16岁的黑客少年也防不住？GTA6源代码泄露损失上亿

最近你们听说了吗？

一个16岁的黑客被抓了，被判医院终身监禁。

这也不是啥大新闻，但关键是他黑的是GTA6！隶属于Lapsuss黑客组织。

一提到Lapsuss，相信大家都不陌生，这个黑客组织仅 2022 年1 、 2 月份就黑过 6 家公司，其中包括葡萄牙最大的媒体集团 IMPRESA ，英国电信集团 Vodafone ，以及大家耳熟能详的英伟达。

同年3月，这个黑客组织还攻击三星、微软等公司，导致科技公司损失高达上亿！

这次入侵GTA6的黑客名叫Arion，他患有自闭症、多动症等多种疾病。即使在被捕后，这位少年依然没有任何悔改的意思。他是Lapsuss黑客组织的一员。

Lapsuss能成为科技行业毒瘤的原因，可不单单靠电视棒神奇手段，还通过社会工程学攻击贿赂员工，搞定内部账号。

随着实名认证的广泛应用，网络上不仅有着大量企业数据，而且个人信息也变得异常丰富。有一天，我们的隐私会不会也像GTA6一样广泛泄露，被不法分子可能会趁机谋取私利，对我们和身边人的利益造成威胁？

一、Log4j2大冒险? ?黑客秘籍曝光，企业安全靠啥拯救？

为了解决这个问题，小ZA专访了众安保险的信息安全负责人肖衿。他向我们简单介绍了社会工程学攻击：所谓社会工程学攻击，就是一种对受害者设下心理陷阱来获取自身利益的方法。

例如大家常见的缅北电信诈骗就是很典型的一种，只不过这里骗的是内部账号。社工攻击虽然危险，但只要企业加强内部管理，提高员工安全意识，对付社工这样的攻击方式有行之有效的防御术段的。

当然，黑客可不只是这一招，他们的手段多到让人防不胜防。

Log4j2有个远程代码执行漏洞，可以在未经授权的情况下植入代码，继而植入一个代码，成功渗透企业内网。攻击时，他们首先找漏洞，探测符合漏洞利用条件的目标，然后利用攻击脚本进行自动化攻击。

他们的攻击规模往往是数亿甚至几十亿级别，所以很容易取得成功。一旦成功，这些攻击者往往会化身勒索者，加密数据，并要求受害企业支付比特币赎金。因为加密货币的特性，警方可追查性不大。所以，企业预防黑客攻击真的太重要了！

二、信息安全攻略在此

肖衿介绍：“为了防范黑客攻击，最直接有效的方法是实施纵深防御体系。就像个洋葱，企业核心数据在中心，外围是一层层的防御机制。就算有一层被攻破，其他手段还能堵住漏洞。总结成四个词：进不来、拿不走、跑不掉、用不了。”

进不来：也就是防，通过网络划分、网络准入、访问控制等策略，拒绝一切非法访问。

拿不走：相当于审，相当于采用3A机制（鉴权、授权、审计），确保黑客进入后，除验证身份外，还要验证资源访问资格。

跑不掉：相当于阻，通过权限最小化原则，限制黑客入侵的范围，并设置入侵发现和阻断机制。

用不了：也就是掩，在数据拖走的过程中，使用数据防泄漏系统DLP，根据流量或内容异常发现并阻断不正常行为。

此外，对敏感数据采用加密或者碎片化处理，即使数据被窃取，黑客也难以直接使用。

不仅企业，黑客们还会通过攻击个人的方式间接获取数据。有人可能觉得自己信息不值得黑客费心攻击，但信息泄露的后果在身边就有发生。比如那些烦人的骚扰电话，其中一大来源就是互联网信息泄露。

2011年，某Q、某博等常用软件就泄露了近10亿多条信息。

?信息一旦泄露，难以挽回。那么在现在，我们怎么保护自己的隐私呢？

肖衿给了些建议：

“首先，我们要用强密码。至少8位，包括大小写字母、数字和字符，至少选择3种。如果担心记不住，可以把一首诗或一句话通过谐音或象形的方式转化为密码。

?其次，一定要仔细检查发布在网上的照片，确保图片中没有暴露自己身份的信息，例如手机号、身份证之类的。毕竟曾有黑客说过：互联网上有你的人生。

最后，大家一定要提高反诈意识，因为黑客总是喜欢利用我们的恐惧、贪婪等心理来欺骗我们。”

在大环境不变的情况下，无论我们个人防护的再好，保护信息安全这事都好像在潮水中游泳，退潮的时候才发现，我们可能是在裸泳。

—? ??E N?D????—

文/ZA技术社区