该如何管控,快递业要加强信息保护防范

2019-05-25 01:15栏目:财经资讯
TAG:

中新网1月16日电 2018年,既是数据泄露的灰色之年,也是数据保护的元年。3月,Facebook被曝出8700多万用户数据泄露,此事曾一度视为Facebook 有史以来遭遇的最大型数据泄露事件;6月,AcFun发布公告称,服务器受黑客攻击,致使近千万条用户数据在暗网贩卖;8月,根据暗网中文网帖显示,某平价连锁酒店旗下所有酒店近百G、涉及5亿条顾客隐私数据被公开买卖;12月,美国知名问答社区Quora发布公告称,1亿用户数据受不法黑客攻击致泄露……2018年度频频发生的重大企业信息泄漏事件,一度成为信息安全领域热门话题,备受社会各界的关注和重视。

如今,个人隐私信息泄露一直是一个挥之不去的阴霾。华住酒店用户数据泄露的风波还没平息,8月31日晚间,有媒体报道,3亿条疑似顺丰用户数据泄露、暗网交易售价两个比特币的消息。顺丰回应,暗网所售非顺丰数据。

该如何管控,快递业要加强信息保护防范。九成网络诈骗因信息泄露

图片 1

信息泄露补救不到位 工信部责令洋码头限期整改 洋码头回应信息泄露,称遭到“撞库”;专家称,企业有责任保护用户数据安全

作为国内互联网安全新生态首倡者,腾讯安全近日正式对外发布《信息泄露:2018企业信息安全头号威胁报告》,对企业互联网资产威胁展开详细剖析,并披露暗网信息售卖、精准诈骗、撞库攻击以及撒网式诈骗四大黑市交易侵蚀数据安全渠道,为广大企业及个人用户防范信息泄露风险提供了实用建议。

但有业内人士指出,高频接触个人信息的行业已成高敏感行业,此事件为其他快递企业敲响警钟。

信息“裸奔”该管控

新京报记者买到的电商网购数据。

新京报讯 (记者马婧 实习生游佳颖)7月31日,工信部方面表示,因上海洋码头网络技术有限公司存在用户个人信息安全管理制度不完善、用户个人信息泄露补救措施不到位等问题,工信部网络安全管理局对该企业进行了约谈,责令企业限期整改。

暗网:个人信息贩卖的主要渠道,号称涵盖国内各大互联网平台

8月31日,有媒体报道称,在“暗网交易市场”网站上,有暗网用户售卖顺丰快递数据,卖家称其掌握了顺丰快递客户数据总量高达3亿条,售价两个 比特币。据发布者披露,这3亿条数据包括顺丰快递物流中,寄件人、收件人的姓名、地址、电话等个人信息,交易可以选择先“验货”,验货数据量10万条,验 货费用0.01个比特币。

本报记者 卢泽华

5月9日,最高人民法院通报了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。

洋码头对此回应称,经安全团队校验,样本数据显示绝大部分来自于其他平台泄露的账户密码,由此遭到“撞库”。针对被“撞库”的账号用户,已第一时间进行安全提示和密码修改提醒,并采取临时保护措施,直至用户完成密码修改。

2018年12月30日,暗网中文论坛出现一个帖子,声称售卖内含30万某酒店消费者的身份证、地址、电话等用户敏感信息数据,叫价0.00268比特币,约合人民币69元。再往前,暗网爆出公开兜售某平价连锁酒店旗下所有酒店开房数据,包含1.3亿人的个人信息和开房记录,数据标价8个比特币,约等于35万人民币。近年来频繁爆发的数据泄漏事件,让暗网这个“地下黑市”逐渐被社会所认知。

顺丰回应:

近日,社交媒体巨头脸书因5000万用户数据泄露一事,站上了舆论的风口浪尖。事实上,维护用户数据安全已经成为全球互联网界的一大难题。仅仅半年时间,就发生过新加坡共享单车欧拜用户信息大量泄露、第三方键盘应用AI·type泄露超过3100 万用户个人数据等信息安全事件。

