前言
1、盘点近年来重大数据泄露和攻击事件
事件其实是非常多的,这里挑一部分出来。
泄露事件
- 微软Bing 服务器暴露 6.5 TB 用户搜索记录数据 https://www.wizcase.com/blog/bing-leak-research/
- 雷蛇 泄露了超 10 万用户的个人信息 https://hackernews.cc/archives/32120
- 英特尔 20GB机密数据泄漏,含有BIOS和专有技术源代码等 https://mp.weixin.qq.com/s/4uu1Fb3plI-MB2KB7zYKCg
- 暗网泄漏的两千万多台湾省公民数据库 https://mp.weixin.qq.com/s/HsIhl0JV3qA3yMKupbgNxw
- 号百信息服务有限公司 出售中国电信超 2 亿用户信息,售价低至 0.01 元/条 https://mp.weixin.qq.com/s/shk1LGrtKWS9fPwpM1U46A
- 微博 数据泄露事件 https://securityaffairs.co/wordpress/100243/data-breach/weibo-data-dark-web.html
最近大家最熟悉的,应该是滴滴的事情了吧,大家可以去看一下官方的通报!
攻击事件
- NPM 遭遇供应链投毒攻击窃取K8S集群凭证 https://mp.weixin.qq.com/s/Qx7WCVicPsZQvYarskqB8w
- 2345 旗下下载站被发现传播木马 https://www.huorong.cn/info/1583504456441.html
- 驱动人生 供应链攻击事件 https://www.freebuf.com/articles/system/192194.html
- 惠普 笔记本音频驱动内置键盘记录后门事件 https://www.anquanke.com/post/id/86085
2、自查泄露途径
列举一些渠道,你可以自查一下,你的这些信息,都在什么地方使用过/泄露过。
邮箱
- Find email addresses in seconds • Hunter (Email Hunter) - email 信息查询工具
- Firefox Monitor https://monitor.firefox.com/
- ';--have i been pwned? https://haveibeenpwned.com/
手机号
涉及到个人隐私问题,我无法保证读者不滥用,所以手机号自查就跳过了。
常用用户名
- Instant Username Search - 实时搜索100多个社交媒体网站的用户名。
- CheckUsernames - 测某账号是否在全球500多个社交媒体中是否有注册。
- WhatsMyName Web - 搜索许多网站上存在的用户名。
- NameCheckup - 查找可用的用户名
对上面查出来的结果不要惊讶,因为数据不一定就是100%正确的。我自己在自查的时候,就发现,自己常用用户名被人抢注的情况。一种可能是别人也想到这个用户名了,另一种可能的情况就是,有人故意而为之。
密码泄露查询
- Firefox Monitor https://monitor.firefox.com/
- Snusbase - 搜索电子邮件,名称和用户名,IP地址,电话,哈希或密码,检测自己的信息是否已泄露。
- ';--have i been pwned? https://haveibeenpwned.com/
IP/DNS自/反查
- DNS leak test - 检测 DNS 泄露的网站
- IPIP.NET 专注 IP 地理位置以及 IP 画像数据的研究、整理与发行
3、隐私信息搜集
涉及到个人隐私问题,我无法保证读者不滥用,所以隐私信息收集就跳过了。我不可能教别人去搜集隐私啊,对吧?
4、保护措施
说了这么多,本期的重点来了。主要是教大家如何最大程度的保护自己的数据隐私,防止自己的隐私泄露。
操作系统
在操作系统层面,凡是可能涉及到隐私的东西,尽量不要用移动操作系统。你可以使用 Windows、macos 和 *unix 操作系统进行这些操作。
- 不建议使用预装的操作系统。我虽然不反对大家用 Windows 或者 macos 来操作,因为实际上很多读者也就是普通人,所以要考虑到大家的使用习惯和学习成本。因此,这里强调的防范也是相对的。即你可能使用某大公司或银行的服务,但是同时又想规避第三方公司恶意收集你的信息,你就可以从操作系统层面做一些隔离。
- Linux 操作系统建议选社区主导的发行版。
软件
- 除非你有充分的理由,否则请去官方下载任何软件,不要在什么XX软件管家、XX下载站下载。这些地方除了会有捆绑软件之外,可能还会携带病毒,甚至提供被篡改的软件安装包给你,毕竟很多读者,并不会去核查安装包的数字签名。
- 建议使用虚拟机来隔离你的操作系统,保证进一步的安全。我个人比较喜欢用 VMware Workstation 虚拟机,当然 VirtualBox 也挺好用。
更深入的虚拟机颗粒度、虚拟机穿透、虚拟机快照等等知识,这里就不做多讲解了。
- 使用软件是,如果可以,同类型产品优先考虑开源软件。比如解压缩软件,我就使用的 7zip。
- 对于一些出了名的垃圾软件,但是你又不得不用的,直接扔虚拟机吧。。。
浏览器扩展
- HTTPS Everywhere
- 终结内容农场
- DuckDuckGo Privacy Essentials
- Cookie AutoDelete
- Decentraleyes
- NoScript
密码学
- 一定要让你所有的平台的密码都不同!!!
