幾年前，我提交了一個漏洞：幾百萬機票火車票訂單用戶名明文密碼泄露。

郵箱，用戶身份證，姓名，密碼，手機號等重要字段都可以直接明文讀取，當時是利用mongodb數(shù)據(jù)庫的未授權(quán)訪問腳本，稍加修改，批量掃描后發(fā)現(xiàn)的漏洞，有國內(nèi)多家科技媒體跟進報道，搞的我壓力也很大，因為數(shù)據(jù)沒有泄露，只是存在漏洞被我提交到360。

這種就屬于未能遵循簡單基礎(chǔ)的安全原則，鍋可以由商家背。

但很多情況，鍋不能簡單的由商家背。因為這個世界不存在沒有漏洞的系統(tǒng)，很多基礎(chǔ)的開源的協(xié)議或者軟件本身存在著大量的漏洞，在沒有被發(fā)現(xiàn)之前，它們被認為是安全的。但一旦被發(fā)現(xiàn)有漏洞，影響巨大。

比如之前廣為人知的openssl心臟出血漏洞（OpenSSL心臟出血漏洞全回顧），這個漏洞使攻擊者能夠從內(nèi)存中讀取多達64KB的數(shù)據(jù)，而openssl作為安全套接層協(xié)議ssl的開源實現(xiàn)，在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件服務等重要網(wǎng)站上被廣泛使用。

這種情況下，鍋由誰來背很難界定，因為沒人能保證自己開發(fā)的程序沒有漏洞。

個人信息的泄露在今天已經(jīng)嚴重到了什么地步？

大多數(shù)大家覺得足夠信任的網(wǎng)站，可能已經(jīng)被攻破，相關(guān)信息在暗網(wǎng)deepweb上被明碼標價出售比如這里是Linkedin早期泄露的數(shù)據(jù)，在暗網(wǎng)上最早被明碼標價5個比特幣：

這是另外一個知名博客網(wǎng)站Tumblr的數(shù)據(jù)，出售價格為0.188比特幣：

在比如之前很火熱的美國大選所有50個州的投票數(shù)據(jù)，對你沒看錯，是全美50個州。。。被標價12個比特幣（現(xiàn)在知道比特幣最大用處了吧，o(╯□╰)o）

從暗網(wǎng)買家展示的數(shù)據(jù)截圖來看，包含的信息很豐富，地址，電話，性別等等：

一些私密小圈子的間諜木馬軟件源碼，包含ios,安卓,wp,黑莓平臺,當時標價12比特幣。

很多數(shù)據(jù)最初從暗網(wǎng)上被標價后，進而慢慢被一些團體釋放到互聯(lián)網(wǎng)上，這中間的時間間隔可能長達數(shù)月甚至數(shù)年。所以我是不信任網(wǎng)站單方面的承諾的，因為這種承諾本身就很脆弱。

對普通人的生活有多大的影響？如何防護？

簡單說，可輕可重。如果落入詐騙團伙手里，就重一些，但如果自己足夠警覺有基本的防護意識，那也沒事，如果落入推銷人員手里，基本也沒太大關(guān)系，無非就是多幾條騷擾廣告短信。怕就怕自己沒有基本防護意識的同時還落入詐騙團伙手里，那就有點倒霉了。所以日常有一點防護意識還是很重要的。

簡單舉幾個比較廣泛的詐騙例子：

1、精準機票退改簽短信詐騙

曾女士的手機上收到了前兩天購買的從貴陽到三亞的航班取消短信。短信內(nèi)容不僅詳細說出自己的姓名，且航班信息也準確無誤，曾女士便以為是航空公司發(fā)來的短信，隨即撥打了短信中的電話進行改簽。經(jīng)過“客服”的指導，曾女士在ATM取款機上被騙走了29500元錢。

2.精準淘寶訂單退款詐騙

小丁說，前兩天，在淘寶商城一家店看中了一件短褲，價值39.2元，下了訂單后不到20分鐘，她接到一個福建的電話，對方自稱是淘寶該店阿里旺旺的客服：

“丁××您好，您是不是今天下午6點半買了一件39.2元的短褲？由于支付寶系統(tǒng)升級，您提交的訂單異常，資金被凍結(jié)，所以需要您重新登錄并確認購買，并且暫時不要登錄淘寶和阿里旺旺，您登錄QQ吧，我教您怎么操作?！?/p>

接到電話后，小丁說對方知道她的姓名和電話，所說的信息都很準確，所以她就信以為真。

登錄QQ并加為好友后，“客服”又說了一系列教小丁同學怎么操作的話，由于著急去上自習，小丁也不清楚“客服”講的那些怎么操作。此時，“客服”說幫小丁用QQ遠程操作，可沒想到最后“客服”在騙取她的錢財。

在小丁的電腦被遠程控制后，“客服”又讓她輸入支付寶賬戶動態(tài)密碼，以確認支付。輸入后“客服”又讓小丁確認賬戶有多少金額，她說自己卡上有六七百元錢。退出遠程控制，小丁看到確認支付界面上顯示已支付-0.01元，她以為支付錯誤就重新支付了。

與此同時，她的手機收到了短信提示，賬戶被扣了627元。由于急著去上課，小丁關(guān)了電腦趕緊去教室，也沒有注意到手機上的信息。晚上九點半下自習后，小丁在認真看完信息后感到事情不妙。給購物的網(wǎng)店打電話詢問，網(wǎng)店客服人員告訴她沒有這件事情。

具體分析：上述兩種其實都是類似的手法，通過截取到的用戶訂單信息，獲得用戶信任后實施詐騙，這里用戶訂單信息獲取方式，很多是利用系統(tǒng)漏洞，也有部分是伙同公司內(nèi)部員工獲取。

對普通用戶來說，核實發(fā)短信和打電話是否是官方電話尤為重要，此外需要杜絕離開平臺的交易，比如離開淘寶自有退款流程，不走支付寶進行退款QQ李鬼詐騙QQ被盜號了？

【網(wǎng)絡(luò)安全技術(shù)文檔】

更大的騙局還在后面！

廣東省公安廳通報，近日在全省公安機關(guān)“3+2”專項打擊行動中，破獲全國最大的QQ詐騙集團案，先盜QQ號長期監(jiān)控，后冒充老總要求轉(zhuǎn)款，深圳某股份公司財務李某被騙走3505萬元。目前警方已刑拘疑犯39人，凍結(jié)資金4800余萬元。據(jù)了解，該案是目前全國QQ詐騙涉案金額最大的一宗案，也是凍結(jié)款項最大的詐騙案。

具體分析：這種很多是模仿目標qq，從頭像到簽名到說說，利用其他社工數(shù)據(jù)對目標qq進行踩點分析，進而實施詐騙?？傊?，大家需要有一些基本防護意識，這樣就很難被騙，也不需要過于擔心。