这是两高首次就打击侵犯公民个人信息犯罪出台司法解释。根据此次司法解释,非法获取、出售公民个人信息,情节严重者可获刑。

携程、腾讯等企业也被问询

图片 22018年暗网中数据交易情况

暗网所售数据非顺丰数据

事实上,中国也是网络信息泄露的重灾区。不仅用户信息泄露案件频发,还形成了一条巨大的黑色产业链。如何发挥合力、保护用户隐私、维护中国网络安全,成为亟待解决的命题。

“近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。”最高法相关人士称。

近期针对媒体公开报道和用户投诉较为集中的“部分应用随意调取手机摄像头权限、用户订单信息泄露引发诈骗案件、用户信息过度收集和滥用”等网络数据和用户个人信息安全突出情况,工业和信息化部网络安全管理局会同北京、上海等通信管理局积极开展调查,对相关企业进行了情况问询。问询企业包括携程、腾讯、爱奇艺、洋码头等多家知名互联网公司。

从2018年暗网数据交易的情况来看,帐号/邮箱类数据、个人信息、网购/物流数据位列前三,分别为19.78%、12.19%、9.69%,成为作恶团伙最为欢迎的“商品”。其中,在暗网“数据-情报类”板块中,一交易帖号称贩卖包含16亿邮箱 密码数据,号称涵盖国内各大互联网所有平台。除此之外,银行数据和网贷数据等金融数据在今年下半年开始增多。腾讯安全技术专家推断与今年P2P等金融平台的“暴雷”有一定关联。

9月1日早上7时多,顺丰集团官方微博对此回应,公司已第一时间报警,经技术手段交叉验证,暗网所售数据非顺丰数据。其次暗网所售数据均不涉及快件单号、托寄物、收发件时间等物流特征信息,其来源不明,冠以顺丰名义目的可疑。

图片 3扎克伯格表示,Facebook接下来将调查所有有权限获取数据的应用,并将禁止开发人员滥用用户信息。

我们几乎每个人,都曾被推销电话、诈骗短信骚扰过。去年发生的“徐玉玉案”,即是个人信息遭侵犯导致的“恶果”。

工信部网络安全管理局要求上述企业按照法律法规有关网络数据和用户个人信息保护要求,进一步完善内部管理制度和技术保障措施,强化网络数据和用户个人信息安全保护,落实重大安全事件及时报告要求。

《报告》指出,黑产从业者除了利用技术攻击、钓鱼攻击和勾结内鬼等手段获取一手信息数据之外,撞库及撞库攻击也是常用非法手段之一。以某平价连锁酒店信息泄露事件为例,该酒店程序员由于将数据库连接方式及密码上传到开源平台GitHub上,不法黑客第一时间利用该信息实施攻击,并获得包括消费者官网个人注册资料、酒店入住身份登记信息、酒店开房记录等共计141.5G、近5亿条用户数据。《报告》认为,信息化时代的今天,面对层出不穷的数据泄露事件,无论是企事业单位,还是个人用户都应该提高对数据安全的重视,加强对自身数据的保护措施是目前应对该类事件的最为直接有效方式。

不过对于这次泄露的客户信息,究竟来自哪里?被谁泄露的?顺丰方面称已第一时间报警,具体情况还未公布。

小心手机“出卖”你

在此节点,新京报推出关于“个人信息泄露”的系列调查报道。我们将通过对航空、征信、银行卡等领域的调查,以期找到个人信息泄露的源头。

工信部指出,下一步,工信部网络安全管理局将持续加大对网络数据和用户个人信息安全事件的监测巡查力度,指导督促企业切实履行相关法律责任,依法依规严肃处理涉事企业,切实做好网络数据和用户个人信息安全保护工作。

信息泄露催生三大变现途径:精准诈骗、撞库攻击以及撒网式诈骗

广州日报全媒体记者采访一位不愿透露姓名的资深信息安全专家,该人士表示,从目前的信息看,华住和快递公司用户信息泄露,并非此前黑客通过撞库 方式引发大规模用户信息泄露的,但具体原因,有待公安机关侦破案件之后才能清楚。而对于上述企业用户担心自己可能因信息泄露导致钱财损失,该人士表示,用 户个人经济损失可能性不大。

手机软件、免费无线网络、搜索引擎、电商平台……这些常使用的互联网场景,很可能成为个人信息的主要漏洞。统计显示,目前网络用户信息泄露大部分都发生在移动端。

5月10日,家住天津的马晓迪告诉新京报记者,她接到了号称是1号店客服打来的诈骗电话。对方称,因“后台失误”将账号调整为批发用户,要求她提供账号等信息。“我马上就挂机了,但又打来好几个,说不改别后悔,后来我就不接了。”

“企业有保护用户数据安全的责任”

