学习通事件反思：个人数据泄露的全球性危机

6月20日，包括“M78安全团队”（首发）在内的多家自媒体发文称“大学生学习软件超星学习通的数据库信息正在被黑客在非法渠道售卖，兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条，售价仅为1.2万元”，文中描述的“大规模个人隐私数据泄露”，激起了全社会对个人隐私保护和数据安全的强烈关注。

6月21日下午，超星学习通App官方微博发布《关于“疑似学习通用户数据泄露”传闻的声明》。《声明》称，学习通不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，到目前为止还未发现明确的用户信息泄露证据。随即，“M78安全团队”删除事件报道文章并声明正在进一步调查核实相关暗网情报。

学习通“疑似大规模数据泄露”事件以向公安机关报案和官方声明告一段落，本文也无意讨论该事件报道的真伪和“内幕”，但我们必须认识到，近年来全球个人隐私数据面临的网络犯罪威胁正急速恶化。

数据泄露最严重的国家

网络安全公司Surfshark最近的一项研究表明，自2004年以来美国始终是数据泄露最严重的国家，第二名和第三名分别是俄罗斯和中国。换而言之，美国、俄罗斯和中国是这个星球上数据泄露问题最为严重的三个国家。

Surfshark开发了一个统计各国数据泄露情况的在线工具，汇总分析来自27000个泄露数据库的数据，并使用不同的指标进行分析。

“在全球范围内，平均每100人有191个账户遭到入侵。然而，在美国，这个数字高达每100人泄露694个账户，”Surfshark数据研究员Agneska Sablovskaja说。“从统计上讲，平均每个美国人会七次成为数据泄露的受害者。”

报告称，共有87亿条美国人隐私数据因泄露而丢失，包括名字、姓氏、IP地址、用户名和其他数据。这为更多的网络攻击打开了大门，因为一次数据泄露可以让网络犯罪分子访问各种配置文件。每泄露10个美国账户就包含7个被泄露的密码，任何泄露都可能产生大面积安全漏洞。

“泄露数据库是网络犯罪分子进行网络钓鱼、恶意软件、勒索软件、凭证填充和欺骗攻击的强大工具，”Sablovskaja在电子邮件采访中说。“因此，丢失数据点肯定会成为各种网络犯罪的催化剂，同时也会导致进一步的数据泄露。”

很明显，美国正面临着一个重大的网络安全问题，其被入侵用户占全球所有用户的15%，虽然尚不清楚为什么美国人会受到如此大规模的入侵，但这显然与糟糕的数据处理和存储程序或缺乏强力的个人数据隐私立法脱不开干系。

个人信息在暗网到底值多少钱？

学习通事件之所以引起轰动，其中一个重要“噱头”就是“1.7亿敏感个人数据仅售1.2万元”，如此“内卷”的价格超出了很多业内人士的想象。

那么，个人隐私数据在真实的暗网中到底是什么“行情”呢？

根据Privacy Affairs的报告，在过去的一年中，暗网泄露数据市场的规模总量和产品种类都在快速增长，随着数据供应量的暴增，大多数个人信息价格大幅下滑。

基于对暗网市场、论坛和网站扫描数据的“2022年暗网价格指数”显示，当前个人隐私信息的暗网价格“行情”如下：

• 信用卡详细信息和相关信息。成本在17美元至120美元之间
• 网上银行登录信息费用为45美元
• 被黑的Facebook帐户：45美元
• 带PIN码的克隆VISA信用卡：20美元
• 被盗的PayPal帐户详细信息（最低1000美元的余额）：20美元。

与2020年相比，2021年暗网泄露数据增长最快的“商品”是虚假信用卡数据、个人信息和文件，而被黑客入侵的加密货币账户和Uber等网络服务账号更容易获得。

此外，研究发现，2021年12月，约有450万张信用卡在暗网上出售。平均价格从1美元到20美元不等。

Privacy Affairs首席执行官Miklos Zoltan表示，诈骗者可以购买完整的信用卡详细信息，包括CVV号码、卡号、相关日期，甚至电子邮件、实际地址和电话号码。这使他们能够穿透信用卡处理链，足以突破任何安全措施。

网络钓鱼迎来“黄金时代”

过去一年中，尽管美国人的账户被盗总数最高，但俄罗斯人遭遇的攻击数量翻了一番。每100人中有高达1489次数据泄露，网络犯罪已成为俄罗斯的常态。此外，根据Surfshark的数据，每个俄罗斯账户的电子邮件地址被泄露约15次，几乎是全球平均水平的8倍。

总体而言，自两年前达到顶峰以来，数据泄露事件的数量有所下降。2022年第一季度发生4200万次数据泄露事件，仅为2020年第一季度全球数据泄露事件总数（4.47亿次）的十分之一。

“2020年发生了一些我们这个时代最严重的数据泄露事件，包括Facebook、Wattpad和Zoom，”Sablovskaja说。“不断增加的数据泄露与新冠疫情导致的隔离限制密切相关。随着人们大规模远程办公并开始依赖数字通信方式，网络攻击和数据泄露事件愈演愈烈。最后，当疫情爆发放缓时，2021年第三季度全球数据泄露率开始下降。”

但全球数据泄露率的“回调”并不意味着威胁的降低，相反，随着个人隐私数据泄露总量的不断累积，“目标画像”的不断完善，在全球范围内，针对个人的网络攻击行为会增加。

为了降低个人风险，Surfshark的首席信息安全官Aleksandr Valentij强调了认真对待任何可疑活动的重要性，尤其是网络钓鱼尝试。每三个网络犯罪受害者中就有一个遭受网络钓鱼攻击，网络钓鱼仍然是最常见的网络犯罪。他还提醒个人对重要数据进行备份，以防止“擦除”攻击。此外，使用防病毒软件、VPN和防火墙可以进一步保护在线浏览并防止网络攻击。