A1:关心着呢,而且查了一下,比较准,也已经比对出三个app的泄露了,不是一家。
A2:这两天莫名其妙的这个短信,怀疑是不是在验证。
A3:经核实,信息很准确,小心防范吧,一波诈骗即将到来。
A4:看下来,最近好几年的地址都有,就是购物收件地址,然而平台级大企业罚酒三杯,继续工作。
Q:这些泄露的数据在哪里能看到?想知道是怎么泄漏的?说是某音某宝的数据?真实性如何?
A7:45亿这么大量,应该是多个平台或者近几年数据的集合。怀疑是一个快递平台,昨晚想核对的时候bot已经崩了。
A8:试了个手机号,现在也还是崩的,查得人太多了,害怕了,应该是跑路了。
A9:数据质量太高,是电话诈骗高质量数据。查阅接口如果没有防刷设计,也是一个新的泄露渠道,次生事件。
A10:解决人是最简单最快的,解决出问题的人。这些玩黑产的,为啥总以为TG就没事了。其实通过TG抓人,现在GA的技战术完全搞得定。
A11:我觉得不太可能,这些人应该是在其他方面露出了跟他自己有关的线索。想要定位一个人,需要多方面的信息判定收集。比如那些在Tw上发表不当言论被抓的,大多数都是自己的言论或者账号关联了个人信息被定位。
A12:各种方法结合吧,另外信息这块,官家的更全更细更新。
A13:我家人问我最新有没有啥新型诈骗,今天上班接到个电话说是顺丰公司的,有她姓名、手机、3年前住址,问她还住不住那,有个快递要寄。我老婆差点就要报新的信息了,一想顺丰从来没打过这种电话,给了他个快递柜地址,对方就挂了。
A14:主要我国的网络实名制做得太好了,人的虚似身份真实身份就都对应起来了,当某人的社工数据完整后,接下来就可以针对他编剧本了,慢慢演一场大戏了。结局嘛,好一点的是倾家荡产,坏一点的家破人亡。
A15:如果实名制真的做得好,这些个诈骗电话也能一抓一个准才对。
Q:世界上总有阳光照不到的地方。几年前的诈骗电话号码又再诈骗,电话号码这么难以把控嘛?
A16:实名制倒是实名,就是不懂那个注册人和使用人是不是同一个人。
A17:有什么能避免的呢?是不是拿一个专门的手机号来收快递,会更安全呢?
A18:在我们的层面没办法改变,我现在都用副号。除了微信支付宝银行卡这种必须要自己常用的方便点的,别的都用副号,特别是快递之类的。地址写到小区,不要到门牌号。打电话和快递员沟通。
A19:手机实名制,房屋中介手里太多实名制的人名和手机了,只要有手机,瞬间查出来,早已经无解,数据安全,个人隐私都是瞎扯,自欺欺人而已。只是未来动态的数据尽量别泄露而已罢了,都是透明人。
现在这种数据安全治理和个人隐私保护的方法,肯定是有大问题的,基本就是在脱裤子放屁——多此一举的装样子。已经有危害的应该想想怎么先拿下再说系统化治理,不然时不时爆出来一个类似事件,那和裸奔没啥两样。
A20:在国内个人信息真的没什么隐私可言,泄露的渠道太多了,物业,快递,招聘网站……
明天准备请示一下领导在公司内部做一个安全警示,提醒大家,尤其是家里老人,谨防上当。
A21:实名跟数据泄露是两个事情,没必要也不应该混在一起谈。
A22:一是个人敏感数据没做加密,二是属于三方共享问题,只要最终必须交付第三方,这个数据总会泄露的。
A23:快递?我一直用的假名,不同平台用对应名字,用于投毒。从我们这个层面,能做在家给家人科普防诈意识,在单位刷一波存在感。
A24:例如,业务要做一件事情,安全要评估其中的风险,要了解这个需求的目的,是否必要,该路径的风险,是否有其它更合理安全的路径,路径上风险如何规避和降低。
真要深入参与进去,累并快乐着。深入业务跟产品研发讨论需求、实现还是很欢乐的。
A25:我觉得最累的是大家的认知不一致,视角不同,经常出现鸡同鸭讲的情况。
A26:专业层面认知只能靠培训和沟通提高,急不来;不过我发现有个有用的方式是,如果在评审时,能拉大家一起把业务背景和功能使用场景先沟通了解清楚,后续专业层面的沟通会相对轻松直接一些。
A27:上面讨论的实名制问题,韩国很多年前也用实名制,后来废弃不用了。韩国实名制信息泄露之后诈骗案高发。
A28:实名制措施目前看没带来良性发展 ,隐私让渡过多,不符合“最小必要”,事后比较难补救对的,损失也不在可控范围内。
A29:国家安全应该也包含或基于国民安全?如果是的话那其实南辕北辙,或者说好心办坏事了。
A30:把什么都推给实名制是不合适的,银行转账要求二次认证,并且要增加提示,不仅仅是认证码,比如说用于银行转账。认证码不带业务信息,是问题。
A31:本质是实名制的监管需求和低下的数据安全隐私保护之间的矛盾。如果不提升数据保护,实名就会方便了犯罪;如果数据保护得当,在监督下运行实名,副作用可以降低。当然,不投入是不可能做到的。
A32:是的,目前的投入远远不够(无论从哪个层面来说)。投入和期望(需求)不匹配,总的来说,项目管理出问题了。
话题2:请问下各位同仁,内部使用的https证书,以下问题怎么处理的:
2 内部是为了方便用通配证书,还是为了安全用单域名证书?
4 如果自签的话,是自己就搭服务了,还是找国内证书机构来搞?
A2:公网暂时不讨论,想看看大家都是什么情况,想调研下,还有就是,有没有大家有没有是接入国家根CA的。
A3:自建CA签发有个前提需要你配套如AD这样的体系,否则,自签发再打开的时候会有告警提示。
A4:如果是面向互联网提供服务的的,买买买,如果是面向内部使用,自建CA,自签即可,微软可以做,openssl 也可以。
A5:这就是我的第3个问题。目前来看如果没用域控,只能通过某种方式,让终端用户自己导自建的根。
关于防范利用VMware ESXi高危漏洞实施勒索攻击的风险提示http://www.cstis.cn/post/0b45d3b6-de62-91a0-635e-aca3019f2b9d
——————————————————————————-
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
原文始发于微信公众号(君哥的体历):几十亿数据泄露事件杂谈 | 总第185周