目前,“暗流涌动”的黑市交易正侵蚀着用户隐私安全。除了到暗网等黑产平台贩卖隐私数据直接变现以外,黑产从业者往往还会利用购买得到的数据进行精准诈骗、敲诈勒索等犯罪行为,以此进一步从事网络犯罪行动。

该人士表示,华住用户泄露,或更多是涉及用户隐私,包括入住记录等,而不法分子利用用户被泄露的身份信息进行其他用途登记,或较难成功。 该人士认为,目前很多服务领域都使用了人像识别技术,仅靠一个身份信息而非本人去开户,较难登记成功;而快递公司用户信息泄露,用户担心不法分子利用用户 泄露的手机号进行其他不法行为。该人士则表示,目前很多服务平台的安全系数都非常高,均开动了动态密码验证,而只要手机在用户手上,保护好动态密码,钱财 损失的可能性不大。

日前,腾讯社会研究中心与某互联网数据中心联合发布了《2017年度网络隐私安全及网络欺诈行为分析报告》。报告显示,2017年下半年,安卓系统手机应用中,有98.5%都在获取用户隐私权限。虽然绝大多数软件获取用户隐私是出于用户正常使用产品的目的,但也有9%的手机应用在2017下半年存在越界获取用户隐私权限的现象。

马晓迪之所以能接到这类诈骗电话,是因为她的网购信息已经遭到泄露,信息贩子从各种渠道获得网购信息后,会进行转卖,而电话诈骗团伙就是买家之一。

虽然洋码头也是被黑客攻击的受害者,不过北京志霖律师事务所律师赵占领告诉记者,企业有保护用户数据安全的责任。网络安全法等相关规定指出,企业在收集用户的信息之后,需要尽到保证信息安全的义务,无论技术还是其他管理措施。“例如撞库这种事,不一定是网络服务商的责任,要看网络服务商对用户信息的泄露有没有过错,比如是不是没有上基本的安全措施防范。”

曾有网购消费者向腾讯安全求助,称自己在网购平台购物完成后,会收到热心“客服”的电话,“客服”会以质量问题、物流问题等事由,发送一个退款网页链接或二维码,按照提示操作即可退还高于购物款的退款或退款保证金,之后“客服”会进一步引导受害者将多收到的退款或退款保证金通过扫描指定二维码的方式退还给网店。

业内人士:

另一项数据显示,目前电信网络诈骗案件90%以上是违法分子靠掌握公民详细信息进行的精准诈骗。从已破获案件看,互联网平台内部监守自盗和黑客攻击是公民个人信息泄露的主要渠道。

有业内人士向新京报记者透露,用户网购数据的获得渠道有很多种,但大部分信息贩子是通过“扫号”取得的网购数据。一名在QQ上出售各种网购信息的贩子也称,他们的数据是“扫号”得来。

另外,用户信息被过度收集和滥用的问题由来已久,腾讯社会研究中心、DCCI互联网数据中心联合发布的数据显示,2017年下半年,852个Android手机APP中有98.5%都要获取用户隐私权限,这比去年一季度增长了2%。其中,网络游戏与常用工具是获取用户手机隐私权限占比最高的两类应用,分别达到获取隐私权限总数的24.4%和18.8%。

图片 4“购物退款”诈骗作案流程示意

防范行业“内鬼”

据了解,当前中国网络非法从业人员已超150万人,其背后孕育着一条千亿元级别的黑色产业链。在已经破获的个人信息贩卖案中,数据级别动辄高达数亿甚至数十亿。例如,数目最大的“9·27特大窃取贩卖公民个人信息专案”中,被盗公民个人信息超过50亿条。

“通过‘扫号撞库’的方式,黑客可以拿到用户在网购平台上的数据,”游侠安全网创始人张百川表示,一些平台的用户信息之所以遭到泄露,就是因为缺少对这种“撞库攻击”的防范。

今年初,工信部信息通信管理局约谈百度、支付宝、今日头条,要求3家公司就保障用户知情权和选择权,进行整改。6月初,上海消保委对消费者使用率较高的百度地图、高德地图、腾讯地图、搜狗地图、图吧导航等5款热门地图类APP涉及个人信息权限状况进行了评测。

这原本是一件双赢的好事,作恶团伙是如何实现诈骗的呢?腾讯安全技术专家表示,这是一起典型的精准诈骗事件,诈骗者通过暗网等黑产平台获得用户的个人详细信息后,通过终端设备对受害者实施针对性的电信诈骗。一般受害者收到的款项其实是一些正规的贷款平台的快速贷款,诈骗者利用网银或第三方支付平台上快速授信贷款等服务,误导受害者从贷款平台贷款,然后将“多余”的款项打回诈骗者的网络帐户。

