炸了,个人信息泄露有多恐怖呢?

几年前，我提交了一个漏洞：几百万机票火车票订单用户名明文密码泄露。

邮箱，用户身份证，姓名，密码，手机号等重要字段都可以直接明文读取，当时是利用mongodb数据库的未授权访问脚本，稍加修改，批量扫描后发现的漏洞，有国内多家科技媒体跟进报道，搞的我压力也很大，因为数据没有泄露，只是存在漏洞被我提交到360。

这种就属于未能遵循简单基础的安全原则，锅可以由商家背。

但很多情况，锅不能简单的由商家背。因为这个世界不存在没有漏洞的系统，很多基础的开源的协议或者软件本身存在着大量的漏洞，在没有被发现之前，它们被认为是安全的。但一旦被发现有漏洞，影响巨大。

比如之前广为人知的openssl心脏出血漏洞（OpenSSL心脏出血漏洞全回顾），这个漏洞使攻击者能够从内存中读取多达64KB的数据，而openssl作为安全套接层协议ssl的开源实现，在各大网银、在线支付、电商网站、门户网站、电子邮件服务等重要网站上被广泛使用。

这种情况下，锅由谁来背很难界定，因为没人能保证自己开发的程序没有漏洞。

个人信息的泄露在今天已经严重到了什么地步？

大多数大家觉得足够信任的网站，可能已经被攻破，相关信息在暗网deepweb上被明码标价出售比如这里是Linkedin早期泄露的数据，在暗网上最早被明码标价5个比特币：

这是另外一个知名博客网站Tumblr的数据，出售价格为0.188比特币：

在比如之前很火热的美国大选所有50个州的投票数据，对你没看错，是全美50个州。。。被标价12个比特币（现在知道比特币最大用处了吧，o(╯□╰)o）

从暗网买家展示的数据截图来看，包含的信息很丰富，地址，电话，性别等等：

一些私密小圈子的间谍木马软件源码，包含ios,安卓,wp,黑莓平台,当时标价12比特币。

很多数据最初从暗网上被标价后，进而慢慢被一些团体释放到互联网上，这中间的时间间隔可能长达数月甚至数年。所以我是不信任网站单方面的承诺的，因为这种承诺本身就很脆弱。

对普通人的生活有多大的影响？如何防护？

简单说，可轻可重。如果落入诈骗团伙手里，就重一些，但如果自己足够警觉有基本的防护意识，那也没事，如果落入推销人员手里，基本也没太大关系，无非就是多几条骚扰广告短信。怕就怕自己没有基本防护意识的同时还落入诈骗团伙手里，那就有点倒霉了。所以日常有一点防护意识还是很重要的。

简单举几个比较广泛的诈骗例子：

1、精准机票退改签短信诈骗

曾女士的手机上收到了前两天购买的从贵阳到三亚的航班取消短信。短信内容不仅详细说出自己的姓名，且航班信息也准确无误，曾女士便以为是航空公司发来的短信，随即拨打了短信中的电话进行改签。经过“客服”的指导，曾女士在ATM取款机上被骗走了29500元钱。

2.精准淘宝订单退款诈骗

小丁说，前两天，在淘宝商城一家店看中了一件短裤，价值39.2元，下了订单后不到20分钟，她接到一个福建的电话，对方自称是淘宝该店阿里旺旺的客服：

“丁××您好，您是不是今天下午6点半买了一件39.2元的短裤？由于支付宝系统升级，您提交的订单异常，资金被冻结，所以需要您重新登录并确认购买，并且暂时不要登录淘宝和阿里旺旺，您登录QQ吧，我教您怎么操作。”

接到电话后，小丁说对方知道她的姓名和电话，所说的信息都很准确，所以她就信以为真。

登录QQ并加为好友后，“客服”又说了一系列教小丁同学怎么操作的话，由于着急去上自习，小丁也不清楚“客服”讲的那些怎么操作。此时，“客服”说帮小丁用QQ远程操作，可没想到最后“客服”在骗取她的钱财。

在小丁的电脑被远程控制后，“客服”又让她输入支付宝账户动态密码，以确认支付。输入后“客服”又让小丁确认账户有多少金额，她说自己卡上有六七百元钱。退出远程控制，小丁看到确认支付界面上显示已支付-0.01元，她以为支付错误就重新支付了。

与此同时，她的手机收到了短信提示，账户被扣了627元。由于急着去上课，小丁关了电脑赶紧去教室，也没有注意到手机上的信息。晚上九点半下自习后，小丁在认真看完信息后感到事情不妙。给购物的网店打电话询问，网店客服人员告诉她没有这件事情。

具体分析：上述两种其实都是类似的手法，通过截取到的用户订单信息，获得用户信任后实施诈骗，这里用户订单信息获取方式，很多是利用系统漏洞，也有部分是伙同公司内部员工获取。

对普通用户来说，核实发短信和打电话是否是官方电话尤为重要，此外需要杜绝离开平台的交易，比如离开淘宝自有退款流程，不走支付宝进行退款QQ李鬼诈骗QQ被盗号了？

更大的骗局还在后面！

广东省公安厅通报，近日在全省公安机关“3+2”专项打击行动中，破获全国最大的QQ诈骗集团案，先盗QQ号长期监控，后冒充老总要求转款，深圳某股份公司财务李某被骗走3505万元。目前警方已刑拘疑犯39人，冻结资金4800余万元。据了解，该案是目前全国QQ诈骗涉案金额最大的一宗案，也是冻结款项最大的诈骗案。

具体分析：这种很多是模仿目标qq，从头像到签名到说说，利用其他社工数据对目标qq进行踩点分析，进而实施诈骗。总之，大家需要有一些基本防护意识，这样就很难被骗，也不需要过于担心。