核心身份标识信息
- 包括: 身份证号码、护照号码、社保号码、驾驶证号码等。
- 危害: 这些信息是个人身份的核心证明。泄露后,攻击者可以进行身份盗用,例如:
- 冒名申请贷款、信用卡。
- 开设银行账户进行洗钱。
- 进行虚假报税或骗取退税。
- 获得医疗服务(可能导致医疗记录混乱或产生虚假账单)。
- 规避法律制裁(用你的身份犯罪)。
金融账户信息
- 包括: 银行账号、信用卡号、借记卡号(连同有效期、CVV码)、支付平台账号(如PayPal)、投资账户信息等。
- 危害: 这是最直接的经济损失来源。攻击者可以直接:
- 盗刷信用卡或借记卡。
- 进行未经授权的转账。
- 利用账户进行欺诈交易。
- 即使只是账号泄露,也可能被用于钓鱼攻击或与其他泄露信息结合进行更复杂的诈骗。
健康医疗信息
- 包括: 医疗记录、病历、诊断信息、处方药信息、医保卡号、基因数据等。
- 危害: 这类信息极其敏感:
- 可能被用于敲诈勒索(如威胁公开敏感疾病信息)。
- 用于医疗身份盗用,冒领医疗服务或药品,导致受害人收到巨额账单或医疗记录错误。
- 可能影响保险购买和赔付(泄露的信息可能被保险公司用于歧视性定价或拒保)。
- 泄露基因数据可能涉及个人隐私和家族隐私,甚至未来可能被用于歧视。
登录凭证
- 包括: 用户名、密码(尤其是弱密码或重复使用的密码)、安全问题的答案。
- 危害:
- 账户接管: 攻击者可以直接登录你的邮箱、社交网络、购物网站、云存储等账户。这可能导致:
- 个人隐私泄露(查看私密邮件、照片)。
- 社交账户被用于诈骗好友。
- 购物账户被用于盗刷或更改配送地址。
- 云端敏感文件被窃取或删除。
- 撞库攻击: 人们常在多个网站使用相同密码。一个网站的密码泄露,可能导致攻击者尝试登录你的其他重要账户(如银行、邮箱)。
生物识别信息
- 包括: 指纹、面部识别数据、虹膜扫描数据、声纹等。
- 危害: 这类信息是唯一且难以更改的:
- 一旦泄露,被用于伪造身份认证的风险极高(如解锁手机、门禁、支付验证)。
- 理论上可用于绕过基于生物特征的安防系统。
- 目前大规模泄露案例相对较少,但一旦发生,后果极其严重且持久。
其他敏感个人信息
- 包括: 家庭住址、电话号码、电子邮件地址(尤其是常用且关联多账户的主邮箱)、未成年子女信息、精确的地理位置信息、性取向、宗教信仰、政治观点等。
- 危害:
- 可能导致线下骚扰、恐吓或人身安全威胁。
- 成为精准钓鱼、诈骗的目标(攻击者掌握的信息越多,骗局越逼真)。
- 用于人肉搜索或社会工程学攻击。
- 泄露未成年信息风险更高。
- 敏感个人特征泄露可能导致歧视或社会性死亡。
总结来说,危害最大的信息通常具备以下特点:
- 唯一标识性: 能直接、唯一地指向个人身份。
- 金融关联性: 直接关联到银行账户或支付能力。
- 不可变更性: 如生物特征、核心身份证号,一旦泄露无法轻易更改。
- 高敏感性: 涉及健康、隐私或可能带来人身安全风险。
- 连锁反应性: 如密码泄露可能导致多个账户沦陷(撞库)。
- 组合利用价值: 攻击者往往将泄露的不同类型信息组合起来,实施更复杂、危害更大的犯罪(例如,用身份证号+地址+电话号码申请贷款)。
因此,保护这些类别的信息至关重要,企业和个人都应采取强化的安全措施。
