为什么您的数据最有可能被盗以及您可以如何处理

我曾经认为自己对网络世界非常了解，但是后来我开始学习网络安全，并阅读Shape Security，IBM和Snyk等公司的报告。

我不可能错了。

只是在我出生之前就发生了。 1983年，罗纳德·里根（Ronald Reagan）观看了电影《 战争游戏》 并建议制定一项法律，以防止未经授权的计算机访问。 1984年，有关网络安全的第一部法律得以实施 。

（注意：我将在文章结尾添加引用️）

所以，我参加安全培训有点迟了。 然而，每年，网络犯罪对每个人的威胁都越来越大。

战略与国际研究中心（CSIS）发表了一份重要的网络事件报告，报告时间跨度为2006年至2019年9月 。 本报告的重点是“对政府机构，国防和高科技公司的网络攻击或损失超过一百万美元的经济犯罪” 。

根据此报告，我对一些数据点进行了粗略的积累：

（完整的报告积累可以在 这里下载 ）

其中一些事件确实令人恐惧。

2019年2月。欧洲航空航天公司空中客车公司透露，这是中国黑客的攻击目标，他们窃取了其部分欧洲员工的个人和IT身份信息。

2018年12月。朝鲜黑客窃取了居住在韩国的近1,000名朝鲜叛逃者的个人信息

2017年6月。俄罗斯黑客使用了更新的勒索软件程序来针对乌克兰基础设施，包括电力公司，机场和公共交通。

所有这些都是很大的网络犯罪。 您可能会认为，对于像我这样的小型公司和简单的凡人，这不是问题。 错误。

“无知就是力量” — 1984年，乔治·奥威尔（George Orwell）

在2018年Shape Security发布的有关凭证泄漏（即凭证被盗）的报告中 ，它谈到了4个主要行业的凭证泄漏和凭证填充（即自动尝试不同的登录名和密码组合直到获得有效组合）的问题—零售，酒店，航空公司和银行。

平均而言，在零售凭证填充攻击中， 在线零售商登录流量的80–90％

90％。 那是九零。 一开始我不敢相信，但是我阅读报告越多，这个数字就越有意义。 零售商受到如此巨额攻击的主要原因是因为我们-客户。

在亚马逊时代和一日交付的时代，我们变得越来越不耐烦地等待—无论是排队还是在加载网站。

关于减少客户摩擦（如改善网站加载时间）的重要性的文章已写了很多。

• 尼尔·帕特尔（Neil Patel）以外科手术的精确度显示了消费者愿意在网站加载之前等待的时间
• Time.com上的一篇文章说，网站吸引消费者注意力的时间约为15秒
• 谷歌的一项研究表明， “ 53％的移动网站访问所花费的页面加载时间超过三秒钟”

因此，在我们努力使网络更快，更友好的同时，我们也不可避免地使其变得更加犯罪友好。 这些研究使网站专注于眼前的问题-尽可能快地吸引用户访问其网站，并尽可能减少采取行动所需的步骤。

因此，大多数网站都不愿意引入其他安全措施来增加用户的摩擦。 但是，通过省略2因子身份验证（2FA），不强制使用强密码，允许使用已被举报为已被泄露的密码（ 这一点在NIST 2017年的研究中也提到过 ）等事情，企业就可以破坏信任度数十亿人。 后者

[2017年]据报告，来自51个不同组织的超过23亿份凭证被盗用

即使您认为您通常不会在互联网上指定很多关于自己的信息，网络犯罪分子所做的就是创建一个人的身份文件之类的东西。 他们可以从特定帐户获得的所有信息都与有关该用户的其他溢出数据相关联 。 最后，一些网络罪犯比你妈妈更了解你。

