應的交易方，輸入與輸出之間的聯繫被事實上割裂。多次混幣、每次少量幣，效果更好。例如達氏幣（Dash）。

（2）環簽名：環簽名解決了對簽名者完全匿名問題。在環簽名方案中，環中一個成員利用他的私鑰和其他成員的公鑰進行混合，但卻不需要徵得其他成員的允許，最後再由接收者的私鑰解密驗證，這樣一來驗證者只知道簽名來自這個環，但不知到誰是真正的簽名者，也就無法判斷交易發起者的公鑰是哪一個。例如門羅幣。

（3）同態加密：同態加密是一種無需對加密數據進行提前解密就可以執行計算的方法。也就是說，區塊鏈仍舊是公有區塊鏈。但區塊鏈上的數據將會被加密，從而實現了公有區塊鏈具有私有區塊鏈的隱私效果。

我們舉個實際生活中的例子：Alice是一家珠寶店的店主，她想讓員工將一塊黃金加工成首飾，但又怕員工偷取黃金，於是她製造了一個鎖著的手套箱用於放黃金和做好後的首飾，鑰匙由她隨身攜帶，通過手套箱，工人可以將手伸進手套來進行加工，這樣工人既能夠加工首飾，又不肯能偷走黃金，而Alice則能夠通過鑰匙拿到首飾和剩餘的黃金。

（4）零知識證明（ZKPs）：ZKP是一種密碼學技術，是一種在無需泄露數據本身情況下證明某些數據運算的一種零知識證明，允許兩方（證明者和驗證者）來證明某個提議是真實的，而且無需泄露除了它是真實的之外的任何信息，例如Zcash和Zcoin。

（5）其他：除了運用演算法處理信息，還有其他一些隱私數據保護方法，例如：1）Enigma系統的方式。它先將數據分解成碎片，然後使用數學方法對數據進行組合計算，外界單獨從每一碎片獲知整個原始數據是不可能的。

2）很多聯盟鏈都允許用戶可以設置交易信息對其他企業的可見度，而他的行業合作夥伴無權分享機密信息。

2

區塊鏈在數據安全中的應用現狀如何？

（1）Sovrin：實現安全和私人的自主主權數字身份

隸屬於非營利性組織Sovrin基金會的多家金融科技公司、軟體製造商以及電信提供商等企業正在聯手開發一個名為Sovrin的基於區塊鏈的網路。據報道，該網路可以幫助全球範圍內所有處於這一網路中的任何實體，他們都會擁有一個在線交換數字憑證，且不必擔憂暴露任何私人數據。在線憑證類似於識別人們在實體錢包中存放的個人信息，如駕照、銀行卡或公司ID。通過區塊鏈技術，這些驗證信息會自動發送給請求者。數字錢包的擁有者可以設置請求企業能夠收到哪些信息。

據悉，IBM已宣布加入該網路，以幫助企業、非營利組織以及政府，構建消費者與他們進行交易的基礎架構和應用程序。目前，該網路尚處於測試階段，預計將於今年夏天對外提供該服務。

（2）微軟攜手Tierion：打造基於區塊鏈的數字身份證平台

科技巨頭微軟去年就同初創公司Tierion合作推出基於區塊鏈的數字身份證平台，試圖創建一套不可更改的系統，允許用戶通過加密數據中心控制對敏感在線信息的訪問，以此來保障公共區塊鏈上敏感數據的安全。

（3）英特爾聯合R3：加強Corda區塊鏈平台的數據隱私和安全性

IT巨頭英特爾去年在紐約舉行的英特爾Xeon可擴展處理器發布會上宣布與R3合作，加強其Corda區塊鏈平台的數據隱私和安全性。

作為解決Corda數據隱私和安全的一部分，該平台只向「需要知道」的人發送數據，這與大多數區塊鏈應用程序不同。這一特點源自金融機構的要求，需要確保貿易和協議的保密性。

（4）騰訊：推動物聯網應用場景中安全防護能力的建立

去年，騰訊公司和英特爾公司宣布共同開發區塊鏈技術，用於騰訊TUSI安全實驗室，以推動物聯網應用場景中安全防護能力的建立。

騰訊移動互聯網事業群副總裁吳宇表示：「隨著物聯網技術的飛速發展，越來越多的物聯網應用場景落地推廣，日常生活中的支付環節也逐漸被各個應用場景的移動支付所替代，物聯網時代，人們的生活更加智能便捷，但同時，也面臨著個人信息泄露和財產損失等安全威脅。騰訊攜手無錫市政府，建立TUSI安全實驗室，為用戶、IOT設備提供了金融級安全防護能力；同時與Intel在區塊鏈技術領域形成合作意向，使得用戶的賬號體系得到了硬體級別的安全防護。」

（5）ID2020：利用區塊鏈技術讓用戶直接擁有和控制個人數據

在今年1月舉行的瑞士達沃斯舉行的世界經濟論壇上，微軟和區塊鏈聯盟超級賬本（Hyperledger）宣布加入區塊鏈數字身份識別倡議組織——ID2020聯盟。此外，援助機構Mercy Corps和聯合國國際計算中心也已經加入了該聯盟。該聯盟正在開發一套解決方案，利用區塊鏈技術實現用戶直接擁有和控制其個人數據的權利，通過提供數字身份來改善人們的生活，提升隱私安全。

（6）Obsidian：利用區塊鏈保護隱私信息

初創公司Obsidian利用區塊鏈保護即時聊天工具和社交媒體上流轉的隱私信息。Obsidian使用無法被任何單源控制並審查的區塊鏈分散式網路。此外，通信元數據分散在分散式賬本中，無法在某個集中點收集，因此降低了通過數字指紋監控的風險。用戶無需連接到電子郵箱或電話號碼，從而保護了隱私。

（7）X-roads：建設開創性的數據公共基礎設施

位於東歐的愛沙尼亞共和國基於區塊鏈技術的建設了一種開創性的數據公共基礎設施——X-roads，即所有的個人數據都存儲在本地，只有經過驗證之後才可以查找、分享，而且每一次被查看都有記錄可循，個人可以決定哪些數據對哪些人在哪些情況下公開。這種數據的存儲是分散式的，數據存儲在本地，而不是在一個中央的伺服器上或者一個集中的平台上。愛沙尼亞法律規定，未經允許查看別人的記錄是違法的行為。X-roads的創立和應用為保護用戶隱私、保證數據完整等方面提供了新的思路。目前，X-roads已經應用在立法、投票、教育、司法、醫療、銀行和繳稅等各個方面。

此文章為牛頓區塊鏈原創，特此聲明！

熱 文 推 薦

防止失聯 獲取更多乾貨

請加入牛頓區塊鏈小蜜圈

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！