快递企业有着个人信息最密集的快递单上的信息,而它也是屡次发生用户信息泄露的渠道。除了黑客窃密等可能之外,快递公司内部人员泄露用户信息的风险也不容忽视。顺丰此前有客户信息被泄露案例,涉事员工被追究刑事责任。

中国信息安全测评中心党委书记吴世忠表示,信息泄露将会给基于互联网构建的信息社会带来巨大隐患。他举例指出,单一的个人信息泄露会直接影响到个人隐私、社会交往和经济利益;局部性、群体性的个人信息泄露有可能导致网络犯罪和社会问题;大规模的个人信息泄露会引起公众恐慌,危及社会稳定;敏感的、跨境的个人信息泄露更会关乎国家发展和安全利益。

黑客盗取某些网站的数据库售卖给信息贩子,这些信息流到骗子手中后,一般会以冒充客服退款等方式进行诈骗。

结果显示,高德地图、搜狗地图、图吧导航申请的权限与实际功能不完全对应,部分还未找到对应的实际功能。随后,上述5家手机地图类APP,决定取消这些与地图应用无关的个人隐私信息获取。

《报告》指出,包括“购物退款”、冒充“公检法”、“发放助学金”、“航班取消”、“二胎生育退费”、“交通违章提醒”、“积分兑换现金”等精准诈骗行为,均是诈骗者基于个人信息特点精心设计的具有针对性的诈骗剧本。

据报道,2018年5月,湖北省荆州市法院曾开庭审理过顺丰数据泄露事件。根据法庭公布的案件信息,此次事件涉及多个顺丰快递代理商和员工,一 共造成了上千万条个人信息被泄露,涉案金额超过200余万元。顺丰公司相关人士表示,该案件是由顺丰安全部门率先发现湖北地区数据存在异常,并将相关案件 信息整理完毕后向当地警方报案。

信息“裸奔”有原因

网购信息2元一条,贩子称“扫号”得来

同样值得关注的是,撞库攻击催化信息泄露呈裂变式增长。据国外某安全研究团队撰写的《2018年互联网安全状况报告:撞库攻击》显示,仅在2016年11月到2017年6月末期间,全球恶意登录尝试就超过300亿次。从近三个月的蜜罐流量可以看到,恶意攻击的流量稳中有长,而这些恶意攻击流量当中更多是撞库和扫号的攻击。

内部监管还需进一步完善

中国网民防范意识薄弱,是导致用户信息“裸奔”的一大因素。

来自西安的小严不久前因小红书网购信息泄露遭遇诈骗。

除了用来撞库和精准诈骗之外,用户隐私数据还被用来撒网式诈骗。不久前,不少网友纷纷发帖,称自己从“黑客”手里收到了恐吓邮件,邮件里称在其访问成人网站植入了恶意程序,能盗取用户帐号密码,并控制摄像头录制用户观看成人视频的隐私过程,以此要求支付指定赎金,否则向邮箱里的所有联系人发送视频文件。

还有需要注意的是,之前传统快递单上的个人信息“裸奔”一直被市民吐槽,近年各大快递公司也一直在做各种信息化建设去解决此问题。

事实上,中国网民并非没有意识到自己手机里信息泄露的风险。据《中国网民权益保护调查报告》显示,中国57%的网民认为个人信息泄露严重,76%的网民亲身感受到个人信息泄露带来的诸多不良影响。

小严告诉新京报记者,她3月份在小红书平台购买过商品,之后接到了自称是小红书工作人员的电话,“说我所购买的商品存在质量问题,要收回并销毁,因为他们掌握我所有的购物信息以及地址,我就相信了他们。”

腾讯安全:持续发力数据安全建设 呼吁社会共同守卫隐私安全

“隐私面单的出现可以让信息不再‘裸奔’,想要真正保护用户隐私,需要在各个环节例如对运单单据全程监控、员工教育监督等方面进行加强,信息化手段需要不断加强,当然内部监管还需进一步完善。”有业内人士表示。

然而,另一调查数据也显示,四成手机用户在安装或使用手机应用之前,从来不看授权须知。北京市消费者协会发布的调查结果显示,有42.31%的人不知道授权应用采集的个人信息可能一直被留存;有79.23%的人认为手机应用上的个人信息不安全,但只有6.15%的人在安装或使用手机应用之前会经常看授权须知。

