學習通事件反思：個人數據泄露的全球性危機

6月20日，包括“M78安全團隊”（首發）在內的多家自媒體發文稱“大學生學習軟件超星學習通的數據庫信息正在被黑客在非法渠道售賣，兜售的數據包含姓名、手機號、性別、學校、學號、郵箱等信息1億7273萬條，售價僅為1.2萬元”，文中描述的“大規模個人隱私數據泄露”，激起了全社會對個人隱私保護和數據安全的強烈關注。

6月21日下午，超星學習通App官方微博發布《關于“疑似學習通用戶數據泄露”傳聞的聲明》。《聲明》稱，學習通不存儲用戶明文密碼，采取單向加密存儲，理論上用戶密碼不會泄露，到目前為止還未發現明確的用戶信息泄露證據。隨即，“M78安全團隊”刪除事件報道文章并聲明正在進一步調查核實相關暗網情報。

學習通“疑似大規模數據泄露”事件以向公安機關報案和官方聲明告一段落，本文也無意討論該事件報道的真偽和“內幕”，但我們必須認識到，近年來全球個人隱私數據面臨的網絡犯罪威脅正急速惡化。

數據泄露最嚴重的國家

網絡安全公司Surfshark最近的一項研究表明，自2004年以來美國始終是數據泄露最嚴重的國家，第二名和第三名分別是俄羅斯和中國。換而言之，美國、俄羅斯和中國是這個星球上數據泄露問題最為嚴重的三個國家。

Surfshark開發了一個統計各國數據泄露情況的在線工具，匯總分析來自27000個泄露數據庫的數據，并使用不同的指標進行分析。

“在全球范圍內，平均每100人有191個賬戶遭到入侵。然而，在美國，這個數字高達每100人泄露694個賬戶，”Surfshark數據研究員Agneska Sablovskaja說。“從統計上講，平均每個美國人會七次成為數據泄露的受害者。”

報告稱，共有87億條美國人隱私數據因泄露而丟失，包括名字、姓氏、IP地址、用戶名和其他數據。這為更多的網絡攻擊打開了大門，因為一次數據泄露可以讓網絡犯罪分子訪問各種配置文件。每泄露10個美國賬戶就包含7個被泄露的密碼，任何泄露都可能產生大面積安全漏洞。

“泄露數據庫是網絡犯罪分子進行網絡釣魚、惡意軟件、勒索軟件、憑證填充和欺騙攻擊的強大工具，”Sablovskaja在電子郵件采訪中說。“因此，丟失數據點肯定會成為各種網絡犯罪的催化劑，同時也會導致進一步的數據泄露。”

很明顯，美國正面臨著一個重大的網絡安全問題，其被入侵用戶占全球所有用戶的15%，雖然尚不清楚為什么美國人會受到如此大規模的入侵，但這顯然與糟糕的數據處理和存儲程序或缺乏強力的個人數據隱私立法脫不開干系。

個人信息在暗網到底值多少錢？

學習通事件之所以引起轟動，其中一個重要“噱頭”就是“1.7億敏感個人數據僅售1.2萬元”，如此“內卷”的價格超出了很多業內人士的想象。

那么，個人隱私數據在真實的暗網中到底是什么“行情”呢？

根據Privacy Affairs的報告，在過去的一年中，暗網泄露數據市場的規模總量和產品種類都在快速增長，隨著數據供應量的暴增，大多數個人信息價格大幅下滑。

基于對暗網市場、論壇和網站掃描數據的“2022年暗網價格指數”顯示，當前個人隱私信息的暗網價格“行情”如下：

• 信用卡詳細信息和相關信息。成本在17美元至120美元之間
• 網上銀行登錄信息費用為45美元
• 被黑的Facebook帳戶：45美元
• 帶PIN碼的克隆VISA信用卡：20美元
• 被盜的PayPal帳戶詳細信息（最低1000美元的余額）：20美元。

與2020年相比，2021年暗網泄露數據增長最快的“商品”是虛假信用卡數據、個人信息和文件，而被黑客入侵的加密貨幣賬戶和Uber等網絡服務賬號更容易獲得。

此外，研究發現，2021年12月，約有450萬張信用卡在暗網上出售。平均價格從1美元到20美元不等。

Privacy Affairs首席執行官Miklos Zoltan表示，詐騙者可以購買完整的信用卡詳細信息，包括CVV號碼、卡號、相關日期，甚至電子郵件、實際地址和電話號碼。這使他們能夠穿透信用卡處理鏈，足以突破任何安全措施。

網絡釣魚迎來“黃金時代”

過去一年中，盡管美國人的賬戶被盜總數最高，但俄羅斯人遭遇的攻擊數量翻了一番。每100人中有高達1489次數據泄露，網絡犯罪已成為俄羅斯的常態。此外，根據Surfshark的數據，每個俄羅斯賬戶的電子郵件地址被泄露約15次，幾乎是全球平均水平的8倍。

總體而言，自兩年前達到頂峰以來，數據泄露事件的數量有所下降。2022年第一季度發生4200萬次數據泄露事件，僅為2020年第一季度全球數據泄露事件總數（4.47億次）的十分之一。

“2020年發生了一些我們這個時代最嚴重的數據泄露事件，包括Facebook、Wattpad和Zoom，”Sablovskaja說。“不斷增加的數據泄露與新冠疫情導致的隔離限制密切相關。隨著人們大規模遠程辦公并開始依賴數字通信方式，網絡攻擊和數據泄露事件愈演愈烈。最后，當疫情爆發放緩時，2021年第三季度全球數據泄露率開始下降。”

但全球數據泄露率的“回調”并不意味著威脅的降低，相反，隨著個人隱私數據泄露總量的不斷累積，“目標畫像”的不斷完善，在全球范圍內，針對個人的網絡攻擊行為會增加。

為了降低個人風險，Surfshark的首席信息安全官Aleksandr Valentij強調了認真對待任何可疑活動的重要性，尤其是網絡釣魚嘗試。每三個網絡犯罪受害者中就有一個遭受網絡釣魚攻擊，網絡釣魚仍然是最常見的網絡犯罪。他還提醒個人對重要數據進行備份，以防止“擦除”攻擊。此外，使用防病毒軟件、VPN和防火墻可以進一步保護在線瀏覽并防止網絡攻擊。