网上商城成信息泄露“重灾区”
据360“补天”漏洞响应平台披露,“双十二”期间不少网上商城、卖家网站存在安全漏洞且因遭到黑客攻击而导致信息泄露。
实际上,存在漏洞的网站平台并非仅在“双十二”被暴露的数家网站。据“补天”漏洞响应平台统计分析,今年年初至今,已有近200家网上商城或平台被曝出存在安全漏洞而导致数据库信息被窃取,其中多家网站泄露的用户信息达到数百万条,较多的甚至达到上千万条。
网上商城用户信息与其他类型网站不同。由于购物需要,用户必须在网站预留姓名、手机号码、地址等多个真实信息,甚至涉及银行卡、身份证等敏感信息,这些信息的泄露会直接导致消费者频繁收到推销广告电话、短信或邮件的骚扰,更为严重的则是消费者较易遭到网购诈骗。
刚从海外回国的小龙近期在北京办了新号码,还没有用几天,知道她手机号的人也不多,只是在网上买过几次东西时注册过号码信息,较近总是收到莫名其妙的服务短信和推销广告,屏蔽一个号码又有其他号码发过来;在北京工作的小钟也遇到过类似烦恼,她告诉记者,“在几个护肤品官方微信用手机号注册会员后,第二天就接到了美容院的电话。”
有过与小龙、小钟类似经历的人不在少数。然而,相比之下,网购诈骗造成的损失更大。
家住北京市朝阳区的李女士近日接到一个显示为“京东客服”的电话,一名自称是客服人员的男子告诉李女士,“京东”将他的购物信息误操作成分期付款了,稍后会有银行的工作人员跟其联系。而在接到一个冒充招商银行工作人员的电话后,李女士按照对方要求进行“验证”操作,结果网上银行被盗取了一万多元。
信息泄露难溯源成举证大难题
在360“补天”漏洞响应平台上,记者看到,遭到泄露的用户信息一览无余,包括收货人姓名、手机号、订单号、收货地址、发货时间等所有精确信息。
业内专家认为,正是由于对方掌握用户的真实、全面的个人信息,甚至包括订单等所有购物记录,更有利于其“有的放矢”,且诈骗的成功率很高。
360安全专家鲍宇指出,在双十一、双十二、节庆日等电商促销季,由于消费者集中多次购买商品,这些时期也成为黑客集中攻击网上商城、窃取信息以及有针对性地实施诈骗的高峰期。
鲍宇指出,弱口令漏洞、注入漏洞和越权漏洞等这三种漏洞较为普遍,黑客可以通过匹配密码、修改网站ID号、构造恶意命令等方式轻易获取网上个人信息。而且,只需要在网上下载一些工具就可以直接用来制造这些漏洞。此外,由于微店、O2O平台、APP等网购模式的兴起,安全漏洞也同时存在于这些平台。
盘古团队安全专家小G等多位业内人士表示,网络购物过程中多个环节都可能造成信息泄露,包括卖家、平台、快递公司等,而信息溯源也成为很大的难题。其中,中小型电商平台和卖家成为信息泄露的“重灾区”,主要因为其自身缺乏安全建设的能力和技术且由于泄露的信息涉及用户而非卖家平台本身,因此其修复漏洞的积极性很低,用户信息安全存在很大风险。
此外,中国互联网协会信用评价中心法律顾问赵占领则指出,在处理信息泄露时间的实践过程中较大的困难是举证,网购涉及的环节和主体多,很难证明用户遭受的损失与某网站信息泄露直接相关。
多方主体各尽其责 较大限度降低安全风险
业内专家建议从企业、消费者、行政监管等多层面尽量降低信息泄露的风险和危害。
赵占领表示,根据相关法律法规,网络信息服务商收集用户信息必须遵循正当、合法、必要的原则,此后的使用和保管必须尽到安全保护义务,保障用户数据更新安全。如其主动泄露则涉及刑事犯罪,而对于因管理或技术漏洞导致的信息泄露,网站则需要向用户承担违约赔偿责任。
“另一方面,目前行政监管缺位,监管主体不明确,导致网站因信息泄露而遭到行政处罚的案例实际很少。要对用户维权提供更多的法律支持,比如由网络服务提供者承担举证责任,如若不能提供则要负相关法律责任。”赵占领说。
警方则提示,消费者要按照正规购物网站的流程,不要轻信陌生来电或网站链接,且不轻易泄露验证码等信息。
安全专家余弦、鲍宇等多位人士指出,网站或平台应增强自身网络安全的意识和能力,不具备相关能力和技术的企业可与第三方平台合作。而消费者应选择较大的平台进行购物,不要在过多的网络平台注册或购物,在网购填写订单时应尽量避免预留真实完整的信息,如使用昵称、阿里小号、代收点地址等。
