与往年相比，信息盗窃行为可以说是越来越猖狂，仅去年上半年，就有41亿条信息遭泄露，无论是信息泄露事件数，还是信息泄露数都较2018增长了50%。眼下就有一件闹得沸沸扬扬的信息泄露事件，万豪酒店信息泄露，导致520万房客数据被盗取，这已经是万豪第二次信息泄露了。

还记得上一次是在2018年11月，当时万豪数据库被入侵，直接导致3.8亿顾客信息被窃取，最后万豪被集体索赔125亿美元，这还不包括被英国数据隐私监管机构判罚的9900万英镑（约合1.24亿美金）。

虽然，看上去损失惨重，但这和近些年的信息泄露事件所造成的损失比起来，也不过是九牛一毛，在未来信息盗窃的事件很可能越来越多，屡禁不止，想想都不禁让人后怕！

虽然信息泄露形势严峻，但让小培更担心的是，人们对于信息泄露事件的关注度以及自我保护的能力，大家都知道信息盗窃本身确实是一种犯罪，但却少有人关注和在意自己的信息泄露问题，似乎信息泄露无关乎疼痒，对自己造成不了多大威胁。

殊不知其破坏性必须在被盗后用于恶意目的才会不断彰显，比如当攻击者将枪口瞄准人们的保险、银行卡、信用卡、支付宝等等时，对用户造成的威胁将是毁灭性的、不可逆转的！

为了在享受网络带来的高效便捷的同时，不受其反噬和侵害，我们有必要去了解清楚信息泄露的来龙去脉。

01.信息泄露的几大原因

提到信息泄露，绝大部分人都能联想到黑客，认为他们才是信息泄露的罪魁祸首，可实际上，很多时候不是别人企图得到我们的信息，而是我们在不经意间把自己泄漏了出去。

此前有一项研究，专门针对2005-2015这十年间，数据泄露的原因做了相应的调查，其调查报告显示：

设备（手机、身份证等）丢失或被盗：占比41%  

黑客或恶意软件入侵：占比25%  

无意纰漏：占比17.38%  

内部泄露：占比12.01%  

支付欺诈及其他原因：占比1.43%

显而易见，设备丢失、黑客和恶意软件的入侵是造成信息泄露的主要原因，我们除了在生活中，加强对设备的保护意识，我们还有必要明白，黑客是如何窃取信息的，窃取之后，他们又做这些信息做什么？

02.五种常见的信息泄露及危害

①PII泄露

定义：PII个人信息（Personally identifiable information），具体包括身份证信息、电话、住址、信息卡号以及社保号等极为重要又敏感的信息。

危害：PII在黑产中是极为吃香的数据信息，攻击者获取到用户的PII后可以直接对用户进行攻击，比如以用户名义申请贷款，或是直接售卖信息给一些营销机构，用户轻则接到骚扰电话、垃圾邮件的轮番轰炸，重则造成毁灭性的财产损失！

②医疗信息泄漏

定义：医疗信息包括医疗保险、就医记录等用来记录医疗活动的相关数据。医疗信息与个人信息相比，更具有商业价值，医疗信息可以帮助某些行业获得更加精准的用户，从而针对性销售！

危害：医疗信息被泄露，攻击者将可能利用用户的医疗信息购买药物，造成延误泛滥的现象。除此之外，还可能给某些病人带来被营销电话骚扰的危害！

③支付卡信息泄漏

定义：支付卡信息是指与个人支付卡中的数据相关的信息，包括信用卡和借记卡数据以及其他相关的信息。

危害：这些数据与财务信息相似，因为它也会直接影响到用户的财务安全。然而，支付卡信息可能会比财务信息更危险，因为这些信息可以用来进行在线交易和付款、转账。总而言之，财务信息和支付卡信息彼此之间都是密切相关的。

④财务信息泄漏

定义：财务信息包括保险信息、账单信息、股票账号等，是用户财务活动和交易的相关数据。

危害：当财务信息被窃取后，攻击者极可能对用户进行线上欺诈、转移银行账户资产等恶意攻击的活动，甚至还有些专业黑客直接利用你的财务信息伪造信用卡，牟取暴利，比较成熟的交易账户在暗网可以卖到300美元！

⑤用户凭据泄漏

定义：凭据是凭证、依据的意思，也就是用户的在线账号密码，以及其它网站或设备的登入资格。

危害：在暗网，各类银行的登陆凭据售卖价格最高可达500美元，用户凭据被盗，比PII被盗更可怕，因为攻击者可以随意登入你的邮箱或其它重要账号，电子邮箱一旦被入侵，很可能进一步导致更多信息被窃取，邮箱还可能被攻击者用来网络钓鱼。

以上几种信息泄漏场景有着"牵一发而动全身"的关系，只要有一个地方造成信息泄漏，将一定程度增加其他信息泄漏的机会，比如，电子邮箱信息被窃取，如果该邮箱有用户银行账单之类的私密信息，这将会进一步导致用户的财产安全受到威胁。

03.如何预防信息泄漏

①不要轻易对外透露自己的信息

不要在社交平台透露自己的个人信息；网购时，也尽量避免用真实地址和姓名，不要随意丢弃火车票、银行对帐单、火车票等凭据。

②不要随意点击网址或扫码

一些来路不明的邮件、网址，应提高警惕，不要轻易点开；不要随便扫二维码，或是轻易点击公共场所的免费WIFi，尽量访问有SSL证书的浏览器，这样可以防止数据传送的过程中被拦截、篡改或是被劫持。

③加强设备的保密性

用户可以对一些重要的设备部署防盗保护措施，这样防止数据被黑客轻易访问，此外，还应该尽量将各个网站、账号或是手机的密码复杂化，降低被盗风险。

总之，安全领域涉及到的内容是比较多的，对于从事安全领域的朋友们来说，若想在安全领域有更好的发展，还需学习更多专业的知识。中培伟业14年专注于IT培训，在网络安全、项目管理、企业架构、人工智能等方向的学员超过十万。

点击在线咨询，欢迎预约我们的CISP、CISP-A等课程试听体验。