14亿条腾讯用户数据被盗?AI时代“老数据”有安全新风险
第一财经 2024-08-16 10:57

十年前的网络账号与密码,除了是普通网民怀念过去的钥匙,也有可能是犯罪分子进行数据分析的素材。

8月14日,名为“Fenice”的黑客公开表示,自己窃取了海量数据库,其中包括14亿条Tencent.com相关的记录,压缩数据容量为44GB,解压之后将达到500GB。

此前,Fenice窃取美国背景调查公司Jerico Pictures经营的“国家公共数据”(National Public Data),获取27亿条涵盖社会保险号码的个人数据记录,事涉美国、加拿大、英国多个国家。

对于数据被窃一事,腾讯集团(0700.HK)方面对外回应称:“过去两年,类似的虚假信息被海外黑客多次炒作,数据口径也不断膨胀,出现过7亿、12亿、14亿等多个版本,也被恶意关联到国内多个互联网产品。上述信息并不属实,实为黑产利用历史资料拼凑、注水而成。”

历史上,腾讯发生过用户数据被窃事件。2013年11月,国内安全漏洞监测平台乌云公布报告称,腾讯QQ群关系数据被泄露,在迅雷快传很轻易就能找到数据下载链接。根据QQ号,可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。

彼时腾讯方面回应称:QQ群数据库泄露确有其事,但这一漏洞是2011年发现的问题,当时已及时修复,不影响现有用户正常使用。

目前涉及用户安全层面的风险,主要聚焦已被盗窃的用户数据可能引发的网络安全漏洞。安恒信息副总裁张海川对记者表示,“老数据+注水动作重复炒作”指的是黑客利用之前已经获取的旧的用户数据,通过一些人为的、虚假的或夸大的操作(即注水动作),多次地对这些数据进行加工、传播或利用,以达到引起关注、制造混乱、牟取利益或其他不良目的。如黑客可能会对老数据进行篡改、添加虚假信息,然后反复在不同场合或平台上展示、传播这些经过“注水”的数据,造成某种影响或误导公众。这种行为通常具有欺骗性和危害性。

老数据最大的风险性之一在张海川看来,在于结合AI等前沿技术后,对用户画像进行分析,以便在金融等风险场景获利。也包括用户个人隐私泄露、身份盗用、声誉损害等。

网络安全专家田际云对记者表示,类似社交工具、电商或金融场景的用户数据,即使是历史数据,也会因涉及金融、账户、密码、联系方式、用户行为习惯等产生“价值”,如可以基于历史数据进行其他账户密码的撞库,做用户画像或用户分析,甚至进行AI投喂等。尤其在当下AI技术升级的背景下,用户数据的丢失产生的连带影响不可小觑。

田际云表示,当下,单纯地盗取网络用户账号密码收益不大,因为全民网络安全意识已经提高。但是基于账号密码与历史数据,做一个简单的用户画像,引发后续的网络熟人电信诈骗、AI换脸诈骗、诱导下载APP诈骗等仍有较大的犯罪获益可能,个人数据仅是后续诈骗链条中的一个素材。

之所以说后续环节风险更大,是因为与AI技术升级伴随的,是黑客技术的同步升级变化。张海川表示,伴随AI技术的升级,窃取平台用户数据的黑客技术与动作出现显著变化:其一,黑客利用 AI 进行更智能化的攻击模拟和预测,借助 AI 算法分析目标平台的安全防护模式,从而找到更精准的攻击切入点,提高攻击成功率。其二,AI 助力黑客生成更具欺骗性的网络钓鱼内容,通过学习大量真实的用户交流模式和语言习惯,黑客能够制造出以假乱真的欺诈信息,诱使用户主动泄露敏感数据。

另外,黑客可以运用AI 技术进行快速的数据筛选和分析,在获取大量数据后,能够更高效地从中提取有价值的信息,如用户的个人身份、财务状况等关键数据。其四,借助 AI 实现自动化的攻击工具开发。这使得攻击能够更迅速、更频繁地展开,让平台的防御面临更大的压力。因此,AI 技术在为我们带来便利的同时,也被黑客利用,使得数据窃取行为变得更加复杂和难以防范。

田际云表示,作为平台侧,平台公司目前的保护措施已经升级,大公司重视用户数据的手段与措施也很多。对于“老数据”的丢失,更多需要用户侧进行风险防护,包括定期更换密码、不要在多个账号使用同一密码,不要随便授权账号登录陌生第三方平台、不要随便扫描陌生二维码等。

张海川建议用户增强密码强度、谨慎对待网络链接和附件、谨慎留意软件更新、避免过度暴露个人敏感信息、启用双重身份验证、定期检查账户活动、选择可靠的平台和服务、提高安全意识等。

编辑/范辉

最新评论