文章前言
本篇文章是很早之前撰写并发表于CSDN上的,近期因为联想到超新学习通被黑客攻击感觉有必要再提一提数据安全性问题,超新学习通是一个APP,被攻击的主要是业务层面的漏洞,而窃取的是用户的数据,而本篇文章中提到的略有不同,且往下看
正文内容
因为本人在做IOS的测试的时候发现我的IOS测试机(是由公司从二手市场上购买的,之后刷机、越狱的)的图片文件夹当中惊奇的出现了不少前一个用户使用的文件信息,所以有感而发写了本文,这里我们也建议所有的用户在将自己的手机在"二手市场"上交易之前,先将自己手机上的各种应用的数据、日志、照片、文档等等包含大量信息的文件都进行删除,实在不行可以格式化、恢复出厂设置等,下面给大家看几个在该IOS上的前一个用户的各种数据
QQ中的文件(发现竟然包含身份证信息)
相机胶卷
他人的身份证信息
以上只是一部分展示,如果最初从第三方市场上购买的手机未卸载应用,而应用又缺乏相关安全性,则可以根据深入的通过应用来挖掘上一个使用者的各项信息,例如:未注销的会话
文末小结
就超新学习通类似的事件而言,不管哪一个平台在应用开发设计之初就应该对需要收集用户的那些数据做评估,同时还需对数据的存储和数据的使用安全做保障(其实说白了就是数据安全层面的问题),同时做相关的等保测评,而不能说平台你采集时任意采集各类敏感信息,而后不管用户数据的安全性,这是极其不负责任的
其实很早之前就一度怀疑几个场景,首先一个是因为疫情而开发的各类小程序以及APP端,另一个是经常可以看到的社交类软件,还有一种就是扫描填写个人信息领福利或者抽奖的路边小活动等,这种存储大量用户敏感信息的应用其存在的安全隐患其实是不言而喻的,而且也容易成为被攻击的目标,其中部分已有被攻击的例子了,至于兜售数据这个在tg上已经数不胜数了,比如之前微博的数据依旧可以查询,甚至一个手机号码查所有
说到这其实想到还有一个场景就是本文提到的很多人都喜欢将自己不用的手机在闲鱼等平台低价卖出,其实这个也是极具风险的,之前有一个好朋友免费送了一个iPhone手机做测试机,当时我也是出于好奇简单的翻了一下数据文件其实发现很多很多的个人隐私数据(后期已清除),所以卖有时候也容易把自己给卖了
总之,不太可信的第三方平台注册填写信息时一定注意再注意,其次个人数据使用时尽可能走安全路线,定期跟新一些可变的信息,例如:某些账号密码等
安全建议
1、行走在道路上遇到扫描填报个人信息参与抽奖或者奖品领取的尽可能不要参与,如果你一定要参与那也没法
2、陌生且没有安全性保障的应用不要过多的披露个人信息或者注册时填写过多的资料,有些应用的数据采集更加严苛一些来说甚至是不合法不合规的
3、个人的手机不用时不建议直接在闲鱼或者淘宝等平台上卖,如果要卖也需要确保数据完全删除(其实依旧可以恢复,所以很难保障安全)
4、个人快递收件人信息不要填写个人的真实姓名了,很多的信息其实也会从这个层面流露出去,目前有部分快递公司你在拿到快递时你会发现收件人电话号码并未做任何遮掩处理,同时加上你的真实姓名、家庭住址,再把你的手机号码丢到社工库里面一查,其实你啥都没了
5、安全使用微信、QQ、支付宝,根据具体的需求开启加好友认证方式,笔者很早之前就关闭了各项微信、支付宝等添加好友的方式,所以大多数情况下都是笔者自己去添加他人,同时这里的微信、支付宝、QQ也可以用于蓝队进行攻击溯源,这里就不再展开了
6、公共场所中的充电线和充电头不用随意使用,有些会被植入恶意木马程序,这个之前腾讯的玄武实验室有过相关的测试,效果很是不错,总之留一个心
7、短信中的链接不要随意点击,相关的诱导性的信息保持理智阅读,不可轻信
8、陌生电话最好不要接,定位、诈骗都是可以的
........