加入数百万会员的国内代表性视频平台发生了个人信息整体外泄事件。不仅是观看记录,连可识别本人身份的核心信息也被泄露,用户的二次伤害担忧正在加剧。
TVING于3日在官网公告中表示,已确认会员个人信息外泄的迹象。公司说明:“6月2日,存放用户个人信息的数据库(DB)发生了未经授权的访问”,“已确认身份不明的黑客接入存有个人信息的DB,并将个人信息文件传送至外部。”
◆ 泄露了什么
此次外泄的信息包括ID、姓名、出生日期、性别,以及用于身份确认的CI、DI。CI是代替居民登记号码、用于在多个网站识别同一人的唯一编号,DI则是在特定网站内用于识别重复注册的值。一旦确定就难以更改,因此比电话号码或电子邮箱泄露更危险。
部分项目经过加密。手机号码仅最后4位被加密,电子邮箱则对去除域名后的前半部分进行了加密处理。退款账户号码也处于加密状态。密码采用了难以还原原值的“单向加密”方式。不过,加密并不能完全保证安全。因为即使只是姓名、出生日期、性别等直接暴露的项目,也足以用于精密冒充。
这些信息一旦组合,风险会成倍增加。将实名、出生日期、联系方式拼接起来制作的虚假通知短信或电话,会显得更加逼真。这些信息会成为提高语音钓鱼和短信钓鱼成功率的材料。
◆ 重复使用密码更危险
这次事故中真正需要警惕的是密码重复使用。即便采用了单向加密,如果同一ID和密码也被用于其他网站,情况就不同了。
因为将一处泄露的账户信息批量输入其他网站试图入侵的手法十分常见。TVING之所以提醒“建议修改TVING及其他使用相同账户信息服务的密码”,原因就在于此。
公司在确认泄露后立即采取了应对措施。已封锁攻击者IP的访问,并调整了云端访问控制政策。同时加强了对DB访问的监控。为防止进一步扩散,公司还进行了安全检查,并运营客户中心以协助受害救济。
公司也已完成申报。TVING方面表示:“在掌握情况后,已迅速向KISA(韩国互联网振兴院)和个人信息保护委员会报告,目前正进行联合调查”,“将诚实配合政府及相关机构调查,尽最大努力制定防止再发的对策。”
公司相关人士表示:“对给客户带来担忧深表歉意”,“我们会透明公开正在确认的事实。”
◆ 用户现在该做什么
专家建议,收到外泄通知的用户不要拖延。更换TVING密码是基本操作,如果其他网站也使用同一密码,最好一并更换。
不要点击来源不明的短信或邮件中的链接,并且对于冒充本人身份的金融机构或机构来电,也有必要提高警惕。
平台企业的个人信息泄露已不再是陌生事件。随着注册用户增多、处理信息更多,成为攻击目标的频率也会提高。
此次事件是停留在一次性的道歉和检查,还是会进一步转向减少保存信息、严密管理访问权限的结构性改善,将成为关键。联合调查结果和后续对策预计将成为分水岭。