周小姐(化名)不久前在淘宝平台上的一户商家买了衣服,但隔天就有人打电话给她。“对方称那件衣服仓库没有货,发短信让操作退货。”据周小姐透露,对方甚至准确报出了周小姐所购衣服的店名、服装尺码等种种信息。“幸亏与卖家核实,否则就受骗了。”与周小姐类似遭遇的还有李小姐,她在南航A P P购买机票后,起飞前一天就有一个未知电话通知其改签,并且明确说出了其购票的时间、渠道、航班号……
12月12日,一则《南都记者700元买到同事航班/列车/银行卡等10项信息,开房记录精确到秒》的报道再度刷爆朋友圈。猎豹安全专家李铁军认为不是普通的信息泄露,“怀疑有管理存储公民个人信息的人非法出售个人信息。”“放大到整个互联网来看,‘内鬼’出售用户信息的情况已经‘非常严重’”。李铁军表示。
那么追根溯源,信息泄露究竟是怎么造成的呢?
“内鬼”作祟“批发”信息
记者调查了解到,淘宝上销售的二手数据基本低于1毛,如果批量购买,1万条二手数据价格约在300—500元左右。
记者曾在一个电信开卡的Q群中看到,有许多贩卖个人信息的代理商,代理销售的产品相当“多元化”。据其中一位代理商称,“可以购买身份证照片(正面+反面+手持)一套,还可以选择露手臂的,穿长袖的,或者60岁以上老人的”,并表示“照片为全新一手资料,开卡通过率100%。”至于号码如何*开代**通,对方表示,只需要把手机号码以及sim卡背面的iccid号发送给他就可以立刻激活。而对于价格,据称“一般开卡需要几千张起,量大单价可以降到3元/张。”
目前,互联网已经成为信息泄露的重灾区。“实际上,(内鬼)是可以防范的,主要是做好权限管理跟账号管理。”知道创宇超级安全体检团队负责人王宇告诉记者。“最基本是审计软件,这就相当于物理环境的摄像头,你把企业内部信息发出去必须经过内部网关。”王宇表示。
但大部分企业并没有办公出口的审计系统。
“有些公司业务过于庞大,有些信息基本处于半公开状态,很容易造成泄露。”一位不愿透露姓名的企业管理层透露。
“内鬼”作祟
技术层面正面攻击
小微企业不在乎
技术层面直接正面攻击
目前任何系统都不可能100%杜绝漏洞。
“白帽汇”首席安全官邓焕表示:“常规做法只能说不停排查漏洞,不能100%避免;另外就是通过一些独特算法去二次加密数据,实际上现在最常用的纯MD5基本都能破解。”
据悉,支付宝在传输上通过全站Https加密传输以及提供安全组件SDK功能避免即使数据泄露也不易被破解。
当然即使自身系统技术层面没问题也不表示不会被攻击。去年携程、12306先后发生重大数据泄密事件,而官方均表示为撞库(黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。)导致。
“这个只能通过接口设计合理化来规范,比如说限制登录频率,验证码复杂化。”邓焕说。
决策者意识淡薄
“实际上现在企业安全最大的难题是决策者重视态度。无论技术还是‘内鬼’,以及外部攻击,其实都有完善的防范方式。”王宇告诉记者,据他所知,“小型网站的安全占整个IT投入估计不到1%。”
腾讯《互联网+企业网络安全生态研究报告》数据也说明了这点。2014年我国信息安全投资为34亿美元,占整个IT投资比例不到 3 % ;相比之下美国2016年全年安全预算140亿,占整体IT投入10%—20%。与此同时,我国接近40%的小微企业甚至连信息安全团队以及资金预算都没有。
取证难,用户索赔难
律师观点
对于因信息泄露导致的用户损失,涉事企业是否应当赔偿用户的疑问,知名IT与知识产权律师、中国政法大学知识产权中心特约研究员赵占领向记者表示:如果因为企业自身安全漏洞等情况导致用户个人信息泄露,这种属于被动行为,这时候不涉及刑事责任,但应该承担民事责任,这种情况下,企业必须根据用户的实际损失来进行赔偿。
但前提是,用户能够提供证明,证实信息确实是在该渠道泄露出去的,但这个取证往往非常困难,因为现在用户的信息往往在各个渠道都有,很难证明就是从具体的某个渠道被泄露出去的——— 这时候,除非企业自己承认信息泄露,或者犯罪嫌疑人被抓到,指证用户信息就是从具体某个渠道获得的。否则,普通用户很难举证信息究竟是从哪个渠道被泄露出去的,就很难索赔。