这称为个人身份信息或PII。

例如，使用PII，黑客可能会完全接管您电话公司的帐户。 观看此视频，了解如何轻松进行网络钓鱼（通过电话进行网络钓鱼）：

我们应该做什么？

有很多事情要考虑，它可能会让人感到压倒性的。 我知道了。 但是，引用Shape Security报告，这是好人与坏人抗衡所必需的“集体防御”。 我们不能被动。 不再考虑网络犯罪会影响所有国家。

政治成形，选举被篡改，军事蓝图和机密信息泄露，您家人的照片被使用，逃离独裁统治的人们被发现，您的汽车被黑。

对于软件开发人员

• 了解如何处理密码以及遵循密码的原因。
• 教育自己有关软件开发中漏洞的真实状态。 像Snyk这样的公司都在积极撰写有关这些事情的博客。
• 从类似OWASP的项目中了解攻击类型（或向量，通常称为向量）
• 阅读有关十个最关键的Web应用程序安全风险的信息 （2017）
• 查看https://github.com/danielmiessler/SecLists

对于日常用户

• 考虑使用密码管理器，例如LastPass或1Password
• 如果可能，不要在任何网站上存储过多的个人信息
• 不要在网站上保存卡数据
• 尽可能使用2FA
• 如果您的密码看起来不正确-8 @ U ^ K％fsGA85V * uP-   更改！
• 不要使用公共WiFi处理任何敏感数据如果您使用公共WiFi，请使用VPN服务。
• 教育自己有关网络钓鱼，网络钓鱼，网络钓鱼 （可能是我最喜欢的名字）等网络犯罪的信息。

为所有人

请遵守您公司的安全政策，以免成为意外攻击者。 我知道这很令人沮丧，有时会感到多余。 但是，IBM 在2015年《网络安全情报报告》中的研究表明，有55％的攻击者是内部人员。 在这23.5％中，无意伤害公司的人（例如，他们丢失了公司的笔记本电脑）。

如果您喜欢这篇文章，并希望详细了解本主题或获得更多提示，请随时在评论中分享。

另外，我建议您通过以下链接检查网站，您的电子邮件或密码是否受到破坏。

• 电子邮件-https: //haveibeenpwned.com/
• 密码-https: //haveibeenpwned.com/passwords
• 公司— https://haveibeenpwned.com/Pwned网站

参考文献

• https://zh.wikipedia.org/wiki/战争游戏
• https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act
• https://www.csis.org/programs/about-us
• https://www.csis.org/programs/technology-policy-program/significant-cyber-incidents
• https://info.shapesecurity.com/rs/935-ZAM-778/images/Shape_Credential_Spill_Report_2018.pdf
• https://time.com/12933/what-you-think-you-know-about-the-web-is-wrong/
• https://neilpatel.com/blog/loading-time/
• https://www.crazyegg.com/blog/why-users-leave-a-website/
• https://www.thinkwithgoogle.com/marketing-resources/data-measurement/mobile-page-speed-new-industry-benchmarks/
• https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf
• https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/what-do-hackers-do-with-your-stolen-identity
• https://dev.to/nathilia_pierce/how-to-process-passwords-as-a-software-developer-3dkh
• https://snyk.io/blog/why-npm-lockfiles-can-be-a-security-blindspot-for-injecting-malicious-modules/
• https://www.owasp.org/index.php/类别：攻击
• https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
• https://github.com/danielmiessler/SecLists
• https://www.lastpass.com/
• https://1password.com/
• https://thebestvpndeals.com/eu/best-vpn/?gclid=CjwKCAjw9L_tBRBXEiwAOWVVCRUqlZ787rcGufgKiV_hUp92y31qAa4dZ-lv6MpPMPxhza_oRRIhnRoCofUQAvD_BwE
• https://blog.syscloud.com/types-of-phishing/
• https://essextec.com/wp-content/uploads/2015/09/IBM-2015-Cyber​​-Security-Intelligence-Index_FULL-REPORT.pdf

From: https://hackernoon.com/why-your-data-has-most-likely-been-stolen-and-what-can-you-do-about-it-xc2g32f8