小严说,对方让她登录支付宝查看退款。小严回答“没有收到退款”后,对方便询问了小严的芝麻信用,并要她在招联好期贷、来分期等平台尝试贷款,并说这是小红书与他们的合作,小严可以马上从中提现,得到赔偿,但需要将多余款项打回给对方。小严在招联好期贷上提取了1100元,将其中1000元打了过去。

当前,世界各地接连出现信息泄露事件,大规模信息泄露的影响一般会持续很久,影响范围也会扩散到各个行业。遭遇信息泄露事件之后,无论企业还是个人往往难以应对次生风险。

中国物流学会特约研究员杨达卿接受广州日报全媒体记者采访时指出,对多数中小型快递企业来说,也都积淀了用户信息,但不能因为自有资金有限就建 设简陋的信息安全堤坝,一则可考虑与菜鸟网络等开放型平台共建信息安全;二则可以考虑一些信息安全运维外包,以此减少包袱,更专注投资和发展服务。

值得一提的是,近年来,手机更新换代速度越来越快,智能手机用户平均约17个月就更换一次手机,旧手机回收也成为泄露用户隐私的一大原因。

打完款,小严才觉得自己被骗了,随即报警,截至目前还没有结果。她之后联系了小红书平台,小红书平台称他们只负责追缴,不负责赔偿。

为此,《报告》提醒广大普通用户,一方面避免在多个平台使用相同的帐号密码,并保持定期更换复杂密码的习惯;另一方面,建议个人将所有已提供双重验证功能的互联网服务开通双重验证,以便及时保障个人信息安全。对于企业来讲,企业应履行保护用户数据的责任,需要加强在信息安全领域的投入、建立系统化的安全保障体系,定期排查风险隐患、强化防护技术手段等措施,全面提升企业业务运营过程风险感知和发现能力,从而降低安全风险。

提醒:警惕陌生电话诈骗

由于手机回收行业缺乏第三方机构的监管,手机、电脑等电子产品均存在个人信息泄露的隐患。事实上,通过技术手段对废旧手机和电脑中的信息进行恢复,并非没有可能。而其中的照片、视频、短信、通讯录、网银等信息的泄露,均能成为犯罪份子实施欺诈或勒索等犯罪行为的工具。

在网上搜索公开报道和网友反映,可以发现,近年来有不少网购平台用户都有因网购信息泄露被诈骗或账户被盗的案例。例如2012年5月底,1号店被曝员工内外勾结泄露客户信息,90万个用户信息竟被以500元的价格叫卖,部分消费者不久后就遇到了账户余额被盗、电话诈骗等问题。而2015年至2016年,陆陆续续有100多人被能准确说出购物信息的假冒“京东客服”诈骗,涉及金额达200多万元,北京的一名受骗者韩先生甚至创办了一个名为“京东盗刷维权群”的QQ群。

通过长期的探索和实践,腾讯安全不仅推出针对终端恶意攻击的有效解决方案,而且还面向企业推出了腾讯安脉外部风险防控体系,为企业提供有效的业务风险监测和预警SaaS服务,为企业提供行业安全动态,协助企业做出正确的业务风险判断和处置建议。

资深信息安全专家表示,目前并没有一个完整的信息显示泄露的用户信息到底有多少是真实的,也有可能是不法分子在一些真实信息里面夹杂一些过时的信息进行贩卖,用户不用过于担忧。但该人士还是提醒,如果用户担忧自己身份信息泄露,在日常生活中要注意几点:

此外,监管缺位也是网络信息泄露频发的一大因素。据了解,一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。在一项关于网络安全问题的调查中,有18.9%的受访者反映,在遇到网络安全问题后,他们不知该向哪个部门举报和投诉,即使举报了也往往不予处理或者没有结果。这在很大程度上,给予了不法份子违法犯罪的空间。

中国电子商务研究中心分析师姚建芳告诉新京报记者,仅在今年4月份,中国电子商务投诉与维权公共服务平台就接到了包括小红书、达令、当当网在内的多家网购平台用户反映个人信息泄露的举报。

从《报告》整体来看,当前互联网资产存在的安全漏洞、安全弱点等安全问题,已经逐渐成为网络安全威胁的重要因素。为此,以腾讯安全为代表的杀软厂商积极联合政府部门、网民行动,形成“警企民”合力,全力打击侵犯用户隐私信息等网络违法犯罪行为,为广大用户营造一个绿色健康的网络环境。