- 现在很多平台要求大小写 数字 特殊符号 8位以上,所以我建议你可以在脑海中构建一套自己的密码生成系统,将你所有的密码都换成这种形式的。
输入法
- 尽量不要安装第三方输入法,或者使用开源和来源可信的输入法。
搜索引擎
- 如果你一定要使用中文搜索引擎,我建议优先使用 Bing ,其次是搜狗。为什么不建议百度呢,主要是体验太差了,广告多,seo恶心,你几乎很难找到有价值的信息。
- 如果你使用 Google ,那么我建议你把 Google 给 ncr 一下。
- 你可以使用 DuckDuckGo 搜索引擎来进行隐私搜索。
隐私上网
- 邮箱
这里可以使用临时邮箱进行替代,为什么这么说呢。因为你注册某些业务,可能并不需要经常访问,甚至只使用一次,而且这个东西也并不重要,这时你就可以使用临时邮箱了。要说临时邮箱最大的好处,我觉得是有效的避免了垃圾邮件和钓鱼邮件。试想一下这个场景,你的工作邮箱的通知,时刻保持开启,但是无时无刻都在接受着垃圾邮件的轰炸,是不是心情都坏了?
- 临时邮箱- 十秒钟内收到邮件
- Temp Mail - 临时性- 匿名电子邮件
- 临时、匿名的免费邮箱地址。 - YOPmail
- IP代理 很多时候,非必要的上网,其实可以使用代理进行上网,从而隐藏你的真实 IP。而且你可以指定相应的规则,不同的 IP,不同的网站,使用不同的代理。
- 短信接码 跟上面的邮箱一样,你注册某项访问,可能只使用一次,并且仅支持手机注册的话,那么你可以使用接码的方式进行,这样也能防止一些垃圾短信。接码,顾名思义是接收短信验证码。而很多接码平台,则提供了接收验证码、收发短消息、短消息通道、接收语言短信等服务。但是,据我了解,这个是有法律风险的,所以还请各位读者不要滥用。
- 身份生成 对于某些平台,你可能并不想向他们提供你的真实信息,那么你可能需要生成假的身份信息。虽然国家有相应的法律法规保护着我们,但是总是有些公司会偷偷的贩卖你的信息,甚至有一部分公司,直接是没有保护好你的信息,导致了信息的泄露。
照片信息
首先,我不建议你把自己的照片随便传到网上去,那样肯定是不太好的。如果你非要传,也可以处理下照片,比如照片的 EXIF 信息。而且手指的指纹也要保证能不被检测处理,当然,现在很多人的照片P的她妈都不认识,指纹当然也不会有啦?
我觉得,对于普通人来说,想让他们引起对照片的重视的话,可以推荐看看侦探挑战赛。
一些建议
身处数字时代,你身边的一切,都可能在贩卖和泄露你的隐私数据。
- 外卖、快递单号。
- 发布到网上的照片。
- 社交媒体关联信息。
- 你家里的语音助手音箱和其它未经授权的设备。
- 买卖二手设备时,信息是否删除。
- 广告商对你进行的追踪。
- 你电脑/手机上的软件,扫描你的硬盘。
- 你在社交平台的冲浪信息,在购物平台的消费信息,都有可能被爬取或泄露。
- 浏览一个陌生网页时,首先想到的应该是查看网页快照。
5、免责声明
1、本文章任何内容仅供学习和研究使用,请勿使用其中所描述的技术手段用于非法用途,任何人造成的任何负面影响,与本人无关。 2、本文章任何内容、新闻皆不代表本人态度、立场,如有侵权,请立即联系我删除! 3、互联网是有记忆的,互联网也并非法外之地!你可以教他人如何防范风险,但是不要教他人干坏事!
最后,本文不是教你干坏事的,而是说希望能引起每个人对自己隐私的重视,防范自己的隐私泄露问题。