一、遇到陌生电话需要验证用户身份信息,或验证用户的金融账号、密码等敏感信息,一定要特别注意;

合力监管是良策

这些电商平台的信息都是如何泄露的?有业内人士向新京报记者透露,网购数据的来源有很多种,例如电商内部员工倒卖、物流信息泄露、木马病毒等,但大部分信息贩子是通过“扫号”取得的网购数据。

二、遇到自称公检法部门打电话过来,对方也准确报出用户的家庭地址、姓名、手机号等,如果对方称因为某个事件询问用户银行账号、密码之类,或要用户手机进行转账时,一定保持冷静,先挂断电话,再找到对方所提到的某部门的官方号码回拨过去了解;

今年政府工作报告指出,整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题,维护国家安全和公共安全。

新京报记者以购买网购资料为名联系了一位QQ名为“AA收购数据”的信息贩子,其称拥有包括苏宁易购、亚马逊在内的多家平台网购信息,并向记者以2元一人的价位“低价出售”了一份“已经用过的”包含100人网购信息的“数据”。上述信息贩子也称,他们的数据是“扫号”得来的。

三、遇到有陌生电话打过来,称用户有快递没有领取,需要提供身份信息,或通过网络转账方式支付快递费用的,要提高警惕;

去年正式实施的《中华人民共和国网络安全法》也明确提出要加强个人信息保护,并对网络运营者收集、使用用户信息的相关行为做出了规定。

5月10日,当接到新京报记者电话,被告知自己的真实姓名、住址以及购买过什么东西时,家住北京的孙喆丽第一反应是,遇到骗子了。

四、要保护好自己手机上收到的动态验证密码,一旦遇到有陌生电话需要动态密码,一定不要随便给。

知名互联网专家胡延平表示,目前个人隐私安全的形势不容乐观,对于个人用户的隐私安全现状,目前急需行业自律以及提升用户隐私安全意识。他认为,目前指纹、脸、头像、虹膜等生物信息大量应用于手机等智能终端之中,这是未来趋势,但现在的安全机制、安全保障、数据保护还没有完全跟上。因此,用户需要特别在这一方面加强安全意识。

图片 5

本文转自广州日报,并不代表中国(

也有专家建议,要不断完善网络执法协作机制,尽快健全适应网络特点的规范化执法体系。例如,落实《网络安全法》相关规定,明确各职能部门的权责界限和接口,形成网信、工信、公安、保密等各部门协调联动机制,提高执法效率等。

某QQ群大量收购网购信息。

在德恒律师事务所合伙人崔军律师看来,相关法规缺失、行业自律性较差、个人信息保护意识淡薄、技术水平受限等因素共同催生了互联网信息泄露的黑色产业链。“应从立法层面加强贩卖个人信息行为的打击,切断黑产的利益链条,并尽快出台《个人信息保护法》。”崔军建议。

孙喆丽的网购信息就是记者花2元钱在上述信息贩子手上买到的,包括孙喆丽的详细购物信息以及她的住址、电话,网购的账号密码。

孙喆丽说,之前确实接到过骗子的电话。“有人打电话自称是客服,跟我说我的商品有问题会退款给我,让我登录支付宝看有没有收到退款,我说没有,他们就问我的芝麻信用,我当时觉得不对劲就把电话挂掉了。”

在孙喆丽和小严遭遇诈骗电话的案例中,对方都准确说出了二人的购物信息以及个人信息。

新京报记者发现,在“AA收购数据”提供的网购信息名单上,大部分用户的账号仍然可以按照其提供的密码登录。新京报记者随机联系了5名用户进行核实,发现名单上提供的个人信息全部属实,而大部分用户完全不知道自己的账号已经被盗取。

被称为“中国黑客教父”的现任益云社会创新中心创始人万涛告诉新京报记者,网购用户质量高低与否决定了出售数据价格的高低。“质量指的网购商品的客单价,比如衣服等普通物品客单价较低,数据可能就便宜,但如果购买电视、手机等相对贵重的物品,客单价比较高,用户数据的价值也就更高一些。”

据业内人士介绍,根据客单价的不同,网购数据的价位也不同,被倒卖过多次的信息并不值钱,一些历史数据甚至是黑客圈中公开的秘密,价值为零。而没有被用过的“一手”信息则可以卖到几块钱一条。

5月16日,“AA收购数据”还向记者提供了30条苏宁易购的网购数据“样品”。记者发现,这些网购数据从4月27日到5月3日不等,均有账户和密码。记者登录了其中3条网购信息的账户,发现可以登录成功。新京报记者随即拨打了3名用户的电话,3名用户都表示,其电话和姓名均正确,并很疑惑地反问记者,“你是怎么知道我电话的。”

扫号产业链:黑客偷、贩子倒、骗子买

“通过‘扫号撞库’的方式,黑客可以拿到用户在网购平台上的数据,”游侠安全网创始人张百川向新京报记者表示,“而一些平台的用户信息之所以遭到泄露,就是因为缺少对这种‘撞库攻击’的防范。”

根据目前受骗者的案例,这些信息流向骗子的手中,当骗子掌握用户的具体购物信息时,一般会以冒充客服退款等方式进行诈骗。

“所谓‘扫号撞库’,简单来说,就是黑客用技术手段入侵一些安全防范不是很高的网站,取得大量的用户注册名和密码数据,有些网站的登录名包括用户的手机号、邮箱甚至身份证号,这些登录名可以与其他网站关联上,是信息泄露的载体,信息贩子掌握这些信息后,可以用‘撞库’方式尝试登录其他网站。”张百川说。

据他介绍,在实际操作中,信息贩子往往是通过专门的“扫号”软件,来批量验证账号密码是否是有价值的。

5月2日,当新京报记者询问“AA收购数据”有没有淘宝的平台账号密码时,“AA收购数据”回答称做不了,因为“没有软件”。

5月2日,新京报记者以出售数据为名联系到了一个网名为“四哥”的信息贩子。“四哥”称他们“大量收购所有网购历史订单,月内为优”。并称,“拿货价2元一个,囤货多了再出手,随便一天出3万个左右,保证最新数据”。

图片 6

至于数据来源,“四哥”称“都是扫号得来的”,并询问记者是不是“技术源头”。

“这些信息贩子的‘技术源头’就是黑客平台”。张百川告诉新京报记者,“这些在黑客圈子里都可以找到,黑客盗取某些网站的数据库后就可以售卖给信息贩子,根据数据价值的不同,售价也不同,但一般都是第一次出售价格最高,比如最开始这个数据库可以卖一万,‘二倒手’之后就只能卖6千,再倒手之后价格更低,直至最后没有价值,向公众公开。”

一条黑客盗窃数据库信息,信息贩子通过扫号软件“撞库”取得网购平台账户密码,骗子再以几元一条的价格购买信息并进行电话诈骗的“扫号”黑色产业链浮出水面。“这个产业链存在至少有七八年了。”张百川表示。

新京报记者发现,一些QQ群是这些信息倒卖者的“大本营”。例如在某个以“网路安全”为名的QQ群里,不少人公开发广告称“求能拿指定站的大牛,价格以万为基数,长期合作,另诚意收购金融网站数据库”、“收带名字、电话、身份证号、地址的一手个人数据,价格包你满意”。

猎网在2015年11月曾发布《现代网络诈骗产业链分析报告》,报告显示:基于对网民举报的近9万起网络诈骗案件的追踪研究,该平台发现网络诈骗已形成一条完整且分工明确、多达15个工种的地下黑色产业链;初步统计,网络诈骗从业者至少有160万人,“年产值”超过1100亿元,而涉嫌泄露用户信息量已超过千万级。

猎网平台反网络诈骗专家裴智勇介绍,即便是手法最简单的网络诈骗,也至少需要10人的犯罪团伙:从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出多达盗库黑客、电话诈骗经理、短信群发商等多个不同工种,其分工明确,协同作案,形成了完整的网络诈骗地下产业链,其中盗库黑客是这条产业链的源头。

有“漏洞”平台更易被“撞库”

“说白了,撞库攻击就是不断地尝试错误的密码。”张百川表示,“对于大型平台来说,往往可以利用技术手段限制这一‘撞库攻击’。比如登录错误几次后直接封掉登录者的IP地址,一个账户一天之内只允许输入三次,一个IP地址如果输入了两个账户或者输错了5次以上,24小时内就不允许再登录等。”

5月10日,新京报记者在某互联网平台多次以错误密码登录同一账号后,登录界面出现了“您今日只能再输入三次”的提示。

新京报记者同日在1号店网站上多次试验登录同一账号,多次输错账号密码后,1号店要求输入验证码,但除此之外并无其他防范手段。

5月16日,新京报记者尝试以错误密码登录苏宁易购,发现输错3次密码后,苏宁易购开启了移动滑块的防护措施,并在输错10次后锁死了账户信息,显示只有1小时之后才可以再次尝试。而在以错误密码登录小红书的试验时,小红书方面表示需要以接收手机验证码的方式登录。

“1号店的验证码模式并不算是防御撞库攻击的有效方式,现在在网上搜索验证码识别、验证码绕过,可以得到相应的破解软件。移动滑块相应高端一些,但目前市场上也出现了破解移动滑块的软件。”张百川表示。而对于手机验证码,万涛表示,现在有专门的打码平台可以帮忙快速破解验证码。

有业内人士称,当盗号者取得了一家网站的数据并通过撞库攻击“撞出”其他网站的用户名和密码后,被“撞出”的用户名和密码也会成为新的“数据库”再用以“撞”其他的网站。

5月10日,新京报记者致电一位信息已遭泄露的电商用户时,该用户告诉新京报记者,她接到了冒充1号店客服打来的诈骗电话。这名用户在两家电商平台上的登录名为同一个手机号。

“事实上,对撞库攻击进行防御的成本并不高,但除支付宝等大型平台外,小平台对这一攻击手段进行防范的驱动力不太大。”张百川直言。

对于因信息泄露遭受诈骗而形成的损失,电商平台应承担怎样的责任至今仍不明确。大部分电商平台对于此类事件的回应一般为“配合警方调查”。1号店昨日向新京报记者回复称,需要对信息泄露一事再核实。1号店的后台安全系统会24小时不间断监测顾客登录和购物行为,一旦发现频繁异常登录等高风险情况,将采取锁定账户等紧急手段,顾客需要修改密码或通过身份验证再次使用。如果顾客遭遇信息泄露后的财产损失情况,将全力配合警方提供所需要的信息。

苏宁方面表示,苏宁基于用户信息安全防范成立的安全团队,以网络安全攻击、Web安全攻击的安全风险发现识别为基础,可以通过可视化网络与Web攻击事件,发现内部网络高级持续性威胁,挖掘与检测针对苏宁消费者与商家的钓鱼网站,并予以及时处理。对于涉及消费者信息安全问题,将第一时间核实处理,确保用户购物支付环境的安全与稳定。

根据今年3月补天平台发布的《2016年网站泄露个人信息形势分析报告》,2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息,分别占58.5%和62.4%(某些漏洞可能同时泄露2类信息),可能泄露的数量多达42.3亿条和40.1亿条。

图片 7

电商平台是否担责?律师称难判断

“电商平台在获取个人信息的同时,就有保护个人信息的义务。”北京盈科律师事务所方超强律师向新京报记者表示,“信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。”

他进一步解释称,若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞;若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。

根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。

但方超强直言,在现实中很难有一个标准去判断什么叫做“平台存在漏洞导致信息泄露”,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到“撞库”盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。

万涛表示,实际上判断电商安全等级的相关标准有很多,包括国家信息安全等级保护制度和ISO27001信息管理认证,这要看电商能拿到哪些安全标准认定。比如在国家信息安全保护等级上,网约车必须拿到三级等级保护。但现在用户的信息泄露渠道实在太多,有大量的用户隐私数据已经处于泄露状态,以此判断电商责任并不全面。

万涛认为,核心问题是发生信息泄露之后,往往很难判断是哪一个环节出了问题,对责任的界定和处罚不明确,导致信息泄露从取证到用户的维权成本都过高。“电商有物流、第三方等多个环节,有很多订单泄露与其内部数据的管理和安全手段能不能覆盖到业务是有关联的。”

5月16日,“AA收购数据”还以2.6元一条的价格向新京报记者提供了一份淘宝网购用户数据,这份用户数据并没有账号密码。“这份数据的来源并非扫号,是我向开淘宝店的朋友直接拿到的。”

“一般而言,卖家在电商平台上出售商品,是要与平台签订协议的,在注册条款里平台需要尽到告知义务,即卖家不能买卖买家的个人信息获利,这种行为本身构成侵权,买卖达到一定数量也构成犯罪。但若平台尽到了告知义务,是没有责任的。”上海市百良律师事务所主任王冰告诉新京报记者。

新京报记者 罗亦丹

版权声明:本文由永利皇宫登录网址发布于财经资讯,转载请注明出处:该如何管控,快递业要加强